DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
ok, ik heb eventjes hulp nodig denk ik
Ik heb al een maandje een homeserver draaien, en ik zat voor het eerst eens de auth log door te kijken, waar ik zie dat een of ander gaar IP uit korea meerdere keren per dag probeert in te loggen.
hoe block ik dit / beveilig ik mijn server voortaan beter?
Ik heb al een maandje een homeserver draaien, en ik zat voor het eerst eens de auth log door te kijken, waar ik zie dat een of ander gaar IP uit korea meerdere keren per dag probeert in te loggen.
hoe block ik dit / beveilig ik mijn server voortaan beter?
Winnaar KLB verkiezingen 2012.
Welk OS? En welke services heb je draaien die van buiten benaderd kunnen worden?quote:Op maandag 21 mei 2012 21:26 schreef gogosweden het volgende:
ok, ik heb eventjes hulp nodig denk ik
Ik heb al een maandje een homeserver draaien, en ik zat voor het eerst eens de auth log door te kijken, waar ik zie dat een of ander gaar IP uit korea meerdere keren per dag probeert in te loggen.
hoe block ik dit / beveilig ik mijn server voortaan beter?
http://linux.die.net/man/5/hosts.denyquote:
ok, ik heb eventjes hulp nodig denk ik
Ik heb al een maandje een homeserver draaien, en ik zat voor het eerst eens de auth log door te kijken, waar ik zie dat een of ander gaar IP uit korea meerdere keren per dag probeert in te loggen.
hoe block ik dit / beveilig ik mijn server voortaan beter?
mineos, een custom build. gebaseerd op de linux 2.7 kernel me dunktquote:Op maandag 21 mei 2012 21:35 schreef NightH4wk het volgende:
[..]
Welk OS? En welke services heb je draaien die van buiten benaderd kunnen worden?
Ehm hoe check ik die services ookalweer? netstat toch?
Winnaar KLB verkiezingen 2012.
Op 
Hoe stel ik in dat je maar 1x kan inloggen per ip per minuut? Of hoe bescherm ik me beter tegen die brute force dingen?
het is nogal een groot probleem zie ik, mijn logfile staat er vol mee
het is nogal een groot probleem zie ik, mijn logfile staat er vol mee
Winnaar KLB verkiezingen 2012.
Geen idee op linux. Hier is het "service -e" en dan kijken welke services een probleem kunnen vormen en die dichttimmeren. Plus system settings die port scanning/etc. moeilijk maken.quote:
[..]
mineos, een custom build. gebaseerd op de linux 2.7 kernel me dunkt
Ehm hoe check ik die services ookalweer? netstat toch?
Is hosts.deny niet deprecated? Of alleen op FreeBSD.
hmmz. Ik heb 2 ip's blijkbaar al geblocked in mijn iptables (firewall van linux) maar er zijn zoveel ip's dat me dat handmatig teveel werk gaat kostenquote:
[..]
Geen idee op linux. Hier is het "service -e" en dan kijken welke services een probleem kunnen vormen en die dichttimmeren. Plus system settings die port scanning/etc. moeilijk maken.
Is hosts.deny niet deprecated? Of alleen op FreeBSD.
EDIT:
ik ben dit tegengekomen, volgens de linuxkenners hier, is dit een beetje een goede iptables entry voor waar ik hem voor wil gebruiken? (bruteforce blocken)
| 1 2 | sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP |
oh, en even een voorbeeldje uit mijn auth.log van gisteren
:SPOILEROm spoilers te kunnen lezen moet je zijn ingelogd. Je moet je daarvoor eerst gratis Registreren. Ook kun je spoilers niet lezen als je een ban hebt.
[ Bericht 64% gewijzigd door gogosweden op 21-05-2012 22:05:57 ]Winnaar KLB verkiezingen 2012.
Meestal kan je de default sshd_config nog wat verbeteren. Misschien ook handig:
http://denyhosts.sourceforge.net/
http://anp.ath.cx/sshit/
http://denyhosts.sourceforge.net/
http://anp.ath.cx/sshit/
dit ziet er wel veelbelovend uit. Eens even goed doorkijken. Je 2e link werkt niet btwquote:
Meestal kan je de default sshd_config nog wat verbeteren. Misschien ook handig:
http://denyhosts.sourceforge.net/
http://anp.ath.cx/sshit/
Winnaar KLB verkiezingen 2012.
Hoe kan ik in godsnaam Archlinux via PXE met FOG op een andere computer installeren? Het wil mij maar niet lukken.
EINDELIJK VIA PXE ARCH AAN DE GANG 
Oke
Ik heb een Virtualbox draaien met Ubuntu 10.04 en een gebridgede ethernet adapter (belangrijk). Op de router DHCP uitgezet.
