Sicherer Server: SSH-Port verlagern

Der Beitrag wurde am 6. November 2006 von Oliver veröffentlicht

Wer kennt sie nicht, die unliebsamen Genossen, die sich regelmäßig mit Brute-Force-Attacken in dem auth.log des Servers verewigen? Ein kleiner Tipp für die Menschen, die da etwas mehr Ruhe auf ihrem Server haben möchten: Man kann ziemlich einfach den SSH-Port verlagern, was zwar ein bisschen “Security through obscurity” ist, aber trotzdem den gewünschten Effekt erzielt und 99 Prozent der “Script-Kiddies” vor ein unlösbares Problem stellt. Ich gehe jetzt mal von einem Debian-System aus. So funktioniert es: Per SSH auf dem Server einloggen und die Datei “/etc/ssh/sshd_config” aufrufen. Dort findet sich ziemlich weit oben der aktuelle SSH-Port. In 99 Prozent der Fälle wird das 22 sein. Den ändert man nun auf einen beliebigen, freien Port. Nehmen wir zum Beispiel mal 17472. Der wird nun statt der 22 eingetragen. Jetzt kann die “sshd_config” gespeichert werden. Alles was man jetzt noch machen muss, ist SSH neu zu starten: “/etc/init.d/ssh restart”. Jetzt kann man den neuen Port in Putty eintragen und eine neue Verbindung aufbauen. Unter Port 22 ist SSH nicht mehr erreichbar. Ab dann ist garantiert Ruhe in den Logs. Was man aber unbedingt noch ergänzend machen sollte, ist von der Authentifizierung per Username und Passwort auf Private- und Public-Key umzusteigen und möglichst zusätzlich 9-stellige Passwörter (alphanumerisch) zu verwenden. Nur den Port zu verlagern bringt keine 100%ige Sicherheit, weil ein Portscanner z.B. den neuen Port relativ einfach aufspüren kann. Zusätzlich kann man auch noch Pakete wie fail2ban installieren, die die IPs von unerlaubten Zugriffen nach X Fehlversuchen per IP-Tables sperren und eine E-Mail an den Admin senden.

Abgelegt in Server & Scripting | Tags: none
Soziales: del.icio.us | Mister Wong | yigg.de | digg.com
Bitte installieren Sie Adobe Flash Player, um die animierten Anzeigen sehen zu können.

3 Kommentare »

RSS-Feed für Kommentare zu diesem Beitrag. TrackBack URI

  1. Gravatar of rowi

    Kommentar von rowi vom 6.11.2006

    Den Port zu verlagern ist wirklich arg security by obscurity und hält nur diejenigen ab die vermutlich eh nicht weiter kommen würden. root-Login deaktivieren und umstellen auf key-authentifizierung ist das deutlich nachhaltiger (passwortauthentifizierung aber abschalten!). Wenn man das noch steigern will kann man den ssh-Port komplett dicht machen (aber bitte mit reject, wer dropt hat tcp nicht verstanden) und einen knockd einsetzen. Der knockd überwacht alle Ports auf Zugriffsversuche und wenn die Richtigen Ports in der Richtigen Reihenfolge angesprochen werden reagiert er und gibt gibt im Paketfilter den Zugriff auf Port 22 frei - nur für die anklopfende IP.
  2. Gravatar of Oliver Karthaus

    Kommentar von Oliver Karthaus vom 6.11.2006

    Danke für deine Ergänzung, Rowi :) Ja, root-login sollte natürlich deaktiviert werden. Die Verlagerung des Ports hält aber zumindest die unzähligen Script-Kiddies ab, die mit ihren gesaugten Programmen und Scripts versuchen, irgendwelche Sicherheitslöcher aufzuspüren. Für einen echten Hacker stellt das natürlich keine Hürde dar, da sollte man schon mit - wie du sagst - Key-Authentifizierung und anderen Dingen rangehen.
  3. Gravatar of Debian-User

    Kommentar von Debian-User vom 24.3.2007

    FAIL2BAN ist also wirkich absolut NICT empfehlenswert auf einem Webserver, auf dem jedes Quentchen RAM für den APache gebraucht werden kann. Nach einiger Betriebszeit saugt sich fail2ban auf meiner Kiste satte 130 MB an RAM - dermassen schlect programmierte Software hat nix auf einem Server zu suchen!

Einen Kommentar schreiben

XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Powered by WordPress - Valid XHTML and CSS. ^Top^