Feb 16, 2019, updated at Feb 18, 2019 (UTC)

3205

LogIn Versuche beschränken auf EINEN Versuch

Folgendes Problem

Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk.
Mit PuTTY Remote kann ich auf das Linux zugreifen und Einstellungen systemweit vornehmen.

Ich bekomme aber fast täglich Emails von meinem Server, dass jemand versucht sich als Root anzumelden. Mit passwd habe ich das Standardpasswort geändert (64 Zeichen mix).
Jetzt möchte ich die Anzahl der Login-Versuche beschränken auf einen Versuch, scheitert dieser, darf die IP Adresse bzw. derselbe User es nicht erneut versuchen.

Welche Optionen habe ich um Einstellungen so vorzunehmen, dass Login-Angriffe ins leere gehen? Ich habe keine Lust auf ständige Kontrollen.

/etc/cron.daily/logrotate:
No rotated logs for '/var/log/apache2/access.log' found.
mysqladmin: connect to server at 'localhost' failed
error: 'Access denied for user 'root'@'localhost' (using password: NO)'
error: error running shared postrotate script for '/var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log /var/log/mysql/mariadb-slow.log /var/log/mysql/error.log '
run-parts: /etc/cron.daily/logrotate exited with return code 1

LG

Please also mark the comments that contributed to the solution of the article

Content-Key: 418569

Url: https://administrator.de/contentid/418569

Printed on: April 26, 2024 at 02:04 o'clock

23 Comments

Latest comment

Warum stellst du den Login nicht einfach um auf SSH-key?

Aber vielleicht solltest du auch besser die Finger von eigenen Servern lassen, wenn du nicht kurz Googlen kannst:
https://unix.stackexchange.com/questions/89949/how-to-disable-the-try-ag ...

Hallo,

ich würde bei SSH nur Key Auth akzeptieren, so wie es @certifiedit.net geschrieben hat. Ergänzend mit Fail2ban.
Alternativ SSH nur von bestimmten Netzen oder Hosts zulassen z.B. mit iptables und/oder TCP Wrapper (hosts.allow & hosts.deny).

Das ist aber eigentlich Basis Linux Wissen (was zwingend Voraussetzung für ein produktives System am Netz ist....)

Jetzt möchte ich die Anzahl der Login-Versuche beschränken auf einen Versuch, scheitert dieser, darf die IP Adresse bzw. derselbe User es nicht erneut versuchen.

Ich persönlich würde die Anzahl der Login Versuche nicht auf ein einzigen Versuch beschränken wollen. Bei Password Auth kann es durchaus passieren, dass man ein Tipp Fehler macht und dann ist man selber je nach Einstellung von Fail2ban für eine bestimmte Zeit geblockt. Dann kann man sich nur noch lokal anmelden. Bei einem Hoster hilft dann nur noch VNC oder das Rescue System.

Viele Grüße,
Exception

Hallo,
Tante google weiß auch was von fail2ban,
aber ... etwas leichtsinnig ist es schon, einen Server administrieren zu wollen , wenn man über fast keine Grundkenntnisse verfügt. Permanente Hilfe wäre da vermutlich klug in den ersten Monaten...?

Mir stellt sich eher die Frage, woran du erkennst, wenn der Server "übernommen" wurde ?

Fred

Mir stellt sich eher die Frage, woran du erkennst, wenn der Server "übernommen" wurde ?

Wenn die Polente vor seiner Tür steht

.

Anstatt sich erst mal die Grundlagen in seinem Lab zu Hause anzueigenen mieten die Tuppen sich hosted Server und denken sie wären die Kings, man oh man. Falsche Welt ...
Nicht ohne Grund ist root-Zugriff nur via Passwort per Default in allen Distributionen deaktiviert, wer es aktiviert und dann auch noch die Standardports benutzt hat einen an der Klatsche, sorry.

Zitat von @Garrosh:

Folgendes Problem
>
Welche Optionen habe ich um Einstellungen so vorzunehmen, dass Login-Angriffe ins leere gehen? Ich habe keine Lust auf ständige Kontrollen.