Ubuntu 10.04 omdat 12.04 niet goed met FOG om kon gaan.
Na de installatie van 10.04, met deze guides FOG geinstalleerd en de Archlinux Archboot (belangrijk) klaar gezet voor PXE
http://www.howtogeek.com/(...)-how-can-you-use-it/
&
http://www.howtogeek.com/(...)e-the-ubuntu-livecd/
En dan als enige verschil andere dingen toegevoegd aan de pxelinux.cfg/default config.
Namelijk:
Dus nu kan ik eindelijk weer wat met die stomme oude laptop doen (printserver ofzo)
* DutchErrorist is blij.
Oke
Ik heb een Virtualbox draaien met Ubuntu 10.04 en een gebridgede ethernet adapter (belangrijk). Op de router DHCP uitgezet.
Ubuntu 10.04 omdat 12.04 niet goed met FOG om kon gaan.
Na de installatie van 10.04, met deze guides FOG geinstalleerd en de Archlinux Archboot (belangrijk) klaar gezet voor PXE
http://www.howtogeek.com/(...)-how-can-you-use-it/
&
http://www.howtogeek.com/(...)e-the-ubuntu-livecd/
En dan als enige verschil andere dingen toegevoegd aan de pxelinux.cfg/default config.
Namelijk:
In plaats van...quote:LABEL arch
MENU LABEL Arch Linux
LINUX /linux/arch/latest/boot/vmlinuz_i686
INITRD /linux/arch/latest/boot/initramfs_i686.img
APPEND archisolabel=MY_ARCH
En het werkte na twee dagen prutsen eindelijkquote:LABEL Ubuntu Livecd 11.04
MENU DEFAULT
KERNEL howtogeek/linux/ubuntu/11.04/casper/vmlinuz
APPEND root=/dev/nfs boot=casper netboot=nfs nfsroot=<YOUR-SERVER-IP>:/tftpboot/howtogeek/linux/ubuntu/11.04 initrd=howtogeek/linux/ubuntu/11.04/casper/initrd.lz quiet splash --
Dus nu kan ik eindelijk weer wat met die stomme oude laptop doen (printserver ofzo)
* DutchErrorist is blij.
De "recent" module is uitermate geschikt om dit soort brute-force attacks te blokeren. Je kunt eventueel ook kijken naar "limit", maar daarmee kun je alleen het totale aantal verbindingen mee regelen (allemaal beschreven in de iptables man page). Vergeet alleen niet, dat sommige attacks slechts iedere x minuten een verbinding maken, juist om filters als 'recent' te omzeilen. Het denyhosts programma is op zich relatief traag met dedecteren van attacks, maar is weer erg geschikt voor die "slow" attacks.quote:
ik ben dit tegengekomen, volgens de linuxkenners hier, is dit een beetje een goede iptables entry voor waar ik hem voor wil gebruiken? (bruteforce blocken)
[ code verwijderd ]
Of je installeert fail2ban die dit allemaal automatisch voor je doet (als je echt lui bent 
). Ik heb gewoon alles dicht gegooid vanaf buiten behalve wat ik echt gebruik, en dan daar achter fail2ban voor brute force attacks op ssh.
). Ik heb gewoon alles dicht gegooid vanaf buiten behalve wat ik echt gebruik, en dan daar achter fail2ban voor brute force attacks op ssh.
The cake is a lie!
Kijk eens naar denyhosts, gebruik dat zelf al tijden om ssh logins te blocken.quote:
Hoe stel ik in dat je maar 1x kan inloggen per ip per minuut? Of hoe bescherm ik me beter tegen die brute force dingen?
het is nogal een groot probleem zie ik, mijn logfile staat er vol mee
Het is geen groot probleem, tenzij je te weinig ruimte voor logfiles hebt. Als je sterke wachtwoorden gebruikt heb je er geen last van en is het geen risico. Op internet heb je constant te maken met allerlei gespuis die bijna non stop aan alle poorten zit te rammelen.quote:
Hoe stel ik in dat je maar 1x kan inloggen per ip per minuut? Of hoe bescherm ik me beter tegen die brute force dingen?
het is nogal een groot probleem zie ik, mijn logfile staat er vol mee
Wat je zou kunnen doen om ssh echt veiliger te maken: wachtwoordlogins disabelen in je sshd_config en alleen met public/private keys werken. Dan kunnen ze bruteforcen tot ze een ons wegen. Het voordeel is ook een nadeel: je hebt wel je keys nodig om in te loggen.
Ik maak me meer zorgen om de eventuele bandbreedte die ze gebruiken.quote:
[..]
