Jeder der einen eigenen Server in einem Rechenzentrum betreibt, m\u00f6chte diesen bestm\u00f6glich vor Hackerangriffen sch\u00fctzen. Wir zeigen euch eine M\u00f6glichkeit wie ihr den SSH Port eures Servers ganz einfach und effektiv sch\u00fctzen k\u00f6nnt.<\/p>\n\n\n\n
Fail2ban (deutsch: Fehlschlag f\u00fchrt zum Bann) ist ein in Python geschriebenes Tool, dass dem Administrator helfen soll Angreifer zu entdecken. Das Tool erkennt, wenn sich mehrmals in einem bestimmten Zeitraum mit einem falschen Passwort versucht wurde sich anzumelden. Anschlie\u00dfend wird diese IP des Angreifers f\u00fcr einen bestimmten Zeitraum gesperrt. <\/p>\n\n\n\n
Um fail2ban zu installieren f\u00fchren wir folgende Befehle aus:<\/p>\n\n\n\n
apt-get update\napt-get upgrade\napt-get install fail2ban<\/pre>\n\n\n\n<\/div>\n\n\n\nAnschlie\u00dfend m\u00fcssen wir fail2ban noch konfigurieren:
Wir wechseln zun\u00e4chst in das Verzeichnis, wo sich die Konfigurationsdatei befindet und passen anschlie\u00dfend verschiedene Parameter an.<\/p>\n\n\ncd \/etc\/fail2ban\/\n\nKopieren der Konfigurationsdatei, damit diese beim Update nicht \u00fcberschrieben wird\n\nsudo cp jail.conf jail.local\n\nAnpassen der Konfiguration\n\nsudo nano jail.local\n\nHier solltest du folgende Einstellungen anpassen\n\n# Dauer der Sperrung (ein Tag)<\/span>\nbantime = 86400<\/span> \n# Suchzeit<\/span>\nfindtime = 600<\/span>\n# maximale Fehlversuche<\/span>\nmaxretry = 3<\/span>\n\nAnschlie\u00dfend musst du den Dienst noch Neustarten\n\nsudo systemctl restart fail2ban.service<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n<\/div>\n\n\n\n2. neuen Benutzer anlegen <\/h3>\n\n\n\n
Damit wir im n\u00e4chsten Schritt den Root Login \u00fcber SSH deaktivieren k\u00f6nnen, m\u00fcssen wir zun\u00e4chst einen neuen Benutzer anlegen.<\/p>\n\n\n
# Ersetzt newuser durch euern gew\u00fcnschten Benutzernamen<\/span>\nadduser newuser<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n<\/div>\n\n\n\nAnschlie\u00dfend erscheinen ein paar Fragen, welche du alle mit Enter best\u00e4tigen kannst. Als Password solltest du ein m\u00f6glichst langes und kryptisches w\u00e4hlen, damit es nicht leicht erraten werden kann.<\/p>\n\n\n\n
<\/div>\n\n\n\n3. SSH Root Login deaktivieren <\/h3>\n\n\n\n
Nun deaktivieren wir den SSH Root Login um die Sicherheit deines Servers weiter zu erh\u00f6hen. Dazu wechseln wir in das Verzeichnis, wo sich die SSH Konfigurationsdatei befindet.<\/p>\n\n\n
cd \/etc\/ssh\/\n#\u00d6ffnen der Konfigurationsdatei <\/span>\nsudo nano sshd_config\n#Hier solltest du folgenden Parameter anpassen<\/span>\nPermitRootLogin no\n\n#Anschlie\u00dfend musst du den SSH Dienst noch neustarten<\/span>\nsudo systemctl restart sshd.service<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n<\/div>\n\n\n\n4. SSH Password Login deaktivieren <\/h3>\n\n\n\n
Um deinen Server noch besser vor SSH Angriffen zu sch\u00fctzen, erlauben wir jetzt nur noch die SSH Anmeldung mit einen Schl\u00fcsselpaar. Somit musst du beim Anmelden auch kein Passwort mehr eingeben. Dazu sind folgende Schritte notwendig.<\/p>\n\n\n\n
Schl\u00fcsselpaar erzeugen<\/strong><\/p>\n\n\n\n
Bitte beachte dabei, dass du das Schl\u00fcsselpaar nicht auf dem Server erzeugen solltest, auf dem du dich sp\u00e4ter damit anmelden m\u00f6chtest. Solltest du einen Windows Rechner verwenden empfehle ich dir das Tool Putty f\u00fcr die Erstellung des Schl\u00fcsselpaares zu verwenden.<\/p>\n\n\n
