Absichern des SSH

Erster Schritt nach des aufsetzen des Servers sollte es sein, den sich sofort auf den Server kommenden “Script-Kiddys” einhalt zu gebieten.

Als erstes wird ein zweiter Benutzer angelegt mit:
useradd benutzername
Nun wird mit
nano /etc/sshd/sshd_config
die Konfigurationsdatei von SSH abgeändert. Dort modifiziere ich folgendes port = 2222 und PermitRootLogin yes.
Anschließend ein die Datei verlassen und
service sshd reload
eingeben. Dies lädt die neue Konfiguration in den SSH Server ein. Nun testen wir mit einem weiteren SSH Zugriff ob wir uns noch als root einloggen können (dieses sollte nicht mehr gehen), wenn root nun nicht mehr darf versuchen wir den login mit dem neuen Benutzer, wenn erfolgreich kann das SSH-Terminal wieder geschlossen werden. Ist der login nicht möglich die sshd_config auf Tippfehler prüfen.

Nun auf dem Clienten
ssh-keygen -b 4096
ausführen dieses erzeugt ein sicheres Schlüsselpaar welches die SSH Verbindung nochmals absichert.

Dieser Schlüssel wird dann mit
ssh-copy-id -i .ssh/key_rsa.pub benutzer@server
auf den Server übertragen. Anschließend testen ob nun eine Anmeldung mit dem Schlüssel möglich ist. Wenn erfolgreich wieder mit
nano /etc/sshd/sshd_config
Dort setzen wir PubKeyAuthenfication yes und PasswordAuthenfication no Optional allen andern Users den Login verbieten mit AllowUsers benutzername.

Für Paranoide das ganze noch mit Zwei-Faktor-Authenfizierung absichern.

Schreibe einen Kommentar