Copyright 1998-2010 Tweakers.net Fri, 19 Mar 2010 10:59:29 GMT Fri, 19 Mar 2010 10:59:29 GMT http://tweakers.net/reviews/76 Tweakblogs.net is de weblog service van Tweakers.net, de grootste hardwaresite en techcommunity van Nederland. http://tweakblogs.net/ http://tweakimg.net/g/if/logo.gif 60 60 Tweakblogs.net nl-nl http://ulyssesnl.tweakblogs.net frontpage@tweakers.net http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8272 @Loekie: volgens mij is de eerstelijns helpdesk van XS4All al een tijdje geoutsourced naar een derde partij (weet zo de naam niet meer, iig niet KPN). Tweedelijns ondersteuning en verder wordt nog wel zelf door XS4All gedaan. mindcrash http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8272#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8272 Sat, 06 Dec 2008 12:45:28 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8185 @Mutsje: XS4all heeft nog eigen helpdesk hoor. Loekie http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8185#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8185 Tue, 02 Dec 2008 11:31:03 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_8170 Ik draai zelf mijn SSH op poort 22, icm knockd om te zorgen dat er "niemand" bij kan komen zolang ze de juiste knockd procedure niet kennen. Ik heb overigens een state driven iptables configuratie, dus ook iets andere iptables rules in gebruik icm knockd. Voor Windows is er een precompiled variant te vinden op internet en veel distros hebben knockd in hun repositorys zitten. Ik heb ergens een knock.cmd, knock.sh en knock.exe files op een webserver staan, zodat ik de procedure zelf nog kan benaderen. Ik wil ook nog iets gaan doen met "multifactor authenticatie" (iets icm SMS) vanaf onbekende IPs. KingOfDos http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_8170#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_8170 Tue, 02 Dec 2008 01:22:18 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8169 Ik heb al +/- 2 jaar TweakDSL. Minimale uitval van lijn (enkel linedrop voor 1 tot 10 seconden), soms 1x per week, soms 1x per 3 maanden. Dit is wegens de wat mindere kwaliteit van het koper. Echter had ik bij Demon (tegenwoordig XS4ALL) gemiddeld 20x per dag een "MPOA link down" en "MPOA link up" welke direct achter elkaar plaatsvinden (waardoor alle openstaande sessies dood gaan ivm link loss). De helpdesk is op niveau en proberen je in ieder geval "serieus" te helpen, wat je niet kan zeggen van Ziggo/Demon/whatever. 1x langere storing gehad, dit was schuld van een onhandig zaagactie van een aannemer (door +/- 15 glasvezel kabels heen, en veel aders (100? 200? dunno)). Om een lang verhaal kort te houden was dit niet de schuld van TweakDSL, meer van de ADSL architectuur icm zeer grote fout van aannemer. KingOfDos http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8169#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8169 Tue, 02 Dec 2008 00:58:31 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8168 Solcon? ConceptsICT? mae-t.net http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8168#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8168 Mon, 01 Dec 2008 23:23:21 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8162 Ik heb al een paar jaar TweakDSL en dat bevalt best. Uitstekende newsserver (retentie 1000 dagen en compleet). Via de helpdesk kun je een vast IP-adres regelen. Vast wil zeggen dat het gekoppeld is aan je MAC adres (moet dus wel constant zijn), En daarna kun je desgewenst de reverse DNS laten instellen via de helpdesk. Dat heb ik laten doen naar mijn <achternaam>.net wat ik via een andere partij gekocht heb. fractal http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8162#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8162 Mon, 01 Dec 2008 18:58:12 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8159 ik zelf ben enige tijd geleden van tevreden XS4ALL klant over gestapt naar TweakDSL. Waarom. Tweakdsl leverd het zelfde als XS4ALL maar dan meer dan de helft goedkoper. Ze hebben net als XS goede news serverst staat, de helpdesk reageert net als bij XS goed en adequaat. Hoewel ik gehoord heb dat de skilled helpdesk van XS over gegaan is naar de n00bs bij KPN mutsje http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8159#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8159 Mon, 01 Dec 2008 15:19:58 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8154 Ik heb een dualboot systeem en iedere keer als ik Debian boot krijg ik een ander ip. Onder windows heb ik vreemd genoeg wel altijd hetzelfde