Hallo !

Ich hab daheim ne kleine Debian-Kiste stehn, die ich unter anderem gelegentlich dazu nutze, dass Freunde per SFTP Sachen hoch -bzw. runterladen können. Zum Einsatz kommt der openssh-Server. Es handelt sich um 8-10 Personen, die Zugriffsrechte haben. Da die ganzen Leute nur bei 3 unterschiedlichen Providern sind und ich manchmal Zugriffsversuche von wildfremden IP's aus der ganzen Welt in den Logfiles sehe, wollte ich das ganze dahingehend absichern, dass nur IP's dieser 3 Provider auf den Server zugreifen dürfen, alle anderen werden sofort abgeblockt, was als zusätzliche Sicherheit genügen sollte. Akzeptiert werden sollen also z.B. nur Verbindungen der Form *.dip.t-dialin.net. Das ganze soll auch noch für einen weiteren Dienst so laufen, sprich ich würde gerne auf den beiden Ports der Dienste nur IP's der drei Provider zulassen.

In meinem Router kann ich keine solche Regeln definieren, also bleiben wohl nur Konfigurationsmöglichkeiten der Dienste oder IPTables oder so, mit dem ich leider keinerlei Erfahrung habe. Kann man sowas in der "sshd_config" vom openssh-Server direkt einstellen ? Ich hab bisher noch nix dazu gefunden und um IPTables wollte ich mich wenn möglich irgendwie drumrumschummeln ;)

Danke schonmal !

mmm...

Shorewall ist eine einfachere Form um IPTables zu konfigurieren, vielleicht kommst du damit besser klar.

Hier steht was zu SSH http://arktur.schul-netz.de/wiki/index.php/Administratorhandbuch:SSHServer

Edit: Shorewall/ IPTables dürften bei dir aber nicht wirklich gegen Hackerangriffe helfen, da der IP- Bereich der Telekom doch ziemlich groß ist. So gesehen bleiben dir da eher SSH- Optionen, um die Sache einzuschränken. Zum Beispiel mit den Keys, um Passwortauthenzifizierung zu deaktivieren.

gegen die üblichen bot-angriffe dürfte es schon reichen, den port zu wechseln.
ansonsten starke passwörter und kein ssh-login für den root erlauben, dann werden die bots eh nicht weit kommen.

Danke erstmal für die Antworten !

Der root-login ist deaktiviert und der Port wurde ebenfalls schon geändert. Den Login per Public-Key möchte ich meinen Leuten nicht zumuten, die sind schon froh, wenn sie nen ftp-Client konfiguriert kriegen oder ein Programm installieren können :)
Die unbekannten IP's stammen überwiegend aus dem fernöstlichen Raum, drum würde mir eine Beschränkung auf z.B. den Telekom-Bereich schon genügen.
Ich les mir deinen Link gleich mal durch.

könntest mit der hosts.allow und der hosts.deny was drehen

Das hab ich grade gemacht und es scheint auch genau das zu sein, nachdem ich gesucht hab :)

Ich möchte auch noch ostiary (http://ingles.homeunix.net/software/ost/) vorschlagen. Dies ist eine Anwendung, die ein äußerst einfaches Protokoll bedient. Die Idee ist, daß ein solch einfaches Protokoll kaum fehleranfällig ist.

Funktionieren soll das so: Alle Ports des Servers sind gesperrt, außer ein Port, auf dem ositary läuft. Wird das richtige Passwort (bzw. dessen Hash) übertragen, kann man per Skript weitere Ports für die Quell-IP freigeben.

Das hat mehrere Vorteile:

- wie schon gesagt, das Protokoll dürfte kaum fehleranfällig sein. Pufferüberläufe dürften ausgeschlossen sein.
- Man muß nur einen einzigen Port offen halten
- Dies kann irgendein Port sein. Viele automatische Attacken scannen nur bestimmte Ports.