DevOps Wissensdatenbank
DevOps Wissensdatenbank

SSH-Sicherheitsbest Practices: Härten Ihres Servers und Clients

Dieser umfassende Leitfaden beschreibt wesentliche Sicherheitsbest Practices für SSH-Verbindungen. Erfahren Sie, wie Sie Ihren Server durch Deaktivieren der Passwortauthentifizierung, Ändern von Standardports und Einschränken des Zugriffs härten können. Entdecken Sie wichtige Vorgehensweisen auf Client-Seite, einschließlich des Schutzes privater Schlüssel und der Überprüfung von Host-Schlüsseln. Wir behandeln auch erweiterte Maßnahmen wie Zwei-Faktor-Authentifizierung und Fail2ban, um Ihren Remote-Zugriff vor unbefugtem Eindringen zu schützen.

47 Aufrufe

SSH-Sicherheitspraktiken: Härten Ihres Servers und Clients

Secure Shell (SSH) ist ein unverzichtbares Werkzeug für Systemadministratoren und Entwickler, das sicheren Fernzugriff auf Server und andere Netzwerkgeräte ermöglicht. Während SSH standardmäßig eine robuste Verschlüsselung bietet, kann seine Sicherheit durch die Implementierung einer Reihe von Best Practices auf Server- und Client-Seite erheblich verbessert werden. Dieser Artikel befasst sich mit kritischen Sicherheitsmaßnahmen, die darauf abzielen, Ihre SSH-Verbindungen zu härten, vor gängigen Schwachstellen zu schützen und unbefugten Zugriff zu verhindern.

Das Vernachlässigen der SSH-Sicherheit kann dazu führen, dass Ihre Systeme Brute-Force-Angriffen, Man-in-the-Middle-Bedrohungen und unbefugten Datenlecks ausgesetzt sind. Durch die Übernahme der unten aufgeführten Praktiken können Sie Ihre Sicherheitslage erheblich stärken und die Integrität und Vertraulichkeit Ihrer Remote-Operationen gewährleisten.

Serverseitige Sicherheitshärtung

Die Konfiguration Ihres SSH-Servers (sshd_config) ist entscheidend für die Schaffung einer sicheren Grundlage für den Fernzugriff. Diese Änderungen wirken sich direkt darauf aus, wie Clients eine Verbindung zu Ihrem Server herstellen und sich authentifizieren.

1. Passwortauthentifizierung deaktivieren

Die Passwortauthentifizierung ist von Natur aus anfällig für Brute-Force-Angriffe. Der Ersatz durch SSH-schlüsselbasierte Authentifizierung ist eine der effektivsten Sicherheitsverbesserungen, die Sie vornehmen können.

  • Warum: SSH-Schlüssel sind weitaus komplexer als Passwörter und können nicht leicht erraten oder durch Brute-Force-Methoden geknackt werden. Sie bieten eine viel stärkere Form der Authentifizierung.

  • Wie: Bearbeiten Sie Ihre sshd_config-Datei (typischerweise unter /etc/ssh/sshd_config zu finden) und setzen Sie PasswordAuthentication no. Starten Sie nach den Änderungen den SSH-Dienst neu:

    ```bash
    sudo systemctl restart sshd

    oder auf älteren Systemen:

    sudo service ssh restart
    ```

    Wichtig: Stellen Sie sicher, dass Sie die SSH-schlüsselbasierte Authentifizierung erfolgreich eingerichtet und getestet haben, bevor Sie die Passwortauthentifizierung deaktivieren, um sich nicht auszusperren.

2. Einen Nicht-Standard-Port verwenden

Obwohl keine primäre Sicherheitsmaßnahme gegen ausgeklügelte Angreifer, kann die Änderung des Standard-SSH-Ports (22) das Rauschen von automatisierten Bots reduzieren, die nach anfälligen Servern scannen.

