SSH-Server¶
Der Status des SSH-Service lässt sich leicht ermitteln:
systemctl status sshd.service
Anm.: bei manchen Distros auch ssh.service!
Hier ein Auszug eines SSH-Status mit dem Beginn des Journals:
root@vm-lpic-server:~# systemctl status sshd.service
ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2021-09-28 11:10:52 CEST; 1h 11min ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 473 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
Main PID: 513 (sshd)
Tasks: 1 (limit: 4674)
Memory: 4.0M
CPU: 130ms
CGroup: /system.slice/ssh.service
└─513 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
Sep 28 11:38:19 vm-lpic-server sshd[650]: pam_unix(sshd:session): session opened for user joebserver(uid=1000) by ....
Die Konfiguration für den Server finden wir in:
/etc/ssh/sshd_config
Anm.: bitte unbedingt auf sshd_ achten!
In den (allermeisten) Standardinstallationen des SSH-Servers ist voreingestellt, dass sich nur Standarduser authentifizieren (anmelden per Benutzername + Password) dürfen.
Absicherungsmöglichkeiten für einen SSH-Server:
Standardport 22 ändern (Anm.: unüblich)
Loginkontrollen wie fail2ban
PublicKey nutzen und User+Password ausschalten!
Multifaktor-Authentifizierung (also: 2FA, Aufwand)
Ein paar beispielhafte Einstellungen:
Port 44443
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no
X11Forwarding no
Bei allen kommentierten Einträgen der Orignal-Config handelt es sich um die Standardeinträge.
Gefahr
Für das Absichern von Servern durch das Abschalten von PasswordAuthentication werden ALLE User ohne Key abgelehnt. Man sollte mit Vorsicht agieren, um sich nicht bei Cloud-Servern auszusperren!