Linux SSH Konfiguration

 Hauptseite (de) | Linux Server Setup

Sichere Konfiguration des SSH-Daemon

Die Mix-Server stehen in der Regel in einem Rechenzentrum und werden via SSH administriert. Ein paar kleine Hinweise zur Konfiguration des Daemons:

• Botnetze greifen automatisiert SSH-Ports (Port 22) an und versuchen mittels Wörterbuch-Attacke Zugang zu Standard-Accounts wie root, ftp.... zu erlangen. Man sollte den ListenPort auf einen nicht üblichen Port verschieben (z.B. auf Port 22022). Das reduziert auch sinnlosen Bot-Traffic.
• Ein Login mit Passwort sollte deaktiviert werden. Sicherer ist es, einen SSH-Key zu nutzen. Der Public Key muss auf dem Server als authorisiert in der Datei $HOME/.ssh/authorized_keys hinterlegt werden. Der Login mit Passwort und über verschiedene PAM-Module kann komplett deativiert werden.
• Den root-Login kann man deaktivieren, da dieser Standard-Account häufig angegriffen wird. Besser ist es, sich als normaler User anzumelden und mittels sudo eine Root-Shell nach dem Login zu öffnen.
• Das SSH-Protokoll 1 gilt als unsicher, es sollte nur die Protokollversion 2 zulässig sein.
• Bei Servern mit mehreren IP-Adressen sollte der Daemon nur an einer IP-Adresse lauschen. Das reduziert die Angriffsfläche weiter.
• sftp kann man aktivieren, es erleichtert den Dateitransfer vom und zum Server.

Die Konfiguration des SSH-Daemon erfolgt in /etc/ssh/sshd_config. Im Beispiel ist die externe IP-Adresse 123.123.123.123.

ListenAddress 123.123.123.123
Port 22022
Protocol 2
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile	%h/.ssh/authorized_keys
PermitRootLogin no
PermitEmptyPasswords no
IgnoreRhosts yes
PasswordAuthentication no
HostbasedAuthentication no
ChallengeResponseAuthentication no
X11Forwarding no
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM no

Mit iptables oder fail2ban kann der SSH-Daemon zusätzlich abgesichert werden.