Um einen SSH-Server richtig abzusichern braucht es nicht viel Aufwand und Zeit!
1. Wir erstellen einen neuen User der nur einen nutzten hat und zwar zum Login
sudo adduser USERNAME --no-create-home
Und geben ein Starkes Passwort ein!Da er kein Home Verzeichnis bekommt hat er in keinen Ordner Schreibrechte.
2. Wir editieren die Config Datei unter /etc/ssh/sshd_config
sudo nano /etc/ssh/sshd_conf
Hier ändern wir jetzt folgende Zeilen:Port 22 --> z.b Port 6666 PermitRootLogin yes --> PermitRootLogin noUnd fügen eine Zeile hinzu:
AllowUser USERNAME <-- der Neuerstellte BenutzerJetzt kann sich nur noch der Neu erstellte Benutzer am SSH-Server anmelden,
womit man sich dann zum Root oder Benutzer mit Root rechten anmelden kann.
su root
Wichtig ist das wenn ihr den Port ändert das ihr diesen dann auch im Router oder beim Provider freigibt! Sonst erreicht ihr ihn nicht mehr von außen!
3. Wir installieren fail2ban um Brutforce Angriffe zu erschweren:
sudo apt-get install fail2ban
Nun editieren wir noch die jail.conf von fail2ban
sudo nano /etc/fail2ban/jail.conf
Und ändern die Maximal Login versuche bei dem Abschnitt SSH auf 3
maxretry = 3Oben ändern wir noch die Bantime auf einen höheren wert! z.b 3600 für eine Stunde
bantime = 3600Zum Schluss nur noch den Server oder die beiden Dienste openshh-server und fail2ban neustarten damit die Änderungen wirksam werden.
Natürlich gibt es noch sichere Methoden einen SSH-Server abzusichern aber diese ist eine der einfachsten und reicht für die meisten auch aus :)
Keine Kommentare:
Kommentar veröffentlichen