SSH-Hardening: Schütze deine Burg, bevor die Orks kommen!

Deine Server sind wie eine mittelalterliche Festung. Du bist der Burgherr, der SSH-Zugang ist das Burgtor und die Heerscharen der Internet-Orks rütteln ständig an den Torflügeln. So, jetzt haben wir's. Wie hältst du die Orks draußen? SSH-Hardening ist die Antwort. Jetzt werden wir die Zugbrücke hochziehen, das Burgtor verstärken und eine ordentliche Zugriffsregelung etablieren.

Als erstes: Schlüssel statt Passwörter. Passwörter sind wie diese kleinen Holzkeile, die du unter die Torflügel klemmst. Sie können brechen, sie können verloren gehen, sie können gestohlen werden. Schlüssel hingegen, das sind solide, handgeschmiedete Eisenriegel. Du generierst sie mit dem ssh-keygen Befehl. Ein Beispiel:

```

ssh-keygen -t rsa -b 4096 -C "deinname@deinedomain.de"

```

Du gibst ein starkes Passwort ein und schon hast du deinen privaten (id_rsa) und öffentlichen (id_rsa.pub) Schlüssel in deinem .ssh Verzeichnis. Der öffentliche Schlüssel kommt in die authorized_keys Datei auf dem Server, der private Schlüssel bleibt bei dir. So einfach ist das.

Jetzt zur sshd_config, dem Burgtor. Standardmäßig ist das Tor weit offen, jeder kann rein. Das ändern wir. Hier ein paar Beispiele, wie deine sshd_config aussehen könnte:

```

PermitRootLogin no

PasswordAuthentication no

ChallengeResponseAuthentication no

UsePAM no

AllowUsers deinname

```

Das bedeutet: Kein Root-Login, keine Passwort-Authentifizierung, keine Challenge-Response-Authentifizierung, kein PAM und nur dein Benutzername darf sich einloggen. Das ist ein ziemlich sicheres Burgtor.

Nun zum letzten Punkt, den Schutzmaßnahmen gegen Brute-Force. Wir setzen Fail2Ban ein, einen Intrusion-Detection- und Prevention-Server. Der schaut sich die Log-Dateien an und wenn er merkt, dass jemand zu oft versucht hat, sich einzuloggen, setzt er die IP auf eine Blacklist. Installiere es mit:

```

sudo apt-get install fail2ban

```

Und konfiguriere die jail.local Datei. Hier ein Beispiel:

```

[sshd]

enabled = true

port = 22

filter = sshd

logpath = /var/log/auth.log

maxretry = 3

```

Das war's. Jetzt bist du bereit, die Orkhorden abzuwehren. Aber vergiss nicht, immer auf dem Laufenden zu bleiben und deine Festung zu pflegen. Denn die Orks schlafen nie.