OpenSSH optimal für maximale Sicherheit konfigurieren

Es scheint so, als ob man eine Lücke beim OpenSSH gefunden hat: Mithilfe dieser Lücke ist es den Angreifern jetzt ermöglicht, selber zu prüfen, wer sich per SSH anmelden darf. Das ermöglicht die Code-Methode der Passwortüberprüfung, sodass der Server schneller antwortet, wenn es sich um einen nicht existenten Anwender handelt.

Der Unterschied liegt darin, dass reale Anwender durch SHA256 / SHA512 überprüft werden, wobei es bei den nicht vorhandenen Anwendern per Blowfish geht. Die Angreifer können jetzt herausfinden, für welche Anwender welches System nutzbar ist, und weil man auch ein Passwort braucht, kann der Angriff länger dauern. Der Angriff kann doch ein bisschen schwierig sein, wenn man weiß, wie man die Angreifer stoppt. Hier finden Sie jetzt die wichtigsten Tipps, wie Sie Ihr System sichern können.

1. Auf keinen Fall ein root-Anmelder sein

Eigentlich sollte man sich niemals per SSH root anmelden. Diese Möglichkeit können Sie mit einem Zwischenanwender nutzen. Somit können Sie sich mit diesem via SSH anmelden, und den Angreifern die Qual bereiten, dass sie zwei Passworts knacken müssen, damit der Anwender richtig erraten wird. Mit einem komplexen Password wird es richtig schwer. Dank der Modernisierung der Linux Distributionen gibt es ein Verbot bei dem Anmelden des root Anwenders durch Standard. Der Nutzer sollte hierbei keine Änderung vornehmen. Wenn der Server nicht direkt durch SSH angemeldet werden kann, dann ist er in diesem Fall in Bezug auf den Bug als ein nicht existierender Anwender zu bezeichnen. Gerade durch diese Situation können die potenziellen Angreifer abgeschreckt werden. Es kann sein, dass die hartnäckigen Hacker einfachere Methoden haben sich an das gewünschte Material zu machen.

2. kryptische Anwender machen es den Angreifern schwer

Anstatt dass Sie einen üblichen Username wählen, sollten Sie beim Erstellen des Namens die Symbole /^[_.A-Za-z0-9][-\@_.A-Za-z0-9]*\$?$/ benutzen. Wenn auch das Passwort diese Symbole enthält, dann werden die Angreifer viel Mühe haben dieses zu knacken. Bestimmt ist eine komplexe Kombination nur schlecht zu merken, aber hierbei kommt es nicht um die Bequemlichkeit an, sondern auf die Sicherheit, die geschaffen werden muss, damit der Server erhalten wird.

3. Public / Private Key benutzen

Dieses Schlüsselpaar erlaubt den Log-in nur dann, wenn auch der Rechner den richtigen Schlüssel hat. Somit ist einem anderen PC der Eintritt verboten. Das kann jedoch ein bisschen Problemhaft sein, wenn Sie dringend den Server benötigen, aber den Computer nicht da haben.

4. Fail2Ban

Dieses Tool kann in der Tat dabei behilflich sein, Ihren Server zu schützen. Es basiert auf einem Prinzip, dass es IP-Adressen blockiert, nachdem Sie das Passwort ein paar Mal falsch eingegeben haben. Somit können Sie das Passwortknacken zusätzlich schwieriger machen.

5. Die Änderung des Ports

Diese Änderung ist jedoch nur bei automatisierten Angriffen auf den Service eine Hilfe, weil die Hacker in der Lage sind, den Port zu erraten. Wenn Sie also Ihren Port irgendwo über 50000 stellen, kann das ein sehr großes Hindernis für die Angreifer sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.