SSHd sinnvoll und sicher konfigurieren
Einen SSH-Server kann man sich relativ einfach installieren. Unter Ubuntu und Debian reicht es, dass Paket openssh-server zuinstallieren. Ein SSH-Client ist schon standardmäßig installiert.
Man sollte seinen sshd jedoch niemals as it is lassen. Sondern man sollte einige wichtige Einstellungen verändern.
Es gibt eine relativ einfache Methode um den SSH-Server zu “verstecken”. Wenn man den Port, an dem der shhd lauscht verändert, ist man schon vor den meisten automatischen Attacken geschützt.
SSH Port ändern
Als erstes muss man den Port in der SSHd Config verändern. Dazu öffnet man die Datei /etc/ssh/sshd_config und sucht folgende Stelle:
# What ports, IPs and protocols we listen for
Port 22
Jetzt kann man einfach den Standard-Port 22 durch einen anderen Port ersetzen. Es empfiehlt sich einen recht hohen Port zu wählen, da die niedrigen Ports oft von anderen Programmen verändert werden.
Nachdem man die OpenSSHd Config neugeladen hat, ist der SSH Server nun unter dem neuen Port erreichbar:
/etc/init.d/ssh reload
Nun kann man wie folgt zum SSH-Server über die Konsole verbinden:
ssh user@server -p NeuerPort
Root-Login verbieten
Sehr wichtig ist es auch, den Root-Login zu verbieten.
Dies funktioniert wieder sehr einfach. Dazu setzt man in der Config /etc/ssh/sshd_config PermitRootLogin auf no. Nach einem Reload der Config kann man sich nun nicht mehr als root über SSH einloggen.
Man sollte darauf achten, dass schon ein anderer User existiert, mit dem man sich über SSH einloggen kann, denn sonst sperrt man sich damit selber aus!
Login / Passwort
Standardmäßig ist der Login mittels Passwort aktiviert. Dies hat den Vorteil, dass man sich auch von “fremden” PCs auf seinem SSHd einloggen kann. Man sollte darauf achten, dass man ein sehr sicheres Passwort wählt!
Es existiert auch noch die Möglichkeit sich ohne Passwort mittels Public Key Verfahren auf dem SSHd einzuloggen. Dabei ist es aber ebenfalls wichtig, dass man seine Schlüssel (Keys) geheim hält! Eine kurze Anleitung dazu findet man im ubuntuusers wiki.
motd – Message of the day anpasen
Eher kosmetischer Natur ist die motd. Die message of the day wird bei jedem Login über ssh angezeigt. Standardmäßig enthält die motd mehr oder weniger sinnvollen Text.
Die message of the day lässt sich einfach verändern, indem man den Text in /etc/motd anpasst und speichert. Mehr Sicherheit bringt dies jedoch nicht 
Je weniger Dienste man auf seinem PC laufen lässt, desto weniger Angriffsmöglichkeiten gibt es. Deswegen sollte man sich sehr gut überlegen, ob man einen SSH-Server installiert. Auf einem Server ist dies jedoch nicht vermeidbar, denn an Alternativen wie telnet sollte man nicht einmal denken!
Wenn man sich für einen SSH-Server entscheidet, sollte man diesen aber sicher konfigurieren!
Posted: January 31st, 2009 under debian, linux, ubuntu.
Tags: debian, howto, openssh, server, sicherheit, sinnvoll, ssh, sshd, tutorial, ubuntu
Comments
Comment from LinuxHobby
Time 31. January 2009 at 21:10
Natürlich schützt das Ändern des Ports nicht vor gezielten Angriffen!
Jedoch schützt es vor vielen automatischen Angriffen, bei dem nicht weiter nach einem SSHd gesucht wird.
Comment from Kogal
Time 1. February 2009 at 01:48
Ich halte einige Maßnahmen für übertrieben, bzw. nicht so wichtig, eine nicht erwähnte jedoch für sehr wichtig. Wicht ist:
1. Ein sicheres Passwort
2. fail2ban
fail2ban ist ein nettes kleines programm, das IP-adressen nach x fehlversuchen für y Minuten blockiert. Um das zu umgehen muss der angreifer schon viele IP adressen zu verfügung haben (Botnetz betreiben oder ähnliches).
liebe grüße
Kogal
Comment from bojo42
Time 1. February 2009 at 11:42
Weiß jemand ob man für SSH ein separates Passwort nehmen kann, also nicht das eigentliche Benutzerpasswort. Damit man für SSH ein besonders Starkes nehmen kann, das man ja aber nicht zur täglichen Anmeldung eingeben mag.
Ich denke das vom Prinzip her hier ein Aufteilung von Passwörter schon Sinn machen würde, denn beim normalen Benutzerlogin in den eigenen vier Wänden brauche ich ja weniger Sicherheit da ich einen zusätzlichen physischen Zugriffsschutz habe.
Comment from Usul
Time 1. February 2009 at 11:58
Ändern des SSH-Ports war auch bei mir der erste Schritt, als ich den SSH-Daemon auf einem Rechner installiert habe, der direkt am Internet hing. Schon die angenehme Ruhe im Logfile ist der kleine Aufwand wert.
Comment from hardy
Time 1. February 2009 at 19:33
Meiner Meinung nach ist die sicherste Methode bei SSH nach wie vor mit dem Public-Private Verfahren
Comment from Rorschach
Time 31. January 2009 at 20:53
Den Port zu ändern erhöht die Sicherheit nicht wirklich. Eine simple Telnet-Verbindung verrät nach wie vor, was für eine Openssh Version benutzt wird. Und nmap -A findet den ssh Daemon genauso.
Das lässt sich auch nicht wirklich abstellen, ausser du patchest openssh von Hand.