ip.Kwestie van configgen? Je kan in *nix instellen welke vendorclass moet worden doorgegeven (gebruik die eens van Windows) en je kan instellen voor welk IP je het liefst een lease krijgt (stel die van onder Windows eens in).Ik denk dat je het onwenselijk vind dat je een ander IP krijgt alleen blijkt niet waarom.Vaak van IP wisselen is onwenselijk in zijn algemeenheid. Er nestaat de kans dat je een geblacklist IP-adres krijgt indien de vorige eigenaar van het IP malware op zijn computer had. Eveneens kun je bergen met ongewenst verkeer krijgen afhankelijk van de software die de vorige eigenaar op zijn PC had (paar honderd MB tot meer dan een Gigabyte de eerste maand). Je kan veel moeilijker bepaalde systemen instellen om IP-adressen als extra beveiliging te gebruiken (SSH e.d.). En je kunt eerder tegen reverse DNS problemen aanlopen (mail, IRC, etc); mijn record is 18 maanden een verkeerde reverse DNS bij @home (en reverse DNS of DNS in het algemeen snappen ze bij de helpdesk niet). Klaus_1250 http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8154#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8154 Mon, 01 Dec 2008 12:47:02 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8153 @t-x-m Ik heb een tcpdump gedaan op mijn eth0 interface onder debian. Ik hang rechtstreeks aan het modem. Als je achter een router zit zul je die requests niet zien. Onder windows kan je wireshark gebruiken. @twixx Ik ga het natuurlijk gewoon telefonisch opzeggen. UlyssesNL http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8153#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8153 Mon, 01 Dec 2008 12:17:54 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8152 Er komt bij mij continu een datastroom met arp requests binnen van 3 kb per seconde.Je legt een constatering neer van jouw kant maar je verteld niet welk probleem je daarmee hebt.Ik heb een dualboot systeem en iedere keer als ik Debian boot krijg ik een ander ip. Onder windows heb ik vreemd genoeg wel altijd hetzelfde ip.Heeft UPC een vast IP gegarandeerd? Of hebben ze internettoegang gegarandeerd? Ik denk dat je het onwenselijk vind dat je een ander IP krijgt alleen blijkt niet waarom.Nu wou ik het abonnement al eerder opzeggen alleen hebben jullie hem stilzwijgend verlengd. Helaas voor jullie hebben jullie een tariefwijziging doorgevoerd.Spreektaal?Dat betekent dat ik kosteloos alles mag opzeggen wat ik bij deze doe... per ... (datum) en daarvan ontvang ik graag een schriftelijke bevestiging. twixx http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8152#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8152 Mon, 01 Dec 2008 12:10:10 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8151 Als je de overgang plant kun je het beste bijv. op zondag laten afsluiten en op maandag het nieuwe in laten gaan. Op zondag gaan ze echt niet afsluiten dus heb je dan nog mooi internet en op maandagmorgen wordt het dan afgesloten. De nieuwe is altijd traag dus die gaat dan pas 's middags in. Zo liep het perfect bij ons de afgelopen keer TEAMIKKE http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8151#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8151 Mon, 01 Dec 2008 12:01:31 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8150 Er komt bij mij continu een datastroom met arp requests binnen van 3 kb per seconde.Hoe meet je dat dan? Ben eigenlijk wel nieuwsgierig hoe dat bij mij is!? t-x-m http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8150#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8150 Mon, 01 Dec 2008 11:53:19 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8147 @ Erkens Oh ja windows probeert altijd de oude lease te krijgen . Hebben we op het werk ook wel eens issues mee. Dat zal het probleem zijn. Maar dan zal ik alsnog wel overstappen UlyssesNL http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8147#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8147 Mon, 01 Dec 2008 10:45:38 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8146 Je linux bak onthoudt blijkbaar zijn lease niet goed, of de lease is al expired waar windows alsnog eerst probeerd het oude ip te krijgen. Met mijn chello verbinding is de leasetime overigens slechts een uurtje Erkens http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8146#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8146 Mon, 01 Dec 2008 10:43:15 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8145 TweakDSL ftw. Altijd hetzelfde IP, geen FUP, jij bent de baas en dikke Usenet access. Zoals het hoort. FiXeR.nl http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8145#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8145 Mon, 01 Dec 2008 10:35:23 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8144 @ Erkens Ik weet dat UPC geen vast ip geeft. Toch is het wel heel apart dat ik al maanden onder windows hetzelfde ip heb en onder linux elke boot een andere. Naar mijn weten gaat de lease van upc op mac adres. En mijn mac adres is onder windows en linux 100% gelijk. UlyssesNL http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8144#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8144 Mon, 01 Dec 2008 10:33:45 GMT http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8143 Ik heb een dualboot systeem en iedere keer als ik Debian boot krijg ik een ander ip. Onder windows heb ik vreemd genoeg wel altijd hetzelfde ip.Wellicht eens tijd dat je naar je configuratie gaat kijken? Verder geeft UPC geen vast IP, dus dat is een beetje een onzinnige melding. Erkens http://ulyssesnl.tweakblogs.net/blog/1236/overstappen.html#r_8143#reacties http://ulyssesnl.tweakblogs.net/blog/1236#r_8143 Mon, 01 Dec 2008 10:26:57 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_7720 Een paar jaar geleden zag ik hetzelfde probleem: volk dat via SSH probeert in te loggen. Ik heb echter een andere methode gebruikt om dit tegen te gaan. Mijn firewall laat alleen SSH toegang vanaf specifieke IP adressen toe, nl van mijn werk, en van de universiteit (waar mijn shell-account nog steeds actief is..,). Indien ik ergens op de wereld ben, en ik voel de noodzaak om thuis in te loggen, dan doe ik dat via de universiteit (zo goed als 100% uptime). Vandaaruit via ssh-naar mijn eigen server. Verder is root-login uitgeschakeld terabyte http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_7720#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_7720 Wed, 12 Nov 2008 20:51:27 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_7495 Opzich een goede oplossing. Je blijft echter afhankelijk van de veiligheid van je sshd. Stel deze is een keer kwetsbaar dan staat je sshd nog altijd open voor de hele buitenwereld. Je kunt er ook voor kiezen met iptables het eea af te schermen zodat niet zomaar ieder IP verbinding mag maken naar je host. Een andere manier zou zijn dat je met je /etc/hosts.allow aan de slag gaat waar je zoals de bestandsnaam al aangeeft kunt configureren voor welke service bepaalde hosts worden toegelaten.. Jules http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_7495#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_7495 Sat, 01 Nov 2008 07:12:01 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_7036 Handig, thanx! Ik gebruik ook al een tijdje 443, maar dan om de reden dat bijna niks anders open staat wat bruikbaar is op school domi235 http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_7036#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_7036 Fri, 17 Oct 2008 10:48:35 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6901 @ UlyssesNL Ik lees t graag. Werkt btw fantastisch, ik haal geregeld mijn privé email over een ssh tunnel naar binnen (soms verbaas je je wel dat de usb poort te gebruiken is in een internet café) Pantagruel http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6901#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6901 Sat, 11 Oct 2008 18:35:29 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6898 @ puch maxi Ik ga ieder geval nog meer blog postings maken. Waaronder ook howto's. Als je een request heb kun je het ook altijd proberen natuurlijk. UlyssesNL http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6898#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6898 Sat, 11 Oct 2008 15:20:45 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6897 Erg leuke howto, erg nuttig ! Ga je nog meer van deze korte (security) howto's maken ? Puch-Maxi http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6897#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6897 Sat, 11 Oct 2008 14:48:42 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6890 SSH draaien op een niet standaard poort maakt bijna niks uit voor de beveiliging. Een redelijk password is niet te bruteforcen, zeker niet met een halve poging per seconde. Zodra je certificaten hebt opgezet kan je "PasswordAuthentication" op "no" zetten en hoef je je helemaal geen zorgen meer te maken over bruteforce. En als je band breedte wilt besparen kan je ook nog de snelheid van de brute-forceers afknijpen tot 1 byte/s. Floort