Linux > SSH optimal schützen

Wer dieser Tage Nachrichten aus dem digitalen Themenbereich liest, wird immer wieder Artikel über Hacker-Angriffe finden. Um dieser negativen Entwicklung ein wenig entgegen zu wirken, möchte ich hier einige Tipps geben wie man den SSH-Zugang eines Servers schützen kann. Ich habe einmal drei Möglichkeiten zusammengetragen, die sich ggf. auch kombinieren lassen.

Möglichkeit #1 – SSH Port ändern

Den Port zu ändern ist schnell gemacht, bringt aber am wenigsten Sicherheit.
Es reicht die Datei /etc/ssh/sshd_config anzupassen. Dort lässt sich der Port ganz einfach von 22 auf eine andere beliebig wählbare Portnummer ändern (Der Port sollte natürlich frei sein).

nano /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
#Port 22
# Neuer Port (Beispiel)
Port 4732

[...]

Anschließend den Dienst mit /etc/init.d/sshd restart neustarten.

Möglichkeit #2 – SSH auf bestimmte IP-Adressen einschränken

Das ist wahrscheinlich die sicherste Methode, aber nicht jeder hat eine feste IP-Adresse und kann sich seinen SSH-Zugang entsprechend einrichten. Und so geht´s:
Die Datei /etc/hosts.allow auf dem Server bearbeiten und folgenden Eintrag mit den entsprechenden IP-Adresse(n) hinzufügen:

sshd: 192.168.0.73 87.20.80.145

Dadurch wird der SSH-Daemon nur für die angegebenen IP-Adressen freigegeben. Mehrere IP-Einträge lassen sich mit Leerzeichen trennen.
Als nächstes müssen alle anderen IP-Adressen für SSH gesperrt werden. Dazu muss in der Datei /etc/hosts.deny auf dem Server folgender Eintrag angelegt werden:

sshd: ALL

Das war’s auch schon. Jetzt kann der SSH-Dienst nur noch über die angegebenen IP-Adressen erreicht werden.

Möglichkeit #3 – Public Key Authentication für SSH

Die Public Key Authentication würde ich auf jeden Fall empfehlen. Unabhängig davon, dass es einiges mehr an Sicherheit bringt, ist es außerdem noch bequemer, weil man kein Passwort mehr benötigt. Und so funktioniert´s: Es werden zwei Dateien generiert, ein öffentlicher und ein privater Schlüssel. Der Öffentliche Schlüssel wird auf dem Server abgelegt und der private Schlüssel verbleibt auf dem Rechner, mit dem man sich via SSH anmelden möchte. Anstatt mit einem Passwort meldet man sich also mit einer Schlüssel-Datei an.

In genau einer Woche erscheint dazu der nächste Artikel mit einer Schritt-für-Schritt Anleitung zur Einrichtung der Public Key Authentifizierung für SSH.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.