Mehr Sicherheit durch geschützten SSH-Dämon

Attacken auf den sshd sind immer wieder sehr beliebt. Oft werden innerhalb von Sekunden hunderte von Login-Versuchen mit Standard-Usernamen wie root, ftp oder admin und Passwörtern aus dem Wörterbuch ausprobiert – frei nach dem Motto: Irgendwo wird’s schon klappen.

Solche Attacken sind nicht nur lästig, sie kosten durch die schiere Menge der Anfragen auch Netzwerk-Bandbreite und Rechenkapazität. Mit einfachen Mitteln kann man die eigene Secure Shell gegen solchen und ähnlichen Unfug sichern.

Alle Einstellungen gehören in das sshd-Configfile, das normalerweise sshd_config heißt und im Verzeichnis

/etc/ssh liegt.

* Das ursprüngliche SSHProtokoll Version 1 ist veraltet und hat einige bekannte Sicherheitsmängel. Deswegen sollte Ihr Server nur Protokoll-Version 2 zulassen. Die Zeile

Protocol 2

sorgt dafür.

* Lange nicht alle Benutzer eines Servers müssen sich per SSH anmelden können. Der Parameter AllowUsers definiert, welche Nutzer erlaubt sind. Alle nicht genannten bleiben ausgesperrt. Beispiel:

AllowUsers root claus martin hans

Ob es sinnvoll ist, den Benutzer root zuzulassen, ist eine viel diskutierte Frage. Einerseits schafft es eine zusätzliche Sicherheitsstufe, wenn sich Benutzer zunächst mit ihrem normalen Namen anmelden und dann per su zum root aufschwingen müssen. Andererseits ist das eine Komforteinbuße.

* Kein Benutzer braucht ewig, um sich einzuloggen, also Benutzername und Passwort einzugeben. Jeder gestartete sshd-Task braucht Speicher und Rechenzeit. Also gibt man mit

LoginGraceTime 60

eine Minute Timeout vor. Hat sich 60 Sekunden nach Verbindungsstart noch niemand korrekt eingeloggt, wird der Task beendet.

Vorsicht: Natürlich ist hier auch ein noch kürzerer Wert möglich. Aber berücksichtigen Sie immer, dass der Server auch einmal überlastet sein kann und die Kommunikation mit dem sshd deshalb verzögert wird. Da kann es äußerst lästig werden, wenn der Timeout zu schnell zuschlägt.

Ähnliche Beiträge