Follow

Admins. Please forget about changing your SSH port. It's just annoying to have non-standard SSH ports, and it does not really help protect your system.

This is so-called "security by obscurity", which should be abandoned.

Better keep the standard port and configure SSH key login only / disable password authentication.

This is the serious sh*t you should do. Not change your SSH port and log into your root account via a weak user password and another weak su password.

@thomas And please use good client and server certificates, good ciphers, maybe fail2ban, rekey and maybe you also want to use special limitations in your authorized_keys.

@thomas It does help you when the next vulnerability is found.

@thomas ach naja. wenn man den Port ändert, ist man zumindest von 99,99% der automatischen angriffe geschützt. wenn jemand aber wirklich rein will, findet er auch so den ssh port raus. ich hab ein ssh zert für root und pw deaktiviert. das zert ist nur im Keepass und Putty holt es sich da raus. läuft super^^

@Hughenknubbel @thomas Kann Keepass Zertifikate explizit speichern, oder kopierst du einfach den Zertifikatsblablatext in ein Passwortfeld?

@Nuntius
Gibt eine Erweiterung für Keepass. Heißt glaub keeagent und schafft eine Schnittstelle zwischen Putty und Keepass. Im Keepass lege ich dann das cert fest welches auf Anfrage dann zu Putty übertragen wird. Wollte eine vollautomatische Lösung haben und die funktioniert super.
@thomas

@Hughenknubbel Ah, danke! Vielleicht richte ich mir dass unter Linux auch mal ein, ein extra Sicherheitslayer kann ja nie schaden

@Nuntius
Musst halt mal schauen ob es für Linux auch software gibt die das unterstützt. Nutze Linux als Workstation jetzt nicht. Empfand alles was mit GUI zutun hat dort immer sehr instabil.

@nuron
Weil sie wahr ist. Ich habe keine Zeit und nicht genug know how mehr um mich Stunden hinzusetzen und fix nen neuen Treiber zu schreiben, irgendwelche kernel Module zu entladen, und was auch immer zu machen und am Ende stürzt das GUI trotzdem 4x am Tag ab. Außerdem habe ich 2 arbeitslaptops auf denen Windows installiert ist. Und auf meinen Desktop kommt mir auch nix anderes. Meine Server laufen alle mit Linux.

@Hughenknubbel hmmm musste noch nie n Treiber schreiben oder am Kernel rum schrauben 🤔 aber habe auch kein Arch o.ä. benutzt muss ich zugeben

@nuron
War bei mir immer Ubuntu oder Debian. Ich habe meine Erfahrungen mit Linux als Workstation und die sind nicht sehr positiv.

@Hughenknubbel das ist schade... Nutze seit drei Jahren Ubuntu, dann Mint und aktuell Debian. Alles recht stabil und solide aufm Desktop 🤔

@nuron
Ich müsste einfach auf zu viel verzichten. Und ich mag es wenn es "einfach läuft".
Und das tut windows halt einfach ^^

@Hughenknubbel ist ja deine Sache ;) wäre keine Option für mich.

@Hughenknubbel @nuron windows läuft einfach? wenn man nix damit macht vielleicht. ich muss jeden tag aufs neue fluchen wegen irgendwelchen dingen, die eben nicht einfach laufen. Als Entwickler ist Windows echt ne Qual

@Strubbl
Als Entwickler ist man doch schon per Definition Sklave von Software problemen?
@nuron

@Hughenknubbel @nuron Ja natürlich. Aber eben nicht die von dem Betriebssystem

@Strubbl
Ich mache einiges am PC. Meine letzten Probleme die mich haben verzweifeln lassen waren Defekte HDDs. Das ist jetzt ein Jahr her. Und davor wüsste ich nicht wann ich mal wirkliche Probleme hatte.
@nuron

@thomas Agreed. Hiding services is an excuse to be otherwise lax with security, imho.

🇬🇧 @thomas For me, blocking port 22 is blocking some unwanted traffic, unwanted computation charge. Fail2Ban is happier. Using an alternate ssh port wasn't meant for security.

On the other hand, even when I had port 22 open, I also opened another port > 1024 for SSH, known to me, on one of my servers, to let me in when the connection I have blocks some ports like 22 for any obscure reason.

@thomas I am not 100% in line with this. I have had servers being hammered with login attempts so that CPU utilization went up to 100% and the system was unusable. Thus, on public IPs I still always change ports despite only allowing key login. Not as a security feature, but simply for load reduction.

@thomas There is one scenario where this doe work: If I attach a new machine to university network, which means public IP and no firewall between you and the net, it usually has rather high load for the first few hours because there are between 10 and 25MBit/s of failed ssh-logins, because even with public key auth they'll just keep trying passwords.
Fail2ban does not really help, to many ip addresses.
A firewall would help, but usually I want to access these machines from the internet.

@thomas Also great anti-pattern: fail2ban. Aaargh! Just enable key based auth already! srsly... what’s wrong with those people!

@thomas there are people who do it purely to stop logspam from automated crawlers
Sign in to participate in the conversation
\m/ Metalhead.club \m/

Metalhead.club is a Mastodon instance hosted in Germany and powered by 100% green energy.