#erzeugen eines 4096 Bit langen Schl\u00fcsselpaares<\/span>\nssh-keygen -b 4096<\/span>\n\n#speichern des Schl\u00fcsselpaares<\/span>\n#hier musst du your_home durch deinen vorhin angelegten<\/span>\n#Benutzernamen ersetzen<\/span>\nEnter file in which to save the key (\/your_home\/.ssh\/id_rsa):\n#Anschlie\u00dfend kannst du noch ein Password f\u00fcr euer Schl\u00fcsselpaar festlegen<\/span>\n# ist aber nicht zwingend notwendig<\/span>\nEnter passphrase (empty<\/span> for<\/span> no passphrase):<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n<\/div>\n\n\n\nSchl\u00fcsselpaar auf den Server kopieren<\/strong><\/p>\n\n\n
#Wechsel zun\u00e4chst in das Verzeichnis wo sich dein <\/span>\n#Schl\u00fcsselpaar befindet<\/span>\n\ncd \/your_home\/.ssh\/\n\n#Kopieren des \u00f6ffentliches Schl\u00fcssels<\/span>\ncp id_rsa.pub authorized_keys\n\n#\u00d6ffentlichen Schl\u00fcssel auf den Server kopieren<\/span>\nscp authorized_keys benutzer@deine_server_adresse:~\/authorized_keys\n\n#melde dich anschlie\u00dfend auf dem Server an<\/span>\nssh benutzer@deine_server_adresse\n\n#erstelle anschlie\u00dfend den Order .ssh in deine Homeverzeichnis<\/span>\nmkdir .ssh\n\n#Verschiebe anschlie\u00dfend authorized_keys in den .ssh Ordner<\/span>\nmv authorized_keys .ssh\/authorized_keys<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\nMelde dich nun von deinem Server ab und anschlie\u00dfend erneut an. Es sollte jetzt nicht mehr nach einem Passwort gefragt werden.<\/p>\n\n\n\n
SSH Login nur noch mit g\u00fcltigem Schl\u00fcsselpaar erlauben<\/strong><\/p>\n\n\n\n
Damit keine Anmeldung mehr per Passwort erlaubt ist, solltest du folgende Einstellungen anpassen<\/p>\n\n\n
#wechsle in das SSH Verzeichnis<\/span>\ncd \/etc\/ssh\/\n\n#\u00f6ffne die Konfigurationsdatei<\/span>\nsudo nano sshd_config\n\n#Folgender Parameter muss angepasst werden<\/span>\nPasswordAuthentication no\n\n#SSH Dienst neustarten<\/span>\nsudo systemctl restart sshd.service<\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\nDas war’s. Dein Server ist jetzt etwas sicherer geworden. Damit dein Server dauerhaft sicher bleibt, solltest du in regelm\u00e4\u00dfigen Abst\u00e4nden Updates installieren.<\/p>\n\n\n\n
Hat dir die Anleitung gefallen? Dann gib uns ein Feedback.<\/p>\n","protected":false},"excerpt":{"rendered":"
Wir zeigen euch eine M\u00f6glichkeit wie ihr den SSH Port eures Servers ganz einfach und effektiv sch\u00fctzen k\u00f6nnt.<\/p>\n","protected":false},"author":1,"featured_media":297,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[41],"tags":[42,44,43],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/posts\/234"}],"collection":[{"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/comments?post=234"}],"version-history":[{"count":63,"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/posts\/234\/revisions"}],"predecessor-version":[{"id":458,"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/posts\/234\/revisions\/458"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/media\/297"}],"wp:attachment":[{"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/media?parent=234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/categories?post=234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.techox.de\/blog\/wp-json\/wp\/v2\/tags?post=234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}