ThoSch:Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
thoschwiki:linux:ssh

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Nächste Überarbeitung Beide Seiten, nächste Überarbeitung
thoschwiki:linux:ssh [14.02.2021 12:19]
thosch angelegt 		thoschwiki:linux:ssh [12.04.2021 12:22]
thosch 'Sicherung des ssh-Zugangs' und 'root-Remote-Zugriff unterbinden' ergänzt.
Zeile 14: Zeile 14:
   * [[http://www.guyrutenberg.com/2014/01/14/restricting-ssh-access-to-rsync/|Guy Rutenberg - Restricting SSH Access to rsync]]   * [[http://www.guyrutenberg.com/2014/01/14/restricting-ssh-access-to-rsync/|Guy Rutenberg - Restricting SSH Access to rsync]]
   * [[https://binblog.info/2008/10/20/openssh-going-flexible-with-forced-commands/|#!/bin/blog - OpenSSH: Going Flexible With Forced Commands]]   * [[https://binblog.info/2008/10/20/openssh-going-flexible-with-forced-commands/|#!/bin/blog - OpenSSH: Going Flexible With Forced Commands]]
 +
 +===== Sicherung des ssh-Zugangs =====
 +
 +Um die Angriffsfläche eines (//ssh//)-Servers zu verringern, kann man die folgenden beiden Maßnahmen ergreifen. Dies gilt insbesondere dann, wenn der Server aus dem Internet erreichbar ist.
 +
 +==== root-Remote-Zugriff unterbinden ====
 +
 +Auf vielen Systmen ist //root// der einzige Account mit Remote-Zugriff und einem bekannten Benutzernamen. Damit ist er ein gutes Ziel für Brute-Force-Angriffe((99% aller Login-Versuche aus dem Internet, die ich auf meinen Systemen beobachtet habe, richteten sich gegen //root//)). Wenn dieser Account gehackt wird, ist er aufgrund der umfassenden Benutzerrechte eine besonders lohnender Beute. Auf anderen Systemen ist der Account bereits "deaktiviert".((Nach meiner Erfahrung auf allen //debianösen// (Desktop)Systemen. Nach meiner Erfahrung ist er aber gerade auf Cloud-/VPS-Instanzen aktiv.))
 +
 +Dort, wo der //root//-Account noch aktiv ist, sollte man für diese Benutzerkennung den Remote-Zugriff unterbinden.((…oder den Account //root// gleich ganz zu deaktivieren.)) Die notwendigen administrativen Aufgaben können mit einem "normalen" Account unter Verwendung von ''sudo'' erledigt werden.((Das sollte man aus Sicherheitsgründen sowieso machen…))
 +
 +Um den //ssh//-Remote-Zugang für //root// zu sperren, setzt man in der Datei ''/etc/ssh/sshd_config'' den Eintrag ''PermitRootLogin'' auf ''no''
 +
 +<code>
 +PermitRootLogin no
 +</code>
 +
 +Anschließend startet man den //ssh//-Daemon neu((Wie der Restart erfolgt, variiert je nach dem technischen Umfeld.)) (oder rebootet ersatzweise den Rechner).
 +
 +<note important>
 +Bevor man den Remote-Zugriff für //root// sperrt, sollte man ausreichend testen, dass das Administrieren mit ''sudo'' tatsächlich funktioniert.
 +</note>
 +
 +
thoschwiki/linux/ssh.txt · Zuletzt geändert: 16.05.2021 18:40 von thosch

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki

Impressum