Kodi hacked

Standarduser und Passwort ist bei *ELEC kein Problem. Es ist halt nicht empfohlen eine ständige Portweierleitung auf das *ELEC Gerät zu geben und/oder SSH ständig aktiv zu lassen. Daher ist es per Default auch auf "deaktiviert" gesetzt. Passwort Authentifikation deaktivieren und SSH via Key-Authentication ist da der empfohlene Weg.

Aber wie du siehst...selbst, wenn der User die Möglichkeit hat, das Passwort zu ändern, wird es nicht gemacht

Ich persönlich kann als Abschottung nach außen (Internet) IPFire empfehlen. Mit einem Banana PI und einem zusätzlichen Ethernet Adapter sind 30 MBit's kein Problem - mehr gibt meine Leitung nicht her. IPFire ist simple in der Installation und Konfiguration. Ich selber nutze zwei fixe öffentliche IP-Adressen und sogar diese Anforderung setzt IPFire um. Für Zugriff von außen wie gehostete Webseiten können Regeln definiert werden und für den Administrativen Zugang verwende ich OpenVPN. Hatte seit 'nem Jahrzehnt kein Problem - betreffend IPFire. Die Variante mit dem Banana PI hab ich noch nicht so lange im Einsatz. Damals musste zur Installation noch ein extra Kabel verwendet werden.

Das hat ja eigentlich alles nix miteinander zu tun, wenn der ssh Dienst erreichbar ist und der Login bekannt.
Es muss einfach so konfiguriert sein, dass kein bruteforce Erfolg hat, auch wenn das Gerät dauerhaft von aussen erreichbar ist.
Alles andere ist Augenwischerei.

Kleiner tweak für fail2ban: in der config die bantime = -1 setzen für permanentes Sperren

Zitat von infinity

Hast du das Skript vielleicht irgendwo noch rumliegen? Fänd ich für meinen Seafile-Server eigentlich doch sehr sehr praktisch, würde mich jedenfalls beruhigen.

Nimm diese Anleitung. Da steht noch mehr drin, was benötigt wird.
https://jankarres.de/2014/03/raspbe…-ssh-anmeldung/