Kleine Anmerkung: Es ist und bleibt keine gute Idee den root-Login via SSH zu erlauben. Auch nicht via Keys. Außerdem sollte das auch nicht der Default User sein mit dem man arbeitet. Dafür gibts sudo. Bei nem System das nicht übers Internet zu erreichen ist, kann man noch drüber diskutieren. Aber selbst dort würde ich das vermeiden. Ansonsten gutes Video mit Basics
Habe dich neulich entdeckt und muss sagen, dass deine Videos sehr angenehm sind zum gucken! Haben mir schon sehr geholfen! Kannst du mal ein Video machen, in dem du Fail2Ban mit pfSense erklärst?
Zum Thema Backup kann man sich das Tool duplicity mal anschauen. Hier lässt sich ein Backup erstellen zu einem der vielen Möglichen Backends was dies Unterstützt. Ich nutze dies in Kombination mit Azure Blob Storage wo die Backups verschlüsselt abgelegt werden. Backup natürlich Täglich ;)
Praxistipp: Auch an z.B IPMI und HP ILO denken das ordentlich abzusichern. Am besten niemals direkt im Internet betreiben, was leider bei root servern häufig nicht möglich ist. Dann immer Firmware aktuell halten und interne Mechanismen zur Absicherung verwenden.
Beim Putty gibt es eine art SSH-Agent - Da muss man sein SSH-Privaten-Key pro Sitzung (also User Sitzung von Windows) adden und dann benötig, man ab dem Zeitpunkt kein Passwort mehr für den SSH-Key mehr. Jedoch ist der Key selber immer verschlüsselt.
Vielen Dank dür das Video, ich hätte nun allgemein eine Frage. Ich bin relativ neu in der Richtung. Ich hatte Proxmox schon einmal auf meinem Home Server aufgesetzt. Aus Kostengründen und weil das ganze noch doch ein größeres Projekt werden soll, habe ich nun einen Linux VServer gemietet der mit Virtuozzo virtualisiert ist. Nun zu meinen Fragen: Kann ich dort Proxmox einfach noch installieren? ich möchte auf dem Vserver nämlich zum einem Nextcloud installieren, parallel TrueNAS Scale und dann einen FTP Server um Joomla hosten zu können auf dem ein weiteres CMS aufsetzt. Hierfür ist dann ja noch eine MySQL Datenbank notwendig sowie Apache. Sobald ich nun die Zugänge habe, werde ich deine Absicherungen aus dem Video auf jedenfall noch durchführen. Jedoch wäre generell erst einmal die Frage ob das Vorhaben unsinnig erscheint und wie ich das aufsetze? Sollte z..B MySQL auf einer eigenen VM laufen wie baut man so etwas dann auf? Vielen Dank.
Cooles Video und sehr nützlich ....hab zum Glück die Laberei am Anfang ertragen, hätte dort fast weggedrückt...hab dann aber gedacht...abwarten, ist wohl nur so ein Nerdgequatsche am Anfang 🤓
Eigentlich sollte man sich nicht mit root nicht unbedingt einloggen, und man könnte sich auch auf einen anderen Port den ssh Zugang einrichten, und den eigentlichen ssh Port zu einer Teergrube machen
hi, super Video. Ich hab mir eine Sophos UTM vServer als Firewall und dann einen Windows Server bereitgestellt. Dann ein VPN zu mir nach Hause und Veeam Backup der VM aufs NAS zuhause.
Super Video. Auf meinem Mailserver mit Mailcow habe ich soweit auch alles eingerichtet. Nur mit iptables komme ich nicht so ganz klar und mein Hoster 1blu bietet leider keine zusätzliche Firewall wie Hetzner. Wäre also wirklich super, wenn du zu iptables mal was machen würdest.
Hmm, irgendwo hab ich einen Fehler drin bei dem SSH Zugang per Putty mit privkey. Er fragt mich dennoch nach Passwort, obwohl die SSHD_Config angepasst ist und Putty den Key bereits enthält, welcher mit PuttyGen angepasst wurde. Gibt es da eine Fehlerquelle? Ist eine Testumgebung also nix wildes wenn ich nicht mehr drauf komme. Aber dennoch sollte es doch so ohne weiteres laufen, oder nicht?
wenn Server aufm externen Hoster ist alles an Admirierendes Close wireguard rauf und darüber Admirieren, ganz wichtig meistens sind das die Programme die ab und an mal Sicherheitslücken haben, Updaten ! und immer wieder schauen ob es sicher ist die Version.
