SSH durch Benutzer absichern

Zumeist wird ein offener SSH-Server angegriffen, indem geläufige Kennwörter des root-Nutzer durchprobiert werden. Um diese Strategie zu unterlaufen, kann ganz einfach ein alternative - möglichst unbekannter/unüblicher - Nutzer angelegt werden, für den die SSH-Anmeldung erlaubt wird. Selbst mit dem richtigen Kennwort kann sich dann niemand mehr mit dem root-Nutzer am System anmelden.

Nutzer anlegen

Dieser Nutzer solle nicht allgemein geläufig sein. So bringt es nichts, den Nutzer "user" oder "toor" zu nennen; einfach mal kreativ sein. ;-) Mangelt es spontan an Kreativität, hilft auch gern ein Kennwort-Generator weiter. pwgen -s 8 In jedem Fall ergibt das einen perfekten Nutzernamen. useradd *Nutzername* Was für einen kryptischen Nutzernamen annehmbar sein kann, gilt nicht zwingend für ein Kennwort, da dieser nicht komplex genug sein wird. Also erstellen wir uns gleich mal ein, zu dem Nutzer passendes Kennwort. pwgen -sy 16 Es ist länger und enthält eine Vielzahl von Sonderzeichen. Mittels passwd *Nutzername* wird dem Nutzer das neue Kennwort zugewiesen. ("Nutzername" ist der selbst gewählte Nutzername. - Nicht verwirren lassen!)

SSH-Konfiguration

Die Konfiguration für den SSH-Server findet sich unter "/etc/ssh/sshd_config". Man nehme den Texteditor der ersten Wahl - in meinem Falle ist das "vi" - und füge der Konfiguration eine Zeile hinzu. vi /etc/ssh/sshd_config AllowUsers *Nutzername*

SSH-Dienst neu starten

Ist die Konfiguration abgeschlossen, muss der SSH-Dienst die Konfiguration erneut laden. systemctl restart ssh Das schöne ist, dass die aktuelle SSH-Sitzung durch den "Restart" unberührt bleibt. Das bedeutet, man sollte eine weitere Verbindung zum Server aufbauen und die Konfiguration - die Anmeldung über den neuen Nutzer - prüfen. Der Vorteil liegt auf der Hand: Bei einer Fehlkonfiguration, haben wir immer noch die Möglichkeit, alles zu reparieren.