  • Wie: Ändern Sie in sshd_config die Direktive Port. Um beispielsweise Port 2222 zu verwenden:

    Port 2222

    Denken Sie daran, Ihre Firewall-Regeln zu aktualisieren, um den Datenverkehr auf dem neuen Port zuzulassen, und geben Sie den Port an, wenn Sie sich von Ihrem Client aus verbinden:

    bash ssh -p 2222 user@your_server_ip

3. Benutzer- und Gruppenzugriff einschränken

Steuern Sie, welche Benutzer und Gruppen sich über SSH anmelden dürfen.

  • AllowUsers und AllowGroups: Verwenden Sie diese Direktiven in sshd_config, um explizit anzugeben, wer eine Verbindung herstellen kann.
    AllowUsers admin user1 AllowGroups sshusers
  • DenyUsers und DenyGroups: Verwenden Sie stattdessen diese, um bestimmte Benutzer oder Gruppen zu blockieren.

4. Root-Login deaktivieren

Der direkte Root-Login über SSH sollte deaktiviert werden, um zu verhindern, dass Angreifer sofort auf das mächtigste Konto abzielen. Stattdessen sollten sich Benutzer mit ihren eigenen Konten anmelden und sudo für administrative Aufgaben verwenden.

  • Wie: Setzen Sie PermitRootLogin no in sshd_config.

5. Leerlauf-Timeout und Keep-Alives konfigurieren

Verhindern Sie, dass unbeaufsichtigte, aktive SSH-Sitzungen unbegrenzt geöffnet bleiben.

  • ClientAliveInterval und ClientAliveCountMax: Diese serverseitigen Einstellungen senden in regelmäßigen Abständen Null-Pakete an den Client, um zu überprüfen, ob die Verbindung noch besteht. Wenn der Client nach ClientAliveCountMax-Versuchen nicht antwortet, trennt der Server die Sitzung.
    ClientAliveInterval 300 # Alle 5 Minuten ein Paket senden ClientAliveCountMax 2 # Nach 2 fehlgeschlagenen Antworten (10 Minuten) trennen

6. Nur Protokoll 2 aktivieren

SSH-Protokollversion 1 ist veraltet und hat bekannte Sicherheitsschwachstellen. Stellen Sie sicher, dass nur Protokoll 2 aktiviert ist.

  • Wie: Setzen Sie Protocol 2 in sshd_config.

7. Host-Schlüssel härten

Stellen Sie sicher, dass die Host-Schlüssel Ihres Servers geschützt und ordnungsgemäß verwaltet werden.

  • Berechtigungen: Überprüfen Sie, ob die Host-Schlüsseldateien (z. B. /etc/ssh/ssh_host_rsa_key) restriktive Berechtigungen (z. B. 600) haben und root gehören.

Clientseitige Sicherheitspraktiken

Die Sicherung Ihrer Client-Maschine und Ihrer SSH-Schlüssel ist ebenso wichtig wie die serverseitige Härtung.

1. Schützen Sie Ihre privaten Schlüssel

Ihr privater SSH-Schlüssel ist das Tor zu Ihren Servern. Behandeln Sie ihn mit größter Sorgfalt.

  • Berechtigungen: Stellen Sie sicher, dass Ihre private Schlüsseldatei (z. B. ~/.ssh/id_rsa) strenge Berechtigungen (z. B. 600 oder 400) hat, sodass nur Sie sie lesen können.
    bash chmod 600 ~/.ssh/id_rsa
  • Passphrasen: Verwenden Sie immer eine starke Passphrase, um Ihren privaten Schlüssel zu verschlüsseln. Dies bietet eine zusätzliche Sicherheitsebene, die die Passphrase erfordert, selbst wenn die Schlüsseldatei kompromittiert ist.
  • Vermeiden Sie Kopieren: Teilen Sie Ihren privaten Schlüssel nicht mit anderen und speichern Sie ihn nicht an unsicheren Orten.

2. SSH-Agent-Weiterleitung mit Bedacht verwenden

Die SSH-Agent-Weiterleitung ermöglicht es Ihnen, Ihre lokalen SSH-Schlüssel zur Authentifizierung bei Remote-Servern zu verwenden, ohne Ihre privaten Schlüssel auf diese Server zu kopieren. Obwohl praktisch, kann es ein Sicherheitsrisiko darstellen, wenn der Remote-Server kompromittiert wird.

