Sorry, wenn man es so hart sagen muss.
Das ist absolut richtig und habe ich auch schon in Post #11 gesagt. Wie war das jetzt mit *elec und Standarduser/-passwort? .
Sorry, wenn man es so hart sagen muss.
Das ist absolut richtig und habe ich auch schon in Post #11 gesagt. Wie war das jetzt mit *elec und Standarduser/-passwort? .
Standarduser und Passwort ist bei *ELEC kein Problem. Es ist halt nicht empfohlen eine ständige Portweierleitung auf das *ELEC Gerät zu geben und/oder SSH ständig aktiv zu lassen. Daher ist es per Default auch auf "deaktiviert" gesetzt. Passwort Authentifikation deaktivieren und SSH via Key-Authentication ist da der empfohlene Weg.
Aber wie du siehst...selbst, wenn der User die Möglichkeit hat, das Passwort zu ändern, wird es nicht gemacht
Ich persönlich kann als Abschottung nach außen (Internet) IPFire empfehlen. Mit einem Banana PI und einem zusätzlichen Ethernet Adapter sind 30 MBit's kein Problem - mehr gibt meine Leitung nicht her. IPFire ist simple in der Installation und Konfiguration. Ich selber nutze zwei fixe öffentliche IP-Adressen und sogar diese Anforderung setzt IPFire um. Für Zugriff von außen wie gehostete Webseiten können Regeln definiert werden und für den Administrativen Zugang verwende ich OpenVPN. Hatte seit 'nem Jahrzehnt kein Problem - betreffend IPFire. Die Variante mit dem Banana PI hab ich noch nicht so lange im Einsatz. Damals musste zur Installation noch ein extra Kabel verwendet werden.
Das hat ja eigentlich alles nix miteinander zu tun, wenn der ssh Dienst erreichbar ist und der Login bekannt.
Es muss einfach so konfiguriert sein, dass kein bruteforce Erfolg hat, auch wenn das Gerät dauerhaft von aussen erreichbar ist.
Alles andere ist Augenwischerei.
Port Knocking wäre auch eine Überlegung wert
Der einfache und schnelle Weg für mich (äh Sohnemann) ist jetzt fail2ban und sicheres Passwort. Als 3. Vorhängeschloss später noch SSL per Zertifikat (Key-Auth). Mehr lohnt nicht für ein Mediacenter (Aufwand/Nutzen). Fernwartmöglichkeit muss bleiben, ich habe keine Lust wegen einer Kleinigkeit 30km zu fahren.
Kleiner tweak für fail2ban: in der config die bantime = -1 setzen für permanentes Sperren
Hast du das Skript vielleicht irgendwo noch rumliegen? Fänd ich für meinen Seafile-Server eigentlich doch sehr sehr praktisch, würde mich jedenfalls beruhigen.
Nimm diese Anleitung. Da steht noch mehr drin, was benötigt wird.
https://jankarres.de/2014/03/raspbe…-ssh-anmeldung/
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!