Megageiles Tutorial und sehr hilfreich. Aber könntest du vielleicht mal ein video zu iptables-rules machen. Darauf bist Du dann leider doch nicht eingegangen.
Macht fail2ban auch Sinn, wenn ich den Raspberry-Server hinter einem Router betreibe und nur das VPN-Port geforwarded habe? Kann und macht es Sinn fail2ban in einen eigenen docker-container zu stopfen? Danke - echt gute Erklärungen...
Kannst du was für externes monitoring oder logs auslesen von externen maschinen empfehlen? Also bei docker portainer auch von externen Maschinen. Aber für linux vms?
@@RaspberryPiCloud Oh top, wusste nicht das Grafana und Telegraf auch Logs kann. Danke dir. Dann kann in den Semesterferien die Serverumstrukturierung ja kommen.
Bei Fail2Ban würde ich die maxretry immer deutlich höher ansetzen. 20 oder mehr. Wenn man sich mal überlegt für was fail2ban eigentlich gedacht ist - nämlich bruteforce - macht es keinen Unterschied ob 3 oder 50 versuche, solange das passwort halbwegs gut ist. Erspart auf jeden fall ärger wenn man sich selbst aussperrt.
Kann ich nicht ganz bestätigen. Auch die sind schlauer geworden mit den BruteForce Att. und ballern nicht mehr unendlich Anfrage an den Server sondern nur alle 5 min. z.B. 100% Schutz kriegt man nie.
@@lukas98t7e7 Ein Passwort, welches nur ein paar (oder einige) Millionen Möglichkeiten bietet ist kein halbwegs sicheres Passwort... Das ist in wenigen Sekunden geknackt. Ein Passwort mit 4 Zeichen hat bereits einige Millionen mögliche Kombinationen. Für Administratoren wird nicht umsonst >12 Zeichen empfohlen. Auch Fail2Ban bringt da nur bedingt was. Ein guter Brutforce Angriff wird von mehreren Zombie Maschinen mit unterschiedlichen IPs angegriffen. Da kann man dann pro Tag schon einige Kombinationen durch gehen. Bei >12 Zeichen dauert das aber trotzdem ewig. Blockt man mit Fail2Ban länger, verlängert dies natürlich die Zeit, die es dauert. Dann macht es schon einen Unterschied ob ein paar hundert bis tausend Maschinen am Tag nur 5 oder 50 Versuche haben.
Kurze Anmerkung: "PubkeyAuthentication yes" und "StrictModes yes" sind beides die Default-Werte, deine Änderung ist sinnvoll gemeint, aber zumindest auf Debian-Systemen unnötig.
Das ging ja schnell, dass Du meinen Vorschlag zum Video gemacht hast - Danke.
Kleine Anmerkung: Es ist und bleibt keine gute Idee den root-Login via SSH zu erlauben. Auch nicht via Keys. Außerdem sollte das auch nicht der Default User sein mit dem man arbeitet. Dafür gibts sudo. Bei nem System das nicht übers Internet zu erreichen ist, kann man noch drüber diskutieren. Aber selbst dort würde ich das vermeiden. Ansonsten gutes Video mit Basics
Prinzipell hat du recht, jedoch wenn ein Angreifer zugriff auf deinen Account erlangt, der sudo recht hat, hast du das selbe problem
@@SeMoDrix mit sudo hat man nicht prinzipiell volle Rootrechte. Stichwort sudoers. sudo ist kein su....
Zudem sollte auch nicht auf allen Systemen der gleiche Key genutzt werden. Je System ein separater Key mit Passwort.
Der sichere Punkt für den Private Key ist sicher nicht auf dem Server ..
Wollte gerade das selbe kommentieren.
Habe dich neulich entdeckt und muss sagen, dass deine Videos sehr angenehm sind zum gucken! Haben mir schon sehr geholfen!
Kannst du mal ein Video machen, in dem du Fail2Ban mit pfSense erklärst?
Da gibt es nichts zu erklären. pfsense kann kein fail2ban.
@@RaspberryPiCloud schade. Gibt es Firewall Alternativen, die das unterstützen?
Zum Thema Backup kann man sich das Tool duplicity mal anschauen. Hier lässt sich ein Backup erstellen zu einem der vielen Möglichen Backends was dies Unterstützt. Ich nutze dies in Kombination mit Azure Blob Storage wo die Backups verschlüsselt abgelegt werden. Backup natürlich Täglich ;)
Praxistipp:
Auch an z.B IPMI und HP ILO denken das ordentlich abzusichern. Am besten niemals direkt im Internet betreiben, was leider bei root servern häufig nicht möglich ist. Dann immer Firmware aktuell halten und interne Mechanismen zur Absicherung verwenden.
