Hallo liebe Userinnen und User,
nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.
Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.
Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.
Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.
Was heißt dann für dich *was laufen*?
Und bitte nach das von split nicht einfach und 1:1 nach sondern lese die Anleitungen der Befehle damit du verstehst was du da tust. Durch Kopieren lernt man meist nicht.
[/die Sicherheit seines Routers killt...QUOTE]
GANZ sicher nicht. Oder was lässt dich das vermuten?
Portforwarding umgeht für den entsprechenden Port die Firewall des Routers, killt damit die Sicherheit
[Zumal der RPi 2 dafür bekannt ist, notorisch SD-Karten zu grillen.
Nagel SSH so zu, dass sich nur noch der neu angelegte User mit 4096bit-RSA, ECDSA oder ähnlich komplexen Keys anmelden kann (AllowUser, PasswordAuthentication no, UsePAM no, LoginGraceTime 2s)
[/automatische Aktualisierung via ddclient einQUOTE]
DDNS wird bereits über ein anderes System aktualisiert (gleicher DDNS Name).
Ignoriere die 100 Anmeldeversuche pro Woche am SSH, die du automatisch bekommen wirst
Warum eigentlich? Also wieso gibt es bei SSH soviele Verssuche, aber z.B. bei Nextcloud keinen?
Dann kannst du ihn von extern nicht per SSH erreichen, und wenn du hausintern deine Verbindung über DynDNS auflöst, kommt es auf den Router an, wie clever oder doof der ist, ob er die externe IP als intern erkennt und ohne den Umweg nach draußen deinen Server kontaktiert. Das bedeutet: Ob du eine Verbindung zum SSH-Server kriegst, ist eher Glücksspiel. Und wenn SSH eh nicht von außen erreichbar ist, warum schaltest du dann Fail2ban vor? Das macht gar keinen Sinn.Das ist logisch, sonst würde man ja kein Gerät erreichen. Aber ich habe nur den Port 443 am Pi offen, sonst nichts. Also KEIN SSH (22).
Weil du komische Fehler hast, wir ständig dein Setup raten müssen und mittlerweile keiner mehr bei deinen Problembeschreibungen durchsteigt. Ergo: Nochmal von vorn, und zwar gescheit mit allen Configs und allen Einstellungen hier gepostet. Dann kann man auch helfen.Aber wieso soll ich nun wieder alles nu machen? Wenn ich den anderen Benutzer anlege, wie von thesplit erläutert, reicht das nicht?
Weil SSH ein Steuerungsdienst ist, und das als Angriffsziel sehr lohnend ist, wohingegen NextCloud (also der Apache) keine Rechte auf einem System hat und damit relativ uninteressant ist. Was nicht heißt, dass SSH weniger sicher oder NextCloud sicherer ist, eher das Gegenteil. Bei SSH verkacken nur öfter mal die User, und die Admins, indem sie schwache Passwörter zulassen. Daher hab ich dir auch geschrieben, was du einstellen musst, um BruteForcing von vornherein zu unterbinden.Warum eigentlich? Also wieso gibt es bei SSH soviele Verssuche, aber z.B. bei Nextcloud keinen?
Dann kannst du ihn von extern nicht per SSH erreichen
Und wenn SSH eh nicht von außen erreichbar ist, warum schaltest du dann Fail2ban vor? Das macht gar keinen Sinn.
Weil du komische Fehler hast, wir ständig dein Setup raten müssen und mittlerweile keiner mehr bei deinen Problembeschreibungen durchsteigt. Ergo: Nochmal von vorn, und zwar gescheit mit allen Configs und allen Einstellungen hier gepostet. Dann kann man auch helfen.
Weil SSH ein Steuerungsdienst ist, und das als Angriffsziel sehr lohnend ist, wohingegen NextCloud (also der Apache) keine Rechte auf einem System hat und damit relativ uninteressant ist.
