.

Solltet ihr einen Server zu hause einrichten installiert als erstes den ssh-Daemon um den Server später von eurem Desktop Rechner aus via ssh Login administrieren zu können.

Inhalt

Vorbereitung
Neuen ’ssh‘ Benutzer Anlegen
Zusätzliche Sicherheit

Voraussetzung

- Systemzugriff als root oder Benutzer mit sudo Privilegien.

Vorbereitung

Zu beginn wie immer das System updaten und ssh installieren.

apt-get update
apt-get install openssh-server

Neuen ’ssh‘ Benutzer Anlegen

Aus Sicherheitsgründen empfiehlt es sich den root User des System von der Anmeldung via ssh aus zuschließen. Allerdings benötigen wir einen andern Benutzer mit dem wir uns später anmelden können. Dafür erstellen wir als erstes einen neuen User:

adduser <username>

Wenn dieser User nur zum anmelden via ssh zum Einsatz kommen soll braucht dieser kein ‚home‘ Verzeichnis. Das erreicht man so:

adduser --no-create-home <username>

Die meisten System fragen euch beim erstellen des neuen User nach einem Passwort. Sollte dies nicht der Fall sein könnt ihr dieses schnell noch erstellen:

passwd <username>

Der erste Schritt ist geschafft. Nun solltet ihr versuchen ob ihr euch via ssh mit dem neuen Benutzer an eurem Server anmelden könnt. Denn wenn ihr root aussperrt und es Probleme gibt bei der Anmeldung mit dem neuen Benutzer ist die nur noch durch physischen zugriff auf den Server wieder in den Griff zu bekommen.

root vom Login ausschließen

Die Einstellungen vom ssh Server findet man in der Datei: „/etc/ssh/sshd_config„. Diese rufen wir nun zum bearbeiten auf:

nano /etc/ssh/sshd_config

In der Konfigurationsdatei findet ihr ganz am ende den Eintrag:

PermitRootLogin yes

Diesen ändern wir zu:

PermitRootLogin no

Nach der Bearbeitung muss der Inhalt mit ‚strg+o‚ und ‚Enter‚ gespeichert werden um dann nano mit ‚strg+x‚ zu verlassen. Um die Änderungen zu aktivieren muss der ssh Daemon neu gestartet werden. Dazu einen der beiden folgenden Befehle ausführen:

/etc/init.d/ssh restart

oder

systemctl restart sshd

Nun ist der Login via root User nicht mehr möglich. Um weiterhin als root auf dem Server arbeiten zu können müsst ihr euch zukünftig mit dem neuen User am System anmelden:

ssh <username>@<IP Adresse>

Und im Anschluss mit dem Befehl ‚su‚ (SuperUser) zum root User wechseln.

Zusätzliche Sicherheit

In der Datei „/etc/ssh/sshd_config“ kann der Port auf dem der ssh Daemond lauscht geändert werden. Der entsprechende Eintrag findet sich ganz am Anfang der Datei:

Port 22

Statt der „22“ könnt ihr zum Beispiel „2222“ machen oder was euch auch immer beliebt. Allerdings empfehle einem ich einen Port oberhalb von 1023 zu wählen da die Ports 1 – 1023 standardisierte Ports sind die zum großen teil Anwendungen zugewiesen sind wie Webserver, Mailserver, FTP u.v.m.. Einen enormen Sicherheitsvorteil bringt die Zuweisung eines alternativen Ports allerdings nicht. Den mittels eines Port, wie nmap können offene Ports an jedem Server gescannt werden. In den meisten fällen erhält der scannende auch einen Hinweis welcher Service sich hinter dem offenen Port verbirgt.

Wenn ihr den Port geändert habt muss für den Login eine zusätzliche Option angefügt werden:

ssh -p <Port> <username>@<IP Adresse>

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.