1. Serverbetrieb einstellen,
2. Serverbetrieb an Hackergtruppen für deren Zwecke "übergeben" ?

Alternativ - laufende Kontrolle auf korrekten Betrieb

Fred

Nicht ohne Grund ist root-Zugriff nur via Passwort per Default in allen Distributionen deaktiviert, wer es aktiviert und dann noch die Standardports benutzt hat eine Klatsche.

Bei vielen Distibutionen ist der root Zugriff komplett deaktiviert. Also egal ob Password oder Key Auth.
Und SSH kann man bedenkenlos am Netz mit Standard Ports betreiben. Allerdings erfordert das Linux bzw. SSH Know How.
Siehe beispielsweise die zahlreichen Git Server z.B. Github

Jipp kann man. Der TO mit Sicherheit (noch) nicht.

Zitat von @129580:
Ergänzend mit Fail2ban.

Dazu noch den direkten Rootlogin abstellen und den SSH-Port auf einen hohen Port ändern, um Bot### und Scriptkiddies zumindest abzuschwächen.

SSH-Port auf einen hohen Port ändern,

SSH Port ändern würde ich wie gesagt nicht machen. Erhöht auch nicht die Sicherheit - insbesondere nicht von automatisierten Angriffen.

SSH Port würde ich nur bei besonderen Umständen anpassen z.B. NAT eth. Solche Fälle sind aber glücklicherweise sehr selten.

Anstatt die Leute zu diffamieren, abzuraten, und auf mangelnde Grundkenntnisse zu verweisen etc. hätte ich mir gewünscht, dass man von einer Community konkrete Lösungsansätze bekommt.

Kritik üben ist nicht zielführend, zumalen ich durchaus in der Linuxwelt zurecht komme, aber in Sachen Server damit erst anfange.

Und mein Ziel ist, dass nur ein Login-Versuch möglich sein soll. Die Risiken sind mir bekannt, und ich bin bereit dieses Risiko einzugehen.

Mit manchen Kommentare bekommt man Zweifel an die Community und deren Ziel.

Anstatt die Leute zu diffamieren, abzuraten, und auf mangelnde Grundkenntnisse zu verweisen etc. hätte ich mir gewünscht, dass man von einer Community konkrete Lösungsansätze bekommt.

Haben wir doch gemacht?!

aber in Sachen Server damit erst anfange.

Genau deshalb auch unsere Kritik. Lernen macht man in einer Lab Umgebung - nicht an einem produktiven Server!
Eine Firma lässt auch nicht ihre Azubis aus dem ersten Lehrjahr an eine produktive Maschine ran. Zuvor kommen auch Schulungen usw.

Bedenke: auch wenn heutzutage jeder leicht an Server rankommt bzw. es zahlreiche Massenhoster gibt, so hast du als Server Betreiber eine große Verantwortung. Die Provider setzen voraus, dass du Kenntnisse in Server Administration besitzt. Wenn du Mist baust bzw. dein Server durch fahrlässigkeit gehackt und missbraucht wird, dann kann sehr schnell ein großer Schaden entstehen, für den du verantwortlich bzw. haftbar bist.

Zitat von @Garrosh:

Anstatt die Leute zu diffamieren, abzuraten, und auf mangelnde Grundkenntnisse zu verweisen etc. hätte ich mir gewünscht, dass man von einer Community konkrete Lösungsansätze bekommt.

Konkrete Ansätze, siehe oberster Post, sogar 2 Stück, aber Hauptsache meckern. - So kann man Inkompetenz natürlich verstecken.

Kritik üben ist nicht zielführend, zumalen ich durchaus in der Linuxwelt zurecht komme, aber in Sachen Server damit erst anfange.

Dann mach das auf eigenen Systemen, daheim, hinter einem NAT.

Und mein Ziel ist, dass nur ein Login-Versuch möglich sein soll. Die Risiken sind mir bekannt, und ich bin bereit dieses Risiko einzugehen.

Super, aber du weisst, dass dein System damit ein Risiko für alle(!) anderen Internetsysteme + die Besucher deines (Web)Servers ist? Nein? dann denk drüber nach, warum diese Community dich nicht verhätschelt.

Mit manchen Kommentare bekommt man Zweifel an die Community und deren Ziel.

Professionelle IT. Das Ziel sehe ich bei dir (derzeit) nicht, von daher ergibt dies einen Zielkonflikt, das hast du richtig erkannt.