Het is geen groot probleem, tenzij je te weinig ruimte voor logfiles hebt. Als je sterke wachtwoorden gebruikt heb je er geen last van en is het geen risico. Op internet heb je constant te maken met allerlei gespuis die bijna non stop aan alle poorten zit te rammelen.
Wat je zou kunnen doen om ssh echt veiliger te maken: wachtwoordlogins disabelen in je sshd_config en alleen met public/private keys werken. Dan kunnen ze bruteforcen tot ze een ons wegen. Het voordeel is ook een nadeel: je hebt wel je keys nodig om in te loggen.
Maargoed, ik heb het probleem volgensmij verholpen. Ik zal even uitleggen hoe zodat mensen er misschien nog wat van kunnen leren zoals ik gedaan heb
Ik heb ten eerste deze 2 lines aan mijn iptables toegevoegd (iptables gebruikte ik al standaard) De commands:
| 1 2 | sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP |
Dit zorgt er voor dat als je meer dan 8x per minuut probeert in te loggen dat je geblokkeerd wordt tot de volgende system reboot als je je iptables niet saved.
Vervolgens heb ik rootlogin over SSH uitgeschakeld (dit had ik altijd aan staan
)Daarna heb ik een certificate gemaakt, en plain passwords uitgeschakeld. Zodat alleen mensen met het certificate nog remote kunnen inloggen op mijn standaard user. Voor zover ik weet moeten dit voldoende maatregelen zijn, of niet?
Winnaar KLB verkiezingen 2012.
Om nog even terug te komen om mijn SSL probleem. Ik begrijp dat het met een nieuwere versie van Apache en OpenSSL wel gaat, echter dit heb ik niet uitgeprobeerd maar gekozen voor de makkelijke oplossing via een extra intern/extern ip voor de 2e domeinnaam.quote:
Geen idee, heb het nooit geprobeerd omdat het niet kan. Als ik die wiki moet geloven kan het idd wel, met wat mitsen en maren. Houd er wel rekening mee dat die pagina WIP is en dus nog niet helemaal volledig is.
Niet. Is goed voor de veiligheid en je skills.quote:Op dinsdag 22 mei 2012 21:45 schreef DutchErrorist het volgende:
Jongens, wel of geen GUI voor mijn server?
Skills heb ik al wel met CLI gelukkig. (Lang leve Arch).quote:
[..]
Niet. Is goed voor de veiligheid en je skills.
Oke maar wat moet er dan allemaal op draaien?
-Webserver
-Sabnzbd
-Webcam?
Weet iemand goede tools om dataverkeer te bekijken in cli of webpagina?
Andere dingen die leuk zijn om er op te draaien?
-Webserver
-Sabnzbd
-Webcam?
Weet iemand goede tools om dataverkeer te bekijken in cli of webpagina?
Andere dingen die leuk zijn om er op te draaien?
cli: vnstat
in je cron zetten en go
En wat je op je server moet zetten, das aan jouw.
Ik draai, Apache, DNS, mail, en nog wat onzin spul.
| 1 2 3 4 5 6 7 8 9 10 11 | #!/usr/bin/env bash PATH=/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin vnstat=/usr/bin/vnstat [ ! -x $vnstat ] && echo "Unable to run $vnstat" >&2 && exit 1 for int in $(ifconfig | grep "^[^ ]" | awk '{print $1}') ; do $vnstat --force -u -i $int done |
in je cron zetten en go
En wat je op je server moet zetten, das aan jouw.
Ik draai, Apache, DNS, mail, en nog wat onzin spul.
In theory there is no difference between theory and practice. In practice there is.
Oeeeeeh dank je Slacker_nl ik heb het nu eerst via pacman geinstalleerd (dus gewoon pacman -S vnstat). Wat doet die cronjob dan?
Oh en ik heb hier nog een antieke printer die met een printerpoort werkt, hoe kan ik deze het beste installeren? (HP Laserjet 1100).
Oh en ik heb hier nog een antieke printer die met een printerpoort werkt, hoe kan ik deze het beste installeren? (HP Laserjet 1100).
Die pakt elke interface en update de stats (elke zoveel minuten, afhankelijk van je crontab).quote:
Oeeeeeh dank je Slacker_nl ik heb het nu eerst via pacman geinstalleerd (dus gewoon pacman -S vnstat). Wat doet die cronjob dan?
Oh en ik heb hier nog een antieke printer die met een printerpoort werkt, hoe kan ik deze het beste installeren? (HP Laserjet 1100).
In theory there is no difference between theory and practice. In practice there is.
| Forum Opties | |
|---|---|
| Forumhop: | |
| Hop naar: | |