Website-Suche

5 Tipps zum Sichern von SSH auf Ihrem Linux-Server oder Desktop


Secure Shell ist eine der sichersten Optionen für die Remote-Anmeldung bei einem Linux-System. Doch es gibt Möglichkeiten, die Technologie noch sicherer zu machen.

Ich verwende seit Jahrzehnten Secure Shell (SSH). Mit diesem Remote-Login-Tool kann ich sicher sein, dass meine Remote-Rechner Anmeldungen sicher und effizient akzeptieren. Gleichzeitig ist mir auch klar, dass auf keinem Gerät, das mit einem Netzwerk verbunden ist, jemals 100 % sicher ist, weshalb ich mir immer die Zeit nehme, SSH auf jedem Computer, den ich verwende, besser zu sichern.

Sie werden überrascht sein, wie einfach es ist, ein paar zusätzliche „Sicherheitsebenen“ hinzuzufügen. Wie ich unten hervorhebe, gibt es einige einfach anzuwendende Tipps, die dazu beitragen, dass Ihr Linux-Desktop und -Server etwas sicherer wird, sodass Sie darauf vertrauen können, dass sie besser vor unerwünschten Anmeldungen geschützt sind.

Lass uns zur Arbeit gehen.

1. Installieren Sie fail2ban

Eines der ersten Dinge, die Sie tun sollten (insbesondere auf einem Server), ist die Installation von fail2ban, das böswillige und Brute-Force-Anmeldeangriffe verhindert und auch zur Überwachung anderer Netzwerkprotokolle (wie HTTP, SSH und FTP) verwendet werden kann. 

Mit fail2ban erstellen Sie Jails, das sind Konfigurationen, die dem System mitteilen, was zu tun ist, wenn bestimmte Dinge passieren (z. B. ein fehlgeschlagener SSH-Anmeldeversuch). Jail-Dateien (normalerweise mit dem Namen jail.local) sind in /etc/fail2ban/ gespeichert und könnten etwa so aussehen:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
findtime = 300
bantime = 28800
ignoreip = 127.0.0.1

Sie können fail2ban mit dem folgenden Befehl auf einem Debian-basierten System installieren:

sudo apt-get install fail2ban -y

Auf einem Fedora-basierten System wäre dieser Befehl:

sudo dnf install fail2ban -y

2. Ändern Sie den Standardport

Standardmäßig verwendet SSH Port 22 für eingehende Verbindungen. Dieser Zusammenhang ist allgemein bekannt und kann zu Problemen führen. Auf meinen wichtigeren Systemen ändere ich den Port immer auf einen anderen, z. B. 2124. Es ist wichtig, dass Sie den Port auf einen Port ändern, der nicht von einem anderen System verwendet wird. 

Die Portkonfiguration wird in der Datei /etc/ssh/sshd_config und in der Zeile #Port 22.  festgelegt

Entfernen Sie unbedingt das #-Zeichen und ändern Sie 22 in den Port, den Sie verwenden möchten. Denken Sie nach der Änderung daran, SSH neu zu starten mit:

sudo systemctl restart ssh

Im Fall von Fedora-basierten Systemen wäre dieser Befehl:

sudo systemctl restart sshd

3. Blockieren Sie Benutzer mit leeren Passwörtern

Obwohl es auf Ihrem System wahrscheinlich keine Benutzer mit leeren Passwörtern gibt, fällt dieser Tipp in die Kategorie „Vorsicht ist besser als Nachsicht“. Wenn Sie einen Benutzer mit einem leeren Passwort haben und ein Angreifer es entdeckt, könnte er problemlos auf Ihren Computer zugreifen. Um diese Situation zu verhindern, öffnen Sie die Datei /etc/ssh/sshd_config und suchen Sie nach der Zeile:

#PermitEmptyPasswords no

Ändern Sie diese Zeile in:

PermitEmptyPasswords no

Speichern und schließen Sie die Datei und starten Sie dann SSH neu.

4. Beschränken Sie die Anmeldungen auf bestimmte IP-Adressen

Ein weiterer sehr praktischer Trick besteht darin, den SSH-Zugriff auf bestimmte IP-Adressen zu beschränken. Wenn Sie beispielsweise nur eine Person haben, die auf einen Computer zugreifen muss und deren IP-Adresse 192.168.1.11 lautet, können Sie den SSH-Zugriff mithilfe der Datei /etc/hosts.allow beschränken. Öffnen Sie diese Datei mit Ihrem bevorzugten Texteditor, z. B. Nano, und fügen Sie unten die folgende Zeile hinzu:

sshd: 192.168.1.62, 192.168.1.11

Wenn Sie mehr als eine IP-Adresse zulassen möchten, können Sie so viele wie nötig hinzufügen und jede Adresse durch ein Komma trennen, etwa so:

sshd: 192.168.1.62, 192.168.1.11, 192.168.1.12, 192.168.1.13, 192.168.1.14

Speichern und schließen Sie die Datei.

5. Verwenden Sie die SSH-Schlüsselauthentifizierung

Die Bedeutung der SSH-Schlüsselauthentifizierung kann nicht genug betont werden. Ich habe bereits in einem anderen Artikel gezeigt, wie diese Technik aufgebaut ist. Lesen Sie diesen Artikel also unbedingt durch und setzen Sie die Taktik um. In Verbindung mit fail2ban ist die SSH-Schlüsselauthentifizierung eine hervorragende Möglichkeit, unerwünschte SSH-Anmeldungen zu verhindern.

Und da haben Sie es – fünf einfache Möglichkeiten, SSH sowohl auf Ihren Linux-Desktops als auch auf Ihren Servern zu sichern. Nur weil SSH das Wort „sicher“ enthält, heißt das nicht, dass es als Mittel zu einem sicheren Zweck angesehen werden sollte. Mit etwas zusätzlicher Konfiguration werden Ihre SSH-Anmeldungen besser vor den Angreifern geschützt, die im Internet nach Zugriff auf Systeme suchen.