SSH absichern – Einleitung BASICS

Per SSH steuern wir unsere Server aus der Ferne. Kapert jemand unseren Zugang, haben wir erst mal verspielt und können den Server neu formatieren. Darum ist es so wahnsinnig wichtig, SSH vernünftig gegen die Bedrohungen aus dem Internet abzusichern!
Zum Glück gibt es ein paar gute und erprobte Methoden, Angreifern das Leben schwer zu machen. Einige davon möchte ich in dieser Serie vorstellen…

Aktuell: Ja
System: Linux / Unix generic. Hier vorgestellt auf Debian 7 „Wheezy“

Basics

Zugegeben, die Zeiten der großen „Kaperfahrten“ über SSH sind ziemlich vorbei. Denn die Tatsache, dass man den „root“ Benutzer mit dem Passwort „12345“ nicht ‚absichern‘ kann, ist mittlerweile bis zum allerletzten Admin durchgedrungen. Trotzdem bleibt ein gewisses Restrisiko. Und nervig sind die vollen Logs, die über und über gespickt sind von gescheiterten Anmeldeversuchen, allemal!

Seien wir uns ehrlich – heute kommen erfolgreiche Angriffe auf den Server eigentlich fast ausschließlich über Lücken in WordPress und Co. und deren Themes und Plugins.

Nachtrag: Sooo unwahrscheinlich ist ein Angriff über SSH auch heute offenbar nicht, wie ich geglaubt habe… https://www.projekt-rootserver.de/warnung-vor-xor-botnetz-bitte-den-ssh-zugang-absichern/2015/10/

Darum sollten wir trotzdem SSH so sicher wie möglich einrichten und aus der Haustüre eine Tresortüre machen!

Für einen erfolgreichen Angriff über SSH auf unseren Server braucht der Cracker – besser, einer seiner automatisierten Bots – diese vier Dinge:

  • Die IP der Maschine,
  • den Port von SSH,
  • den Benutzernamen
  • und dessen Passwort für den Login.

Die IP bekommt er über den Webserver, da dieser und SSH auf die selbe Adresse hören. Sprich: Unser Server nur die eine IP hat.
Der Port ist bekannt: „22“ für SSH als Standard.
Der Benutzer „root“ ist ebenfalls hinlänglich bekannt.
Braucht der Cracker also ’nur‘ noch das Passwort. Und das probiert er mittels Brute-Force oder Wörterbuch einfach über Stunden hinweg aus.

Es gibt aber zum Glück drei Möglichkeiten, die wir umsetzen sollten, um SSH auf einen Mindestsicherheitslevel zu bringen… Damit verbergen wir uns vor Botnetzen und sichern den Login in einem Maß ab, der für eine kleine, private Seite durchaus akzeptabel ist.

Diese drei Maßnahmen sind:

Sicherungskopie der Konfigurationsdatei erstellen!

Info: Alle diese Maßnahmen erledigen wir über angepasste Regeln in der Konfigurationsdatei /etc/ssh/sshd_config.

Zum Schutz sollten wir – wie immer – vor der Änderung einer Konfigurationsdatei davon eine Sicherungskopie erstellen. Pfuschen wir die Datei kaputt, können wir sie leicht über das Backup wiederherstellen… Wir kopieren die Datei mit folgendem Befehl:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_original

Wenn wir als „root“ angemeldet sind, den Befehl bitte ohne das „sudo“ absetzen.

Damit kopieren wir die Datei sshd_config in eine neue Datei sshd_config_original. Diese können wir im Falle eines Falles wieder zurück kopieren und haben dann wieder den Originalzustand.

So, dann kann es ja losgehen :)

Navigation

HOME | Nächster Artikel >

Haftungsausschluss!

Bitte lies Dir den Disclaimer durch, bevor Du eine Anleitung umsetzt...

Anzeige *

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.