Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
thoschwiki:linux:ssh [12.04.2021 12:22] thosch 'Sicherung des ssh-Zugangs' und 'root-Remote-Zugriff unterbinden' ergänzt. |
thoschwiki:linux:ssh [16.05.2021 18:40] thosch [root-Remote-Zugriff unterbinden] Typo |
||
---|---|---|---|
Zeile 9: | Zeile 9: | ||
Per Default wird nach dem Aufbau des ssh-Verbindung eine interaktive Login-Session für den entsprechenden User aufgebaut. In manchen Fallgestaltungen ist ein eingeschränkterer Zugriff gewünscht. Mittels //Forced Commands// können die verfügbaren Befehle durch Vorgaben in der '' | Per Default wird nach dem Aufbau des ssh-Verbindung eine interaktive Login-Session für den entsprechenden User aufgebaut. In manchen Fallgestaltungen ist ein eingeschränkterer Zugriff gewünscht. Mittels //Forced Commands// können die verfügbaren Befehle durch Vorgaben in der '' | ||
- | **Quellen zu Forced Commands**: | ||
- | |||
- | * [[https:// | ||
- | * [[http:// | ||
- | * [[https:// | ||
===== Sicherung des ssh-Zugangs ===== | ===== Sicherung des ssh-Zugangs ===== | ||
Zeile 21: | Zeile 16: | ||
==== root-Remote-Zugriff unterbinden ==== | ==== root-Remote-Zugriff unterbinden ==== | ||
- | Auf vielen Systmen ist //root// der einzige Account mit Remote-Zugriff und einem bekannten Benutzernamen. Damit ist er ein gutes Ziel für Brute-Force-Angriffe((99% aller Login-Versuche aus dem Internet, die ich auf meinen Systemen beobachtet habe, richteten sich gegen //root//)). Wenn dieser Account gehackt wird, ist er aufgrund der umfassenden Benutzerrechte eine besonders lohnender Beute. Auf anderen Systemen ist der Account bereits " | + | Auf vielen Systmen ist //root// der einzige Account mit Remote-Zugriff und einem bekannten Benutzernamen. Damit ist er ein gutes Ziel für Brute-Force-Angriffe((99% aller Login-Versuche aus dem Internet, die ich auf meinen Systemen beobachtet habe, richteten sich gegen //root//)). Wenn dieser Account gehackt wird, ist er aufgrund der umfassenden Benutzerrechte eine besonders lohnender Beute. Auf anderen Systemen ist der Account bereits " |
- | Dort, wo der // | + | Dort, wo der // |
- | Um den // | + | Um den // |
< | < | ||
Zeile 31: | Zeile 26: | ||
</ | </ | ||
- | Anschließend startet man den //ssh//-Daemon neu((Wie der Restart erfolgt, variiert je nach dem technischen Umfeld.)) (oder rebootet ersatzweise den Rechner). | + | <note important> |
+ | Bevor der Remote-Zugriff für //root// gesperrt wird, sollte ausreichend getestet werden, ob das Administrieren mit '' | ||
+ | </ | ||
+ | |||
+ | Die Änderung wird erst mit dem Restart des //ssh//-Daemons | ||
+ | |||
+ | ==== ssh-Zugriff mit Passwort unterbinden ==== | ||
+ | |||
+ | Die [[ubuntuusers> | ||
+ | |||
+ | Hierfür werden in der Datei ''/ | ||
+ | |||
+ | < | ||
+ | ChallengeResponseAuthentication | ||
+ | PasswordAuthentication no | ||
+ | </ | ||
+ | |||
+ | < | ||
+ | Zur Frage, ob zusätzlich in der Datei ''/ | ||
+ | |||
+ | Ich empfehle hier, sich sicherheitshalber selbst ein Bild zu machen. | ||
+ | </ | ||
<note important> | <note important> | ||
- | Bevor man den Remote-Zugriff für //root// sperrt, sollte man ausreichend testen, dass das Administrieren mit '' | + | Bevor der Zugang mit Passwort gesperrt wird, sollte der Zugang mit //Public-Keys// erfolgreich von mehreren Rechnern aus getestet werden und in der '' |
</ | </ | ||
+ | Die Änderung wird erst mit dem Restart des // | ||
+ | |||
+ | ===== Quellen ===== | ||
+ | |||
+ | ==== zu Forced Commands ==== | ||
+ | |||
+ | * [[https:// | ||
+ | * [[http:// | ||
+ | * [[https:// | ||
+ | |||
+ | ==== zu Sicherung des ssh-Zugangs ==== | ||
+ | |||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[ubuntuusers> | ||
+ | * [[https:// | ||