WAT... Rootserver hängen mit dem ILO im Internet, hab ich noch nicht gesehen.
@@RaspberryPiCloud doch, kenne da auf jeden fall anbieter bei denen das so ist. eher kleinere.
super video zum Thema VPS / SSH Absicherung. Danke Dir
Beim Putty gibt es eine art SSH-Agent - Da muss man sein SSH-Privaten-Key pro Sitzung (also User Sitzung von Windows) adden und dann benötig, man ab dem Zeitpunkt kein Passwort mehr für den SSH-Key mehr. Jedoch ist der Key selber immer verschlüsselt.
Zum Thema Services: Wenn möglich, nutzt Docker o.ä. Container starten, testen, behalten oder löschen :)
Ja, kann ich nur so weiter geben. Nach Möglichkeit ab in einen Container.
Vielen Dank dür das Video, ich hätte nun allgemein eine Frage. Ich bin relativ neu in der Richtung. Ich hatte Proxmox schon einmal auf meinem Home Server aufgesetzt. Aus Kostengründen und weil das ganze noch doch ein größeres Projekt werden soll, habe ich nun einen Linux VServer gemietet der mit Virtuozzo virtualisiert ist. Nun zu meinen Fragen: Kann ich dort Proxmox einfach noch installieren? ich möchte auf dem Vserver nämlich zum einem Nextcloud installieren, parallel TrueNAS Scale und dann einen FTP Server um Joomla hosten zu können auf dem ein weiteres CMS aufsetzt. Hierfür ist dann ja noch eine MySQL Datenbank notwendig sowie Apache. Sobald ich nun die Zugänge habe, werde ich deine Absicherungen aus dem Video auf jedenfall noch durchführen. Jedoch wäre generell erst einmal die Frage ob das Vorhaben unsinnig erscheint und wie ich das aufsetze? Sollte z..B MySQL auf einer eigenen VM laufen wie baut man so etwas dann auf? Vielen Dank.
Cooles Video und sehr nützlich ....hab zum Glück die Laberei am Anfang ertragen, hätte dort fast weggedrückt...hab dann aber gedacht...abwarten, ist wohl nur so ein Nerdgequatsche am Anfang 🤓
Eigentlich sollte man sich nicht mit root nicht unbedingt einloggen, und man könnte sich auch auf einen anderen Port den ssh Zugang einrichten, und den eigentlichen ssh Port zu einer Teergrube machen
hi,
super Video.
Ich hab mir eine Sophos UTM vServer als Firewall und dann einen Windows Server bereitgestellt.
Dann ein VPN zu mir nach Hause und Veeam Backup der VM aufs NAS zuhause.
Super Video. Auf meinem Mailserver mit Mailcow habe ich soweit auch alles eingerichtet. Nur mit iptables komme ich nicht so ganz klar und mein Hoster 1blu bietet leider keine zusätzliche Firewall wie Hetzner.
Wäre also wirklich super, wenn du zu iptables mal was machen würdest.
installiere ufw firewall: sudo apt install ufw
Nftables bitte !
Hmm, irgendwo hab ich einen Fehler drin bei dem SSH Zugang per Putty mit privkey.
Er fragt mich dennoch nach Passwort, obwohl die SSHD_Config angepasst ist und Putty den Key bereits enthält, welcher mit PuttyGen angepasst wurde. Gibt es da eine Fehlerquelle? Ist eine Testumgebung also nix wildes wenn ich nicht mehr drauf komme. Aber dennoch sollte es doch so ohne weiteres laufen, oder nicht?
Ok, mein Fehler :D In Putty ERST den Server eintragen, DANN den Authkey laden und schon läuft es. Evtl. hilft es ja jemandem ^^
Ich hätte getippt du hast den service nicht neugestartet.
wenn Server aufm externen Hoster ist alles an Admirierendes Close wireguard rauf und darüber Admirieren, ganz wichtig meistens sind das die Programme die ab und an mal Sicherheitslücken haben, Updaten ! und immer wieder schauen ob es sicher ist die Version.
Danke, super Video, du hast vergessen den Privatekey von deinem Server zu löschen :)
👍👏
für die Logs könnte man logcheck nutzen und auch per Mail informieren lassen :)
wie hast du dein putty so fancy in dateien hinbekommen? das ich aktivierte und deaktivierte befehle besser erkennen kann?
Megageiles Tutorial und sehr hilfreich.
Aber könntest du vielleicht mal ein video zu iptables-rules machen. Darauf bist Du dann leider doch nicht eingegangen.