Daher hab ich dir auch geschrieben, was du einstellen musst, um BruteForcing von vornherein zu unterbinden.
mit 4096bit-RSA
Jan 11 09:35:01 nas sshd[201]: Could not get shadow information for NOUSER
Jan 11 09:35:01 nas sshd[201]: Failed password for invalid user wordpress from 185.143.223.135 port 51761 ssh2
Jan 11 09:35:01 nas sshd[201]: Connection closed by invalid user wordpress 185.143.223.135 port 51761 [preauth]
Jan 11 09:35:02 nas sshd[201]: Failed password for git from 185.143.223.135 port 51876 ssh2
Jan 11 09:35:02 nas sshd[201]: Connection closed by authenticating user git 185.143.223.135 port 51876 [preauth]
Jan 11 09:35:02 nas sshd[201]: Invalid user www-data from 185.143.223.135 port 51946
Jan 11 09:35:06 nas sshd[201]: Could not get shadow information for NOUSER
Jan 11 09:35:06 nas sshd[201]: Failed password for invalid user www-data from 185.143.223.135 port 51946 ssh2
Jan 11 09:35:06 nas sshd[201]: Connection closed by invalid user www-data 185.143.223.135 port 51946 [preauth]
Jan 11 09:35:07 nas sshd[201]: Failed password for root from 185.143.223.135 port 53565 ssh2
Jan 11 09:35:07 nas sshd[201]: Connection closed by authenticating user root 185.143.223.135 port 53565 [preauth]
Jan 11 09:35:07 nas sshd[201]: Invalid user vnc from 185.143.223.135 port 53700
Jan 11 09:35:07 nas sshd[201]: Could not get shadow information for NOUSER
Jan 11 09:35:07 nas sshd[201]: Failed password for invalid user vnc from 185.143.223.135 port 53700 ssh2
Jan 11 09:35:07 nas sshd[201]: Connection closed by invalid user vnc 185.143.223.135 port 53700 [preauth]
Jan 11 09:35:12 nas sshd[201]: Invalid user cisco from 185.143.223.135 port 54960
Jan 11 09:35:12 nas sshd[201]: Could not get shadow information for NOUSER
Jan 11 09:35:12 nas sshd[201]: Failed password for invalid user cisco from 185.143.223.135 port 54960 ssh2
Jan 11 09:35:12 nas sshd[201]: Connection closed by invalid user cisco 185.143.223.135 port 54960 [preauth]
Jan 11 09:35:12 nas sshd[201]: Invalid user PlcmSpIp from 185.143.223.135 port 55073
Jan 11 09:35:12 nas sshd[201]: Could not get shadow information for NOUSER
Jan 11 09:35:12 nas sshd[201]: Failed password for invalid user PlcmSpIp from 185.143.223.135 port 55073 ssh2
Jan 11 09:35:12 nas sshd[201]: Connection closed by invalid user PlcmSpIp 185.143.223.135 port 55073 [preauth]
Jan 11 09:35:13 nas sshd[201]: Failed password for root from 185.143.223.135 port 55170 ssh2
Jan 11 09:35:13 nas sshd[201]: Connection closed by authenticating user root 185.143.223.135 port 55170 [preauth]
Na, wenn du meinst... Ich habs nicht, leite Port 22 direkt durch zum Server und hab auch keine Probleme, weil ich Passwörter nicht zulasse. Damit brechen die meisten Scripte sofort ab.Fail2Ban konfiguriert zu haben, ist aber kein Fehler.
Die Daten, die sich hinter einer Nextcloud verbergen, sind für 99,999% der Angreifer nutzlos. Und du bist ein zu kleiner Fisch, um einen gezielten Angriff rechzufertigen.Ja, klar, aber einen Server mit Daten anzugreifen muss ja auch nicht uninteressant sein. Aber klar, was du meinst.
Ich hab nicht 4096bit geschrieben, weil ich ne Rechenschwäche hab. 2048bit ist next-to-broken, also nicht mehr für neue Keys zu verwenden. 8192bit wird AFAIK nicht von allen Systemen unterstützt, wobei ich mir bei SSH da grad nicht sicher bin, insofern kannst du auch gern 8192 nehmen, aber nicht unter 4096, was RSA angeht.Kann ich bei PuttyGen das einfach durch 2048 austauschen? Und 8192bit sollte nicht nötig sein, oder?
Na, wenn du meinst... Ich habs nicht, leite Port 22 direkt durch zum Server und hab auch keine Probleme, weil ich Passwörter nicht zulasse. Damit brechen die meisten Scripte sofort ab.
sind für 99,999% der Angreifer nutzlos.
Ich hab nicht 4096bit geschrieben, weil ich ne Rechenschwäche hab.
Zu musvs Tipp mit dem anderen Port: Das ist eine Unsitte, die ich hier als Tipp ehrlich gesagt nicht sehen will.