Schönes WE!

Mein Hoster sagt, was Hardware angeht, kümmern die sich, Software ist in meinem Verantwortungsbereich. Den Root Account habe ich insoweit angepasst, dass das vom Hoster gesetzte Standardpasswort ersetzt wurde durch ein sicheres 64 Zeichen starkes Passwort.

Ich möchte nur, dass man bei diesem Root nur einen Versuch hat, bei allem Risiko den man hat, wenn man sich selbst aussperrt.

Kannst du lesen?

Hat sich erledigt, nen Kumpel macht das jetzt.

Übergib ihm den Job komplett. Hier schliessen und gut ist.

Dann closed pls

Ey, bist dazu nicht selbst in der Lage? - Wie man eine Frage auf gelöst setzt.

Es wundert mich immer wieder, wie diejenigen, die wissend auf diesem Planeten gelandet sind, auf kleine unwissende Würmer treten, ohne ein wenig zu reflektieren. Zeit haben sie ohne Ende – wieso nicht diese konstruktiv nutzen?

Es muss verdammt erfüllend sein, kleinen Würmern zu zeigen, wie toll man selbst ist.

Ohmannomann!

Wir haben doch die Frage des TOs (mehrfach!!) beantwortet. Wo ist nun das Problem?
Wir kritisieren allerdings, dass der TO ohne das notwendige Know How ein produktiven Server betreiben. Wie gesagt als Server Betreiber hat man (gesetzliche) Pflichten und ist Haftbar. Und nein, Unwissenheit schützt nicht vor Strafe!!

Wie jeder Anfänger (wie wir alle es mal waren) fängt man mit der IT-Grundschule an, d.h. man lernt Theorie und wendet das Wissen praktisch in einer (isolierten) Spielwiesen Umgebung an. Das betrifft übrigens nicht nur IT sondern grundsätzlich jeden Beruf.

Es muss verdammt erfüllend sein, kleinen Würmern zu zeigen, wie toll man selbst ist.

Wer mit Kritik nicht leben kann......

Ohmannomann!

dito!

Sorry, temuco, aber wenn du mal genau liest, dann siehst du mindestens im ersten Beitrag 2 Hilfestellungen, darunter genau die Lösung, die er suchte. Ich denke, das muss genügen. Da er es nicht schaffte in sechzehn Posts darauf einzugehen, ist die Arbeit als Admin für Ihn einfach nicht gemacht (ich wäre beispielsweise aus den Erzählungen einfach ein Mieser Krankenpfleger, da ich nie wie eine Krankenschwester noch freundlich bleiben könnte, wenn man mich ank.. und ansch...) - so hat jeder sein Steckenpferd. Wollen wir also wirklich in einer Welt leben, in denen sich Menschen aufgrund der Geldschaffungsmöglichkeit Jobs aneignen, mit denen Sie absolut nicht zu Recht kommen? Man denke an Busfahrer, die nicht mit 30 Passagieren Bus fahren können, Verkehrsplaner, die nicht logisch auf drei Zählen können, oder oder oder.

Ich will das nicht, und aus deinem Statement, dass du GEZ bist, lese ich, dass du das auch nicht bist

Denn das wird durch irrationale oder inkompetente Leute im hochgelobt - falschen - Job bestimmt.

Moin...

also wenn Server und Netzwerk laut euerer Webseite zum standard gehören, ist dein Post eine Blamage für die Firma CherryCore !
Sicher, jeder fängt mal klein an, aber dann übe ich erst mal.... zuhause, und nicht im Internet!
Das Internet Vergisst nix.... wenn du schon fragen stellst, dann Anonym- lass doch deinen Firmen Namen da raus...
Stell dir vor, ein Kunde befragt Tante Google nach euch... und als erstes kommt sowas wie das....
ich würde mir da als Kunde Gedanken machen....
Alternativ würde ich euch raten, macht weiter mit Webdesign, und den rest machen Leute die das auch sicher beherrschen!
es spricht ja nix dagegen, das ihr zuhause oder im Lobor übt, bis ihr der sache gewachsen seit...

Gruß
Frank

Moin,

und auf der Homepage funktionieren auch ein paar Links nicht. 404 not found.

Gruss Penny

German solved Question Trashcan Off Topic

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments