Also wenn ich mir das gerade durchgelesen habe ist es doch prinzipiell das Selbe. Mit dem Unterschied dass dort der Port geöffnet wird. Das Problem beim Protknocking ist ja dass der Server ja trotzdem für die Abfolge lauscht. Zumindest so wie ich es überflogen habe:
https://de.wikipedia.org/wiki/Portknocking
Ich kenne mich nicht insoweit aus. Und deshalb kenne ich bestimmte professionelle Lösungen gar nicht erst. Es gibt ganz bestimmt bessere Lösungen. Mit wenigen kniffen funktioniert meine vorerst halt auch. Und das mit 2 oder 3 Zeilen Code. Ich kann dies auch der Professionalität her bestimmt nicht so einschätzen wie Du. Wichtig ist mir halt das ganze zu unterbinden. Ich habe ja eigentlich ja gar kein Problem. Einzige was ich jetzt nur machen muss ist halt sich auf einen meiner anderen statischen Server zu verbinden um von denen aus mittels SSH auf den Server zuzugreifen. Im Prinzip kann man getrost sagen ein unprofessioneller Tunnel. Da muss ich dir wohl im Prinzip vollkommen Recht.
Darüber hinaus habe ich noch die weniger professionelle Lösung genommen, ein kleinen Backdoor einzubauen. Für den Fall der Fälle z.B. mittels FTP/DYDNS die Möglichkeit eine weitere IP anzugeben, falls ich zum Beispiel im Urlaub notmäßig was erledigen muss. Klar ist das nicht professionell. Aber auch kein Aufwand. Ich brauche im Prinzip nur eine Shell mit 5 bis 6 Zeilen Code.
Das habe ich vorgenommen:
1.) Eintrag in /etc/hosts.deny
Das Ganze war jetzt mal abgesehen von der Theorie die Zeit und Hilfe von Euch in Anspruch genommen hat, zum nachmachen oder wiederholen eine Arbeit von 10 Minuten. Also nix wildes. Und es funktioniert. Und ich wüsste auch nicht ganz wo die Gefahren sind. Denn wenn irgend was beim Abgleich schief geht, dann bleiben Statische IPs. Und zum Schluss immer noch der Remote Zugriff vom Provider vor Ort. Zudem bleiben meine Statischen Server immer Login Berechtigt. Der anderen Sicherheit halbe sind ja alle Anderen Verbindungen abgewiesen.
Ich denke Mal wenn ich es zumindest selbst gemacht hab, verstehe ich auch vollkommen wie ich es gemacht habe und wie es auch funktioniert. Ich bin sicher weder Guru noch Experte. Aber den Port hab ich erst Mal da wo ich ihn haben wollte. Insofern bin ich auch dankbar für die Hilfe.
Zu aller letzt bleibt immer noch die RemoteHand auf 127.0.0.1 aber von außen mit einer Fermden IP noway.
Ich weis nur eines. Ich habe Monate lang BF Attacken gehabt. Da bat ich sogar meinen Provider um Hilfe der per Remote Firewall und alles gemacht hat. Und trotzdem war meinte AUTH Log voll fehlherhafter Login Versuchen. Und zwar manchmal tausende die Stunde. Und nun habe ich seit 48 Stunden Ruhe. Nicht ein Eintrag. Firewall hin und her. Und IP Tables super Sache. Allerdings bringt das nichts wenn ständig eine andere IP sich anmeldet. Wenn der Hacker ein Pool von praktisch unendlich IPs nutzt nützt die Firwall auch nichts. Ausserdem hat er immer hin 1 2 oder 3 Loginversuche je IP bis er in der Table landet. So hat er genau genommer erst mal nicht 1 einzigen Versuch.
Also zumindest der Effekt ist da. Ich habe zumindest nicht ein einzigen Faillogin in der Auth mehr. Das SSH kann er so erstmal vergessen.
Und jetzt fass ich mal zusammen.
Er kann jetzt 3 oder 4 IPs nutzen. Dazu muss er wissen welche. Und wenn er diese nutzt, d.h. andere Server hackt oder den Backdoor ausnutzen kann, dann bleibt ihm für diese IPs immer nur noch 2 Login Versuche je erlaubte IP ehe er 30 Minuten gesperrt ist. Und das sind ca. 5 IPs die ich zulasse. Jeder interligente Hacker weiss dass dies Zeitverschwendung wäre. Und würde dann vermutlich was anderes attackieren.
Jetzt kann er sich einfach in irgend ein IP Bot netzt einloggen und ins Fäustchen lachen dass er nach 3 Versuchen von der Firewall gesperrt wurde, weil er ja die nächsten 3 Versuche mit den nächsten IP macht. Einfach sinnlos sowas. Das einzige was ihm erschwert wird ist hier der Zugriff auf ein Botnetz wie für das Anonyme Surfen fast jeder Hacker doch ehe hat. Der hat jetzt also z.B. auf einerm Rechner 10 Vserver mit nem kleinen Script hat er je IP 3 Versuche dann IP wechsel sagen wir also 3 Versuche je 5 Sekunden o.ä und VServer dann hat er in der Minute 30 Logins je V-Server und 300 Die Miunte je PC. Wenn er 5 Kisten hat kann er soch tausende Loginversuche die Minute machen. Klar landet die IP in der Table aber das macht ja nix.
Bsp: 1PC x 10 Vserver x 3 Loginversuche je 5 Sekunden je IP Wechsel = 21.600 Loginversuche / Stunde
Genau so hat er es praktisch bei mir gemacht.
Und ja knocking (kenne mich nicht aus) dürfte doch auch die Angriffsfläche bieten wenn ich selbst mich verbinde. Oder mein PC ber SSH sein Backup abholt oder ähnliches. In vielen Fällen muss der Port geöffnet werden. Wenn dass dann so ist und der Backup läuft kann er dann wieder 10.000 Passwörter probieren.