Nftables bitte !
iptables sieht ziemlich komplex aus. So ne einfache iptables einrichtung als tutorial wäre schon cool.
Was für ein Monitoring Tool würdest du empfehlen um die Server Sicherheit zu erhöhen?
netdata ist echt ne wucht
Ich gucke mir das Video nur wegen der Firewall an, die wird aber am wenigsten im Video behandelt. Perfekt!
Macht fail2ban auch Sinn, wenn ich den Raspberry-Server hinter einem Router betreibe und nur das VPN-Port geforwarded habe?
Kann und macht es Sinn fail2ban in einen eigenen docker-container zu stopfen? Danke - echt gute Erklärungen...
Nein,macht keinen Sinn den in eigenen Container zu setzen. Fail2ban läuft als Dienst auf deinem System.
Kannst du was für externes monitoring oder logs auslesen von externen maschinen empfehlen? Also bei docker portainer auch von externen Maschinen. Aber für linux vms?
Guck mal bei mir in den Videos nach Grafana Telegraf.. da kannst logs, sowie monitoring.
@@RaspberryPiCloud Oh top, wusste nicht das Grafana und Telegraf auch Logs kann. Danke dir. Dann kann in den Semesterferien die Serverumstrukturierung ja kommen.
Nur mal einen Tipp: unter Linux kann man ufw verwenden. Das ist gerade für Anfänger nicht so abschreckend wie iptables
Bei Fail2Ban würde ich die maxretry immer deutlich höher ansetzen. 20 oder mehr. Wenn man sich mal überlegt für was fail2ban eigentlich gedacht ist - nämlich bruteforce - macht es keinen Unterschied ob 3 oder 50 versuche, solange das passwort halbwegs gut ist. Erspart auf jeden fall ärger wenn man sich selbst aussperrt.
Kann ich nicht ganz bestätigen. Auch die sind schlauer geworden mit den BruteForce Att. und ballern nicht mehr unendlich Anfrage an den Server sondern nur alle 5 min. z.B. 100% Schutz kriegt man nie.
@@RaspberryPiCloud Schön und gut das bringt aber bei einem halbwegs sicheren Passwort mit mehreren Millionen möglichen Kombinationen nichts...
@@lukas98t7e7 Ein Passwort, welches nur ein paar (oder einige) Millionen Möglichkeiten bietet ist kein halbwegs sicheres Passwort... Das ist in wenigen Sekunden geknackt. Ein Passwort mit 4 Zeichen hat bereits einige Millionen mögliche Kombinationen. Für Administratoren wird nicht umsonst >12 Zeichen empfohlen. Auch Fail2Ban bringt da nur bedingt was. Ein guter Brutforce Angriff wird von mehreren Zombie Maschinen mit unterschiedlichen IPs angegriffen. Da kann man dann pro Tag schon einige Kombinationen durch gehen. Bei >12 Zeichen dauert das aber trotzdem ewig.
Blockt man mit Fail2Ban länger, verlängert dies natürlich die Zeit, die es dauert. Dann macht es schon einen Unterschied ob ein paar hundert bis tausend Maschinen am Tag nur 5 oder 50 Versuche haben.
@@Roknix Ja, das ist klar. Meine Passwörter sind zwischen 16 und 20 Zeichen lang, da braucht es dann auch nicht unbedingt Fail2Ban.
@@lukas98t7e7 oder gleich auf reine Passwörter verzichten und lieber auf MFA setzen...
Wenn die IP-Adresse allerdings im 5s Rhythmus sich ändert vom Angreifer dann ist das doof mit fail2ban
Kurze Anmerkung: "PubkeyAuthentication yes" und "StrictModes yes" sind beides die Default-Werte, deine Änderung ist sinnvoll gemeint, aber zumindest auf Debian-Systemen unnötig.
Hey,
würdest du ein Video für fail2web machen? - Also eine grafische Oberfläche zu fail2ban ? :)
Danke und beste Grüße
fail2web, von GitHub? das Ding ist seit 2017 nicht mehr weiterentwickelt worden...
He da fehlt der Spaß für Hacker : endlessh, und natürlich noch das 2fa für ssh vergessen XD :P
Kann es sein, dass dein Mikrofon einen Defekt hat?
Bei mir will er trotzdem ein Passwort :/
Bist du gerade aufgestanden? Das ist aber auch ein hässliches Shirt...🤮🤣
Nö, ich hab mir eins von dir geliehen!
VPN zum Server und SSH zu, so mache ich das
Ist eine Lösung. Viele Wege führen nach Rom