Sicherheits Frage.

  • Moin Leute,

    Also bald hole ich mir ja neue Server und mal eine Frage, und zwar ich hätte dann dort 3 Server ein Datenbankserver ein VPN Server und ein Gameserver. Meine Idee ist die Server VPN, SSH-Keys (ED25519), Root Account deaktiviere und Passwörter für den Log-in zu deaktivieren. Dazu noch eine andere IP für jeden Server holen, wo SSH da drauf läuft. Nun meine Frage wie kann ich mich gegen Portscanner schützen ich weiß ja per IPTables und ein Rate Limiter aber ich hab kein Plan, wie ich so was aufsetzte, habe bisher nur mit UFW rumhantiert.

  • Guten Tag, Liato wie ich verstehe willst du das andere Leute deine Ports, die offen sind, nicht mithilfe eines Port Scanner diese nicht Finden kann.


    Deine Idee mit den SSH-Keys okay kenne ich mich nicht aus aber habe gehört soll sicher sein. Root Account Deaktivieren ist auch eine Gute Idee.

    Aber das mit den Port Scanner.


    Das mit Ports Blockieren solte funktionieren. Soweit ich das weiß kannst du per iptable Alles Machen was du mit Port Scanner blocken machen willst.

    MfG. Alec

  • Moin,


    wenn du sowieso einen VPN Server benutzen willst, würde ich dir empfehlen den Zugriff auf SSH nur über die IP Adresse der VPN zu erlauben. Geht sehr einfach mit einer kleinen Regel in UFW.

    SSH Keys, deaktivierter Root- und Passwortlogin sind schonmal ein guter Ansatz.

    Eine extra Adresse für SSH halte ich nicht für sinnvoll.

    Ansonsten reicht eigentlich Fail2Ban, vor Portscans kannst du dich, wie du selber schon gesagt eigentlich nur über Ratelimits schützen. Das sollte mit UFW auch funktionieren, dazu gibts bestimmt Tutorials im Internet, da kenn ich mich leider jetzt auch nicht so gut aus.

  • In UFW war ja der Befehl nur von einer IP zuzulassen der hier:

    Code
    1. $ sudo ufw allow from DIE.IP.VOM.VPN to any port SSHPORT

    Die Frage nur, wie kann man den VPN schützen? Da wär meine Idee halt dass man erst ein OpenVPN Server macht, den Profil Downloaden und SSH zu entfernen so dass es nurnoch vom DSH Panel möglich ist per VNC sich zu verbinden. Wär dass dann nicht auch eine Lösung um den VPN abzuriegeln?

  • Die Frage nur, wie kann man den VPN schützen? Da wär meine Idee halt dass man erst ein OpenVPN Server macht, den Profil Downloaden und SSH zu entfernen so dass es nurnoch vom DSH Panel möglich ist per VNC sich zu verbinden. Wär dass dann nicht auch eine Lösung um den VPN abzuriegeln?

    Das ist natürlich eine Möglichkeit, ich denke auch die sicherste. Alles von dem VPN Server deinstallieren, außer OpenVPN und nur per VNC darauf zugreifen.