Linux SSH Konfiguration

From JonDonym Wiki
Jump to: navigation, search

En2.png De2.png  Hauptseite (de) | Linux Server Setup

Sichere Konfiguration des SSH-Daemon

Die Mix-Server stehen in der Regel in einem Rechenzentrum und werden via SSH administriert. Ein paar kleine Hinweise zur Konfiguration des Daemons:

  • Botnetze greifen automatisiert SSH-Ports (Port 22) an und versuchen mittels Wörterbuch-Attacke Zugang zu Standard-Accounts wie root, ftp.... zu erlangen. Man sollte den ListenPort auf einen nicht üblichen Port verschieben (z.B. auf Port 22022). Das reduziert auch sinnlosen Bot-Traffic.
  • Ein Login mit Passwort sollte deaktiviert werden. Sicherer ist es, einen SSH-Key zu nutzen. Der Public Key muss auf dem Server als authorisiert in der Datei $HOME/.ssh/authorized_keys hinterlegt werden. Der Login mit Passwort und über verschiedene PAM-Module kann komplett deativiert werden.
  • Den root-Login kann man deaktivieren, da dieser Standard-Account häufig angegriffen wird. Besser ist es, sich als normaler User anzumelden und mittels sudo eine Root-Shell nach dem Login zu öffnen.
  • Das SSH-Protokoll 1 gilt als unsicher, es sollte nur die Protokollversion 2 zulässig sein.
  • Bei Servern mit mehreren IP-Adressen sollte der Daemon nur an einer IP-Adresse lauschen. Das reduziert die Angriffsfläche weiter.
  • sftp kann man aktivieren, es erleichtert den Dateitransfer vom und zum Server.

Die Konfiguration des SSH-Daemon erfolgt in /etc/ssh/sshd_config. Im Beispiel ist die externe IP-Adresse 123.123.123.123.

ListenAddress 123.123.123.123
Port 22022
Protocol 2
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile	%h/.ssh/authorized_keys
PermitRootLogin no
PermitEmptyPasswords no
IgnoreRhosts yes
PasswordAuthentication no
HostbasedAuthentication no
ChallengeResponseAuthentication no
X11Forwarding no
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM no

Mit iptables oder fail2ban kann der SSH-Daemon zusätzlich abgesichert werden.

Personal tools