  • Aktivieren: ssh -A user@your_server_ip
  • Best Practice: Verwenden Sie die Agent-Weiterleitung nur, wenn es unbedingt notwendig ist, und trennen Sie die Verbindung so schnell wie möglich. Erwägen Sie, sie standardmäßig in Ihrer Client-Konfiguration zu deaktivieren.

3. Host-Schlüssel-Fingerabdrücke verifizieren

Wenn Sie sich zum ersten Mal mit einem SSH-Server verbinden, werden Sie vom Client aufgefordert, den Fingerabdruck des Host-Schlüssels des Servers zu überprüfen. Dies hilft, Man-in-the-Middle-Angriffe zu verhindern.

  • Wie: Überprüfen Sie den Fingerabdruck immer anhand einer vertrauenswürdigen Quelle (z. B. vom Hosting-Provider oder Systemadministrator bereitgestellt). Wenn sich der Fingerabdruck bei nachfolgenden Verbindungen unerwartet ändert, kann dies auf ein Sicherheitsproblem hinweisen.

4. SSH-Client-Software aktuell halten

Stellen Sie sicher, dass Ihre SSH-Client-Software (OpenSSH, PuTTY usw.) auf dem neuesten Stand gehalten wird, um von den neuesten Sicherheitspatches und Funktionen zu profitieren.

Erweiterte Sicherheitsmaßnahmen

Berücksichtigen Sie über die grundlegenden Schritte hinaus diese erweiterten Techniken:

1. Zwei-Faktor-Authentifizierung (2FA)

Implementieren Sie 2FA für eine zusätzliche Sicherheitsebene. Dies umfasst typischerweise eine Kombination aus etwas, das Sie wissen (Ihr SSH-Schlüssel oder Passwort), und etwas, das Sie haben (ein Code von einer Authentifizierungs-App oder einem Hardware-Token).

  • Tools: Google Authenticator, Duo Security oder Hardware-Token können mit PAM (Pluggable Authentication Modules) für SSH integriert werden.

2. Fail2ban

Fail2ban ist ein Intrusion-Prevention-Software-Framework, das Logdateien (z. B. /var/log/auth.log) scannt und IPs sperrt, die bösartige Anzeichen zeigen – zu viele fehlgeschlagene Passwörter, Suche nach Exploits usw. Es aktualisiert Firewall-Regeln, um die IPs für einen bestimmten Zeitraum zurückzuweisen.

  • Installation: Typischerweise über Paketmanager verfügbar (sudo apt install fail2ban oder sudo yum install fail2ban).
  • Konfiguration: Konfigurieren Sie Jails in /etc/fail2ban/jail.local, um SSH-Protokolle zu überwachen und Sperrzeiten und Schwellenwerte festzulegen.

3. Firewall-Konfiguration

Verwenden Sie eine Firewall (wie ufw, firewalld oder iptables), um den Zugriff auf Ihren SSH-Port (egal ob Standard oder benutzerdefiniert) nur von vertrauenswürdigen IP-Adressen oder Bereichen einzuschränken.

  • Beispiel (ufw):
    bash sudo ufw allow from trusted_ip to any port 22 sudo ufw enable

Fazit

Die Sicherung Ihrer SSH-Verbindungen ist ein fortlaufender Prozess, keine einmalige Einrichtung. Durch die sorgfältige Anwendung dieser serverseitigen und clientseitigen Best Practices können Sie die Risiken im Zusammenhang mit Fernzugriff erheblich mindern. Die Priorisierung der SSH-Schlüsselauthentifizierung, robuster Zugriffskontrollen und Überwachungstools wie Fail2ban bildet das Fundament einer sicheren SSH-Umgebung. Die regelmäßige Überprüfung und Aktualisierung Ihrer Sicherheitskonfigurationen stellt sicher, dass Ihre Systeme vor sich entwickelnden Bedrohungen geschützt bleiben.