Debian 9 SSH Port absichern

debian_ssh_port_absichern

Jeder der einen eigenen Server in einem Rechenzentrum betreibt, möchte diesen bestmöglich vor Hackerangriffen schützen. Wir zeigen euch eine Möglichkeit wie ihr den SSH Port eures Servers ganz einfach und effektiv schützen könnt.

Überblick

1. fail2ban installieren und konfigurieren
2. neuen Benutzer anlegen
3. SSH Root Login deaktivieren
4. SSH Password Login deaktivieren

1. fail2ban installieren

Fail2ban (deutsch: Fehlschlag führt zum Bann) ist ein in Python geschriebenes Tool, dass dem Administrator helfen soll Angreifer zu entdecken. Das Tool erkennt, wenn sich mehrmals in einem bestimmten Zeitraum mit einem falschen Passwort versucht wurde sich anzumelden. Anschließend wird diese IP des Angreifers für einen bestimmten Zeitraum gesperrt. 

Um fail2ban zu installieren führen wir folgende Befehle aus:

Werbung

apt-get update
apt-get upgrade
apt-get install fail2ban

Anschließend müssen wir fail2ban noch konfigurieren:

Wir wechseln zunächst in das Verzeichnis, wo sich die Konfigurationsdatei befindet und passen anschließend verschiedene Parameter an.

cd /etc/fail2ban/

Kopieren der Konfigurationsdatei, damit diese beim Update nicht überschrieben wird

sudo cp jail.conf jail.local

Anpassen der Konfiguration

sudo nano jail.local

Hier solltest du folgende Einstellungen anpassen

# Dauer der Sperrung (ein Tag)
bantime  = 86400 
# Suchzeit
findtime  = 600
# maximale Fehlversuche
maxretry = 3

Anschließend musst du den Dienst noch Neustarten

sudo systemctl restart fail2ban.serviceCode-Sprache: PHP (php)

2. neuen Benutzer anlegen

Damit wir im nächsten Schritt den Root Login über SSH deaktivieren können, müssen wir zunächst einen neuen Benutzer anlegen.

# Ersetzt newuser durch euern gewünschten Benutzernamen
adduser newuserCode-Sprache: PHP (php)

Anschließend erscheinen ein paar Fragen, welche du alle mit Enter bestätigen kannst. Als Password solltest du ein möglichst langes und kryptisches wählen, damit es nicht leicht erraten werden kann.

3. SSH Root Login deaktivieren

Nun deaktivieren wir den SSH Root Login um die Sicherheit deines Servers weiter zu erhöhen. Dazu wechseln wir in das Verzeichnis, wo sich die SSH Konfigurationsdatei befindet.

cd /etc/ssh/
#Öffnen der Konfigurationsdatei 
sudo nano sshd_config
#Hier solltest du folgenden Parameter anpassen
PermitRootLogin no

#Anschließend musst du den SSH Dienst noch neustarten
sudo systemctl restart sshd.serviceCode-Sprache: PHP (php)

4. SSH Password Login deaktivieren

Um deinen Server noch besser vor SSH Angriffen zu schützen, erlauben wir jetzt nur noch die SSH Anmeldung mit einen Schlüsselpaar. Somit musst du beim Anmelden auch kein Passwort mehr eingeben. Dazu sind folgende Schritte notwendig.

Schlüsselpaar erzeugen

Bitte beachte dabei, dass du das Schlüsselpaar nicht auf dem Server erzeugen solltest, auf dem du dich später damit anmelden möchtest. Solltest du einen Windows Rechner verwenden empfehle ich dir das Tool Putty für die Erstellung des Schlüsselpaares zu verwenden.

#erzeugen eines 4096 Bit langen Schlüsselpaares
ssh-keygen -b 4096

#speichern des Schlüsselpaares
#hier musst du your_home durch deinen vorhin angelegten
#Benutzernamen ersetzen
Enter file in which to save the key (/your_home/.ssh/id_rsa):
#Anschließend kannst du noch ein Password für euer Schlüsselpaar festlegen
# ist aber nicht zwingend notwendig
Enter passphrase (empty for no passphrase):Code-Sprache: PHP (php)

Schlüsselpaar auf den Server kopieren

#Wechsel zunächst in das Verzeichnis wo sich dein 
#Schlüsselpaar befindet

cd /your_home/.ssh/

#Kopieren des öffentliches Schlüssels
cp id_rsa.pub authorized_keys

#Öffentlichen Schlüssel auf den Server kopieren
scp authorized_keys benutzer@deine_server_adresse:~/authorized_keys

#melde dich anschließend auf dem Server an
ssh benutzer@deine_server_adresse

#erstelle anschließend den Order .ssh in deine Homeverzeichnis
mkdir .ssh

#Verschiebe anschließend authorized_keys in den .ssh Ordner
mv authorized_keys .ssh/authorized_keysCode-Sprache: PHP (php)

Melde dich nun von deinem Server ab und anschließend erneut an. Es sollte jetzt nicht mehr nach einem Passwort gefragt werden.

SSH Login nur noch mit gültigem Schlüsselpaar erlauben

Damit keine Anmeldung mehr per Passwort erlaubt ist, solltest du folgende Einstellungen anpassen

#wechsle in das SSH Verzeichnis
cd /etc/ssh/

#öffne die Konfigurationsdatei
sudo nano sshd_config

#Folgender Parameter muss angepasst werden
PasswordAuthentication no

#SSH Dienst neustarten
sudo systemctl restart sshd.serviceCode-Sprache: PHP (php)

Das war’s. Dein Server ist jetzt etwas sicherer geworden. Damit dein Server dauerhaft sicher bleibt, solltest du in regelmäßigen Abständen Updates installieren.

Hat dir die Anleitung gefallen? Dann gib uns ein Feedback.

Werbung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

×