Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Nächste Überarbeitung | Vorherige Überarbeitung | ||
thoschwiki:linux:ssh [14.02.2021 12:19] thosch angelegt |
thoschwiki:linux:ssh [16.05.2021 18:40] thosch [root-Remote-Zugriff unterbinden] Typo |
||
---|---|---|---|
Zeile 9: | Zeile 9: | ||
Per Default wird nach dem Aufbau des ssh-Verbindung eine interaktive Login-Session für den entsprechenden User aufgebaut. In manchen Fallgestaltungen ist ein eingeschränkterer Zugriff gewünscht. Mittels //Forced Commands// können die verfügbaren Befehle durch Vorgaben in der '' | Per Default wird nach dem Aufbau des ssh-Verbindung eine interaktive Login-Session für den entsprechenden User aufgebaut. In manchen Fallgestaltungen ist ein eingeschränkterer Zugriff gewünscht. Mittels //Forced Commands// können die verfügbaren Befehle durch Vorgaben in der '' | ||
- | **Quellen zu Forced Commands**: | + | |
+ | ===== Sicherung des ssh-Zugangs ===== | ||
+ | |||
+ | Um die Angriffsfläche eines (// | ||
+ | |||
+ | ==== root-Remote-Zugriff unterbinden ==== | ||
+ | |||
+ | Auf vielen Systmen ist //root// der einzige Account mit Remote-Zugriff und einem bekannten Benutzernamen. Damit ist er ein gutes Ziel für Brute-Force-Angriffe((99% aller Login-Versuche aus dem Internet, die ich auf meinen Systemen beobachtet habe, richteten sich gegen //root//)). Wenn dieser Account gehackt wird, ist er aufgrund der umfassenden Benutzerrechte eine besonders lohnender Beute. Auf anderen Systemen ist der Account bereits " | ||
+ | |||
+ | Dort, wo der // | ||
+ | |||
+ | Um den // | ||
+ | |||
+ | < | ||
+ | PermitRootLogin no | ||
+ | </ | ||
+ | |||
+ | <note important> | ||
+ | Bevor der Remote-Zugriff für //root// gesperrt wird, sollte ausreichend getestet werden, ob das Administrieren mit '' | ||
+ | </ | ||
+ | |||
+ | Die Änderung wird erst mit dem Restart des // | ||
+ | |||
+ | ==== ssh-Zugriff mit Passwort unterbinden ==== | ||
+ | |||
+ | Die [[ubuntuusers> | ||
+ | |||
+ | Hierfür werden in der Datei ''/ | ||
+ | |||
+ | < | ||
+ | ChallengeResponseAuthentication | ||
+ | PasswordAuthentication no | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | Zur Frage, ob zusätzlich in der Datei ''/ | ||
+ | |||
+ | Ich empfehle hier, sich sicherheitshalber selbst ein Bild zu machen. | ||
+ | </ | ||
+ | |||
+ | <note important> | ||
+ | Bevor der Zugang mit Passwort gesperrt wird, sollte der Zugang mit // | ||
+ | </ | ||
+ | |||
+ | Die Änderung wird erst mit dem Restart des // | ||
+ | |||
+ | ===== Quellen | ||
+ | |||
+ | ==== zu Forced Commands | ||
* [[https:// | * [[https:// | ||
* [[http:// | * [[http:// | ||
* [[https:// | * [[https:// | ||
+ | |||
+ | ==== zu Sicherung des ssh-Zugangs ==== | ||
+ | |||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[ubuntuusers> | ||
+ | * [[https:// | ||
+ |