http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6890#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6890 Sat, 11 Oct 2008 12:52:43 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6885 @pantagruel Thx voor de opbouwende kritiek. Toevallig was ik al van plan om het binnenkort over tunneling te gaan hebben. @Linux-Tux Ik heb die poort gekozen omdat je dan geen gezeur hebt met proxies waar je niet doorheen komt. En ook al zou ik mijn usb stick kwijt raken dan kan ik nog ssh-en met mijn telefoon zelf. Daar kan ik dan weer tijdelijk de keyboard authentication aanzetten. UlyssesNL http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6885#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6885 Sat, 11 Oct 2008 11:32:10 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6884 Ik ken het probleem, vriend van me had het ook en vroeg zich af waarom ik er nooit last van had (terwijl hij ook een account had op mijn server ... d0h) Ik heb gewoon een HELE vage poort gekozen om SSH op te draaien en afgelopen 7 jaar zo nu en dan een foute login attempt gehad, maar geen brute force voorbij zien komen. Keys zijn leuk, totdat je ergens een keer in een hotel zit zonder laptop/usb stick ... en dan? Ja, je hebt de key ook op je micro SD kaartje staan in je mobiel, maarja, zie die key maar eens op die hotel PC te krijgen. Met andere woorden, poort verandering was voor mij al genoeg en blijft vooral bruikbaar. @ UlyssesNL: Waarom een poort kiezen waar al de afspraak over gemaakt is om voor HTTPS te gebruiken? Vroeg of laat zal iemand die random sites scanned voor Apache/IIS vulnerabilities er toch achter komen wat er achter die poort zit. Just my 2 cents LinuX-TUX http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6884#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6884 Sat, 11 Oct 2008 10:59:25 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6881 Ik heb ssh op de standaard poort laten staan en werd knap beroerd van de attacks (een tail -f van het logfile was niet "bij te houden" zo snel ging het) en heb Fail2Ban geïnstalleerd. DenyHost ken ik niet uit ervaring. Na 5 mislukte pogingen zet Fail2Ban het betreffende ip-adres in de blacklist waar ze toen ik begon na 10 minuten weer uit kwamen. Dat bleek te kort want je zag zo hetzelfde ip-adres weer aan de gang gaan. <g> Uiteindelijk heb ik er maar 24 uur van gemaakt en dat helpt uitstekend <g> fractal http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6881#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6881 Sat, 11 Oct 2008 07:13:24 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6880 Leuke blog entry, maar uiteindelijk niets meer dan een 13 in een dozijn beschrijving (als in how-to's genoeg hoe je ssh toegang middels key/token access kan beveiligen), wel handig als eigen geheugen steuntje. Opbouwende 'kritiek' Als je dingen als DenyHost en/of Fail2Ban in dit blogje mee zou nemen en een stukje mbt ssh tunneling (bijv. imap/pop/http over de gebruikte ssh verbinding) zou toevoegen heeft t meer waarde tov de hand vol losse how-to's die je anders zou gebruiken. Pantagruel http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6880#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6880 Sat, 11 Oct 2008 06:38:23 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6879 Er zijn meer optie natuurlijk, maar vind die van jou wel erg veilig en in mijn eigen geval gewoon niet handig, ik vergeet gewoon tevaak spullen als bijvoorbeeld usb key.Keys van een systeem dat schijnbaar dermate belangrijke software of andere data bevat dat het op een dergelijke manier beveiligd dient te worden zal je niet zomaar vergeten of rond laten slingeren. Kwestie van verantwoordelijkheid en een stukje gewenning. Overigens is deze manier helemaal niet zo moeilijk of vervelend zoals je doet overkomen siepeltjuh, zorg gewoon dat overal waar je eventueel toegang tot je systeem dient te hebben je de key bij je hebt, zet deze des noods op je telefoon of het SD kaartje hiervan.. SoaDmaggot http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6879#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6879 Sat, 11 Oct 2008 05:31:36 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6876 Nou ja hoe veiliger hoe beter, het moet wel bruikbaar blijven. Als je een wachtwoord gebruikt als Not3nd0P weet ik zeker dat ze niet in 10 pogingen binnen zijn. Hoewel ik zelf nooit een woord zou kiezen, maar willekeurige reeks, die begint midden in het alfabet. (meeste brute force begint bij a en gaat tot z of reverse) En voor een thuis desktop systeempje lijkt me het echt geen giga