meandtheshell hat geschrieben: Möglich ist z.B. Air Gaps [0] zu verwenden welche nur mittels out-of-band Kommunikation geöffnet/geschlossen werden können.
Na gut, dann bräuchte man aber auch kein ssh mehr. *g Als Erweiterung fallen mir dann aber noch Sachen wie selinux oder andere policy-gesteuerte Software ein, die genau festlegen, was ein remote user machen darf und was nicht.
@topic: Für Systeme, bei denen ich öfter Zugang brauche, stell ich auch sofort auf Key-Authentifizierung um. Bei "Frontsystemen" mit Passphrase und weiter in einem Subnetz drin (oder weniger wichtigen Systemen) auch mal ohne, man kann sich nicht jedes Passwort merken. Gegen scannen oder brute force reicht mir iptables, natürlich kann man auch gleich ganze IP-Ranges am Router aussperren. Das Verlegen des Ports halt ich hingegen für nutzloses Unterfangen, security by obscurity ist keine Lösung. Ob nmap zum Scannen einen oder mehrere Ports bekommt, spielt ja keine Rolle.
Letztendlich ist das alles auch hinfällig, wen auf dem benachbarten Apachen php eingesetzt wird. Da muss man eigentlich nur warten, bis eine Lücke auftaucht. *g
ciao, storm