SSH-Server

Der Status des SSH-Service lässt sich leicht ermitteln: systemctl status sshd.service

Anm.: bei manchen Distros auch ssh.service!

Hier ein Auszug eines SSH-Status mit dem Beginn des Journals:

root@vm-lpic-server:~# systemctl status sshd.service
  ssh.service - OpenBSD Secure Shell server
    Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
    Active: active (running) since Tue 2021-09-28 11:10:52 CEST; 1h 11min ago
    Docs: man:sshd(8)
            man:sshd_config(5)
    Process: 473 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
Main PID: 513 (sshd)
    Tasks: 1 (limit: 4674)
    Memory: 4.0M
        CPU: 130ms
    CGroup: /system.slice/ssh.service
            └─513 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups

Sep 28 11:38:19 vm-lpic-server sshd[650]: pam_unix(sshd:session): session opened for user joebserver(uid=1000) by ....

Die Konfiguration für den Server finden wir in: /etc/ssh/sshd_config

Anm.: bitte unbedingt auf sshd_ achten!

In den (allermeisten) Standardinstallationen des SSH-Servers ist voreingestellt, dass sich nur Standarduser authentifizieren (anmelden per Benutzername + Password) dürfen.

Absicherungsmöglichkeiten für einen SSH-Server:

• Standardport 22 ändern (Anm.: unüblich)

• Loginkontrollen wie fail2ban

• PublicKey nutzen und User+Password ausschalten!

• Multifaktor-Authentifizierung (also: 2FA, Aufwand)

Ein paar beispielhafte Einstellungen:

Port 44443
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no
X11Forwarding no

Bei allen kommentierten Einträgen der Orignal-Config handelt es sich um die Standardeinträge.

Gefahr

Für das Absichern von Servern durch das Abschalten von PasswordAuthentication werden ALLE User ohne Key abgelehnt. Man sollte mit Vorsicht agieren, um sich nicht bei Cloud-Servern auszusperren!