issue. belangrijke data moet je toch altijd in alle gevallen offline bewaren (brand / diefstal / etc) Er zijn meer optie natuurlijk, maar vind die van jou wel erg veilig en in mijn eigen geval gewoon niet handig, ik vergeet gewoon tevaak spullen als bijvoorbeeld usb key. Ben erg benieuwd naar je komende blogs over debian. siepeltjuh http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6876#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6876 Fri, 10 Oct 2008 22:57:01 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6875 Het nadeel met de optie van Gerco is dat als ze in die 10 keer die ze mogen proberen puur toevallig het goede raden dat ze binnen zijn. Maar mijn manier is ook maar 1 manier van de vele manieren om het op te lossen en volgens mij is het de veiligste (als dit niet zo is hoor ik het graag hoe veiliger hoe beter). UlyssesNL http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6875#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6875 Fri, 10 Oct 2008 22:39:35 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6874 Optie van Gerco lijkt me een stuk makkelijker, geen gedoe met keys. In het blog gegeven artikel geeft me het 'och shit usb met key vergeten' gevoel. Niet dat het niet goed is, heel veilig, maar tmoetook makkelijk in gebruik zijn. Natuurlijk zitten ook aan de ban methode haken en ogen. Iemand kan eenvoudig op een ander ip verder gaan, of als het via een bot netwerk gaat zijn er flink wat attempts mogelijk. In mijn ogen is het iig voor een thuis systeem afdoende. Bij een systeem met zeer kritische processen moet je een fatsoenlijke corperate firewall plaatsen + dmz en hele reutemeteut. siepeltjuh http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6874#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6874 Fri, 10 Oct 2008 22:26:02 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6872 Ik gebruik denyhosts tegen die brute force attacks. Na een instelbaar aantal login attempts wordt een IP voor een bepaalde tijd of voor eeuwig in /etc/hosts.deny gezet en kan hij dus niet meer connecten. Best handig en als je het zo inregelt dat een host maximaal een x uur niet meer kan connecten heb je ook niet al teveel last met mensen die hun password vergeten en zich zo laten blocken Bij mij staat het op 10x verkeerd en 24 uur block, werkt perfect. Gerco http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6872#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6872 Fri, 10 Oct 2008 21:28:26 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6871 hmmmz, ik heb alleen de standaard poort veranderd naar poort 443 (om door de schoolproxy heen te komen en tegen dit soort geintjes) en ik heb nergens last van. isama http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6871#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6871 Fri, 10 Oct 2008 20:36:56 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6869 @ ets36s Uiteraard moet je ssh opnieuw starten dank je ik heb het even toegevoegd. Als je je poort wijzigt zal je waarschijnlijk nooit een brute force attack voor je kiezen krijgen tenzij iemand eerst een poortscan doet. De meeste geautomatiseerde attacking machines zullen zover niet gaan. UlyssesNL http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6869#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6869 Fri, 10 Oct 2008 20:05:48 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6868 Ik mis alleen het feit dat je ssh niet opnieuw start? Anders worden de wijzigingen namelijk niet doorgevoerd. /etc/init.d/ssh restart et36s http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6868#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6868 Fri, 10 Oct 2008 20:03:12 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6867 Hm klinkt erg goed misschien mijn eigen servers ook eens onder handen nemen. Alleen heb ik net even /var/log/auth.log gecontroleerd en volgens die log heeft niemand een poging gedaan om binnen te komen. Al heb ik uiteraard wel de standaard poort gewijzigd. et36s http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6867#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6867 Fri, 10 Oct 2008 19:57:13 GMT http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6866 Dit is wel handig Materiaal; Ga ik zeker een keer gebruiken . Binnenkort maar eens een debian installeren op een virtual machine. Hier heb ik veel aan ; Bedankt. LuckY http://ulyssesnl.tweakblogs.net/blog/1138/ssh-beveiliging.html#r_6866#reacties http://ulyssesnl.tweakblogs.net/blog/1138#r_6866 Fri, 10 Oct 2008 19:56:25 GMT