V-Server Sicherheit deutlich erhöhen - SSH Sicherheits-Konfiguration: Unterschied zwischen den Versionen

Aus Minehub.de Wiki
Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „== Einleitung == V-Server sind grundsätzlich öffentlich aus dem Internet erreichbar. Jeder andere Server der Welt, jeder andere Mensch aus jedem anderen Land…“)
(kein Unterschied)

Version vom 10. August 2019, 20:33 Uhr

Einleitung

V-Server sind grundsätzlich öffentlich aus dem Internet erreichbar. Jeder andere Server der Welt, jeder andere Mensch aus jedem anderen Land ist nach der Installation des Servers in der Lage, sich mit diesem per SSH zu verbinden.

Selbstverständlich benötigt er dafür das Passwort.

Genau wegen diesem Umstand streifen jede Sekunde tausende Botnetze durch das Internet, stets auf der Suche nach Servern, dessen SSH ungeschützt und offen verfügbar ist.

Sie versuchen, sobald gefunden, mehrere hundert/tausend Male, das Passwort des Servers zu erraten. Ist das Passwort schwach, ist es nach 2-3 Wochen geknackt und euer Server wird Teil dieses Botnetzes.

Die Konsequenz ist die Sperrung eures Servers. Die 2 besten Maßnahmen gegen all diese Botnetze, findet ihr in den folgenden Abschnitten.

Jede einzelne Maßnahme allein reicht schon, euren Server um ein Vielfaches sicherer zu machen und das Risiko quasi gegen 0 zu reduzieren. Beide in Verbindung bieten natürlich keinen hundertprozentigen Schutz - aber euren Server dann zu knacken erfordert fast ausschließlich das direkte Anschließen des Kabels an diesen.

SSH-Port ändern

Den SSH-Port zu ändern ist die einfachste, aber eine extrem effektive Methode, euren Server gegen Botnetze aller Art abzusichern.

Botnetze suchen auf der ganzen Welt nach öffentlichen IP-Adressen, auf denen Port 22 (der Standard-Port für SSH) offen ist. Sofern das nicht der Fall ist, gehen sie einfach weiter.

Wenn euer Server also einfach einen anderen Port benutzt, werden Botnetze sich maximal 1 Sekunde mit eurem Server beschäftigen, bevor sie weitersuchen.


Um den Port zu ändern, müssen wir die Konfiguration des SSH-Servers anpassen.:

nano /etc/ssh/sshd_config

Port 22.png

Der neue Port muss zwischen 1024 und 65535 liegen. Wählt einen aus, den ihr euch gut merken könnt.

Die ersten 1024 Ports sind standartisiert (z.B. 21 FTP, 22 SSH, 80 HTTP, 443 HTTPS ......), 65535 ist der höchste, mögliche Port. Daher sind diese nicht möglich.

Port 45678.png

Ich habe mich für 45678 entschieden.

STRG X, Y, ENTER um die Änderungen zu speichern. Danach SSh mit /etc/init.d/ssh restart neustarten.

Fertig. Ihr könnt euch nun mit dem neuen Port zu eurem Server verbinden.

Private-Key Authentifizierung aktivieren, Passwort-Authentifizierung deaktivieren

Den SSH-Port zu ändern hilft gegen 99% aller Botnetze. 1% der Botnetze, inklusive realer Menschen suchen den gesamten Server ab und scannen alle Ports.

Bei Änderung des SSH-Ports wird dieser also ebenfalls gefunden werden und dann kann der Angreifer erneut versuchen, euer Passwort herauszufinden.

Was könnte also schlauer sein, als die Authentifizierung via Passwort schlichtweg zu unterbinden? Der Angreifer kann 50 Jahre lang versuchen, ein Passwort zu erraten, Millionen/Milliarden von verschiedenen Kombinationen ausprobieren. Er wird niemals eine Verbindung zum Server herstellen können.