<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <br>

    <br>

    IMO there could occasionally be reasons not to use key logins

    (although I do normally disable pwd login). E.g. if I have a key, I

    then have evidence somewhere (USB/HD), whereas a secure password can

    be kept only in my head (until they waterboard me). Especially in

    countries (e.g. the UK) that can force you to hand over encryption

    keys. I'd rather have an insecure Tor node than get arrested

    (although tbh with fail2ban installed I don't think pwd bruteforcing

    is a threat).<br>

    <br>

    <br>

    <br>

    <div class="moz-cite-prefix">On 18/11/14 17:46, Jeroen Massar wrote:<br>

    </div>

    <blockquote cite="mid:546B860C.7000306@massar.ch" type="cite">

      <pre wrap="">On 2014-11-18 18:38, Kevin de Bie wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">

Fail2Ban works really well. Shifting to a non standard port only stops

the scriptkids from having too much automated options and does not do

anything for actual security. For this reason I personally never

bothered with that. Non standard username and password auth with

fail2ban makes brute forcing practically impossible, this is usually how

I have things configured. 

</pre>

      </blockquote>

      <pre wrap="">

Just changing it to key-based authentication stops ALL password-guessing

attacks.

You will then be left with the logs though.

Hence lets make a little list for clarity in order of "should at least do":

- Use SSH Authentication

- Disable Password Authentication

- Use Fail2ban

- Restrict on IP address (no need for fail2ban then)

Greets,

 Jeroen

_______________________________________________

tor-relays mailing list

<a class="moz-txt-link-abbreviated" href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a>

<a class="moz-txt-link-freetext" href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a>

</pre>

    </blockquote>

    <br>

    <div class="moz-signature">-- <br>

      <div>Dan Rogers</div>

      <div>+44 7539 552349<br>

        <a>skype: dan.j.rogers</a></div>

      <div><a href="https://secure.techwang.com/gpg/public_key.txt">gpg

          key</a>

      </div>

      <div><a href="http://www.linkedin.com/in/danrogerslondon"

          target="_blank">linkedin</a> | <a

          href="http://twitter.com/danjrog" target="_blank">twitter</a>捤

        <a href="http://open.spotify.com/user/bonkbonkonk"

          target="_blank">spotify</a>捤 <a

          href="http://holdingitwrong.com" target="3D"_blank"">music</a></div>

    </div>

  </body>

</html>