OpenSSH Sicherheitsbest Practices

SSH (Secure Shell) ist ein kryptografisches Netzwerkprotokoll, um textbasierte Shell-Sitzungen auf entfernten Maschinen auf sichere Weise zu initiieren.

OpenSSH ist der Standard-SSH-Client und -Server, der von den meisten Linux-Distributionen verwendet wird. Es ist ein Verbindungstool, auf das die meisten Administratoren angewiesen sind, um an ihren Linux- und *BSD-Servern zu arbeiten. OpenSSH verschlüsselt den gesamten Datenverkehr (einschließlich Passwörter), um Abhören, Verbindungsübernahmen und andere Angriffe effektiv zu eliminieren. Mit anderen Worten, “OpenSSH stellt sicher, dass die Verbindung zu Ihrem Server sicher ist”. Siehe Wikipedia-Artikel für einen detaillierten Exkurs über SSH.

Dieses Tutorial behandelt die besten Praktiken zur sicheren Konfiguration Ihres SSH-Servers.

OpenSSH Sicherheit

Dies sind die sechs wichtigsten Aufgaben, um Ihre SSH-Serverkonfiguration abzusichern:

1. Verwenden Sie ein starkes Passwort.
2. Ändern Sie den Standardport für SSH.
3. Verwenden Sie immer Protokollversion 2.
4. Deaktivieren Sie den Root-Login.
5. Beschränken Sie den Benutzerzugang.
6. Verwenden Sie schlüsselbasierte Authentifizierung.

Verwenden Sie ein starkes Passwort

Ein Passwort ist ein Wort oder eine Zeichenfolge, die zur Benutzerautorisierung verwendet wird, um die Identität oder den Zugriffsanspruch auf eine Ressource nachzuweisen. Halten Sie es geheim vor denen, die keinen Zugriff auf den Server haben. Verwenden Sie ein komplexes und langes Passwort, es sollte für Sie leicht zu merken und einzigartig sein, aber für andere nicht leicht zu erraten. Verwenden Sie keine leicht zu erratenden Passwörter wie admin123 oder admin usw. und verwenden Sie keine Geburtstage, den Namen Ihrer Frau usw. Ein gutes Passwort sollte auch Sonderzeichen wie ‘.!;/‘ enthalten (nicht nur die Zeichen a-c und 0-9). Verwenden Sie Groß- und Kleinbuchstaben im Passwort.

Ändern Sie den Standardport für SSH

Der Standardport des SSH-Dienstes ist 22, Sie sollten ihn ändern, um es weniger offensichtlich zu machen, dass Ihr Server einen SSH-Dienst ausführt. Die SSH-Konfigurationsdatei befindet sich im Verzeichnis /etc/sshd/, Sie müssen die Konfigurationsdatei /etc/ssh/sshd_config bearbeiten.

nano /etc/ssh/sshd_config

Suchen Sie nach der Zeile “Port”:

Port 22

und ändern Sie sie in Ihre bevorzugte Portnummer, Beispiel: 1337

Port 1337

Bitte wählen Sie einen Port, der auf Ihrem Server noch nicht verwendet wird. Sie können eine Liste der derzeit verwendeten Ports mit dem Befehl erhalten:

netstat -ntap

Dieser Befehl ergibt eine ziemlich lange Liste, die alle offenen Ports und Verbindungen zeigt. Wenn Sie nur überprüfen möchten, ob Ihr gewünschter Port verfügbar ist, verwenden Sie stattdessen diesen Befehl:

netstat -ntap | grep 4422

In diesem Beispiel werde ich überprüfen, ob Port 4422 frei ist. Wenn der Befehl kein Ergebnis zurückgibt, ist der Port verfügbar und kann für SSH verwendet werden.

Verwenden Sie immer Protokoll 2

SSH hat zwei Protokollversionen, das alte Protokoll 1, das unsicher ist, und das neue Protokoll 2. Verwenden Sie daher immer Protokoll 2 für Ihren SSH-Server, es ist sicherer als Protokoll 1. Weitere Informationen hier.

Deaktivieren Sie den Root-Login

Sie sollten den direkten Login für den Root-Benutzer deaktivieren, da es viele Brute-Force-Angriffe auf den Namen des Root-Superusers gibt. WICHTIG: Testen Sie den SSH-Login mit Ihrem alternativen Nicht-Root-Benutzer, den Sie für SSH-Logins verwenden möchten, bevor Sie das Root-Konto deaktivieren.

PermitRootLogin no

Nachdem Sie “PermitRootLogin” auf “no” gesetzt haben, können Sie sich nicht mehr mit dem Root-Konto anmelden, auch wenn Sie das richtige Passwort für den Root-Benutzer verwenden.

Benutzer beschränken

Sie sollten einen neuen Benutzer für den Login auf Ihrem Server hinzufügen. Angenommen, Sie haben die Benutzer ruiko und mikoto erstellt, um sich auf Ihrem Server anzumelden, dann können Sie die neue Zeile hinzufügen:

AllowUsers ruiko mikoto

in /etc/ssh/sshd_config, um den SSH-Zugriff auf diese Benutzer zu beschränken.

Verwenden Sie schlüsselbasierte Authentifizierung

Ich empfehle Ihnen, diese Option zu verwenden, da sie sehr einfach einzurichten und sicherer ist als die passwortbasierte Authentifizierung. Zuerst müssen Sie ein öffentliches und privates Schlüsselpaar auf Ihrem lokalen (Desktop-)Computer erstellen, ich verwende Linux, um es zu erstellen.

Sie können das öffentliche/private Schlüsselpaar mit diesem Befehl erstellen:

ssh-keygen -t rsa -b 4096

Es werden 2 Dateien im Verzeichnis ~/.ssh/ erstellt, id_rsa als privater Schlüssel und id_rsa.pub als öffentlicher Schlüssel. Wenn Sie nach einem Passwort gefragt werden, können Sie es leer lassen oder Ihr Passwort eingeben. Es wird empfohlen, ein Passwort zum Schutz Ihres Schlüssels zu verwenden.

Laden Sie nun den öffentlichen Schlüssel id_rsa.pub mit dem Befehl ssh-copy-id auf Ihren Server hoch.

ssh-copy-id -i ~/.ssh/id_rsa.pub user@serverip

Es wird automatisch Ihren öffentlichen Schlüssel in die Datei ~/.ssh/authorized_keys/ auf Ihrem Server schreiben.

Gehen Sie nun zurück zu Ihrem Server und bearbeiten Sie Ihre SSH-Dateikonfiguration erneut.

nano /etc/ssh/sshd_config

Kommentieren Sie diese Zeile aus:

AuthorizedKeysFile     %h/.ssh/authorized_keys

und starten Sie schließlich Ihren SSH-Server neu:

systemctl restart sshd

Versuchen Sie nun, sich mit Ihrem Server zu verbinden:

ssh -p '4422' 'user@serverIP'

Fazit

OpenSSH ist der Standard für sicheren Remote-Zugriff auf *Unix-ähnliche Server und ersetzt das unverschlüsselte Telnet-Protokoll. SSH (und sein Dateiübertragungsunterprotokoll SCP) stellt sicher, dass die Verbindung von Ihrem lokalen Computer zum Server verschlüsselt und sicher ist. Die Basiseinrichtung von OpenSSH ist bereits recht sicher, aber wir können sie verbessern, indem wir der obigen Anleitung folgen.