SSH-Server mit fail2ban absicher

IT-Systeme, die ungeschützt im Internet stehen, sind grundsätzlich immer einer Gefahr ausgesetzt. Auch wenn sie vielleicht keine allgemein öffentlichen Dienste anbieten und eventuell nicht einmal über einen DNS-Namen verfügen: die Rechner werden trotzdem gefunden. Tagtäglich laufen endlose Scans im globalen Netzwerk, die jeden Rechner identifizieren und nach Schwachstellen absuchen – angefangen bei einfachen Brute-Force-Attacken bis hin zu komplexeren Zugriffsversuchen, bei denen Angreifer Schwachstellen abklopfen in der Hoffnung, Schadcode auf einem System auszuführen. Die folgenden Beispiele zeigen, wie Sie den eigenen OpenSSH-Server gegen ungewollte Zugriffe absichern beziehungsweise die Hürden für Angreifer möglichst erhöhen.

Zusätzliche OpenSSH-Konfigurationsdateien einlesen

Die Konfiguration des OpenSSH-Servers erfolgt in der Datei "sshd_config", die zumeist im Verzeichnis "/etc/ssh/" liegt. Seit der OpenSSH-Version 8.2 besteht allerdings die Möglichkeit, zusätzliche Dateien zur Konfiguration zu verwenden [1]. Diese können Sie ganz einfach mit einer »Include« -Anweisung in der Datei "sshd_config" einlesen. Hier ein Beispiel:

Include /etc/ssh/sshd_config.d/*.conf

Hiermit werden nach einem Neustart des Servers sämtliche Dateien aus dem Verzeichnis "/etc/ssh/sshd_config.d/" beachtet, die auf ".conf" enden. Unterstützt Ihre OpenSSH-Server-Version dieses neue Feature noch nicht, speichern Sie die jeweiligen Konfigurationsanweisungen einfach wie gewohnt in der Datei "sshd_config".

Sichere Standardkonfigurationen

Es gibt eine Vielzahl von Grundeinstellungen, die jeder OpenSSH-Server verwenden sollte. Dazu zählt beispielsweise, dass ein Root-Login grundsätzlich nicht möglich ist und Anwender

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.