Vserver/RootServer SSH absichern

ssh-150x150

Wenn man sich einen Vserver mietet, um z.B. einen eigenen OpenVpn Server, Jabber Server oder TS3 Server zu betreiben oder wozu auch immer bekommt man einen Server der noch Jungfräulich ist, das bedeutet ihr bekommt nach der Anmeldung eine E-mail mit euren Daten wie z.B. der Benutzername root Passwort für SSH und die IP Adresse wo ihr euch dann anmelden könnt. Wir haben jetzt alle Informationen um uns an unseren Server anzumelden. Das könnte dann z.B. so aussehen

ssh Benutzername@Ip-Server oder ssh Benutzername@Domain.de

Da wir wenn wir uns das erste mal an unseren Server angemeldet haben noch das alte Passwort von der E-mail haben sollten wir dieses erst mal ändern dazu

passwd

Dann würde ich das System aktualisieren.

apt-get update && apt-get upgrade -y &&  apt-get dist-upgrade -y

Wie man sieht benutze ich kein Sudo, da ich als root angemeldet bin. Als nächstes erstellen wir uns einen neuen Benutzer.

adduser Benutzername

Damit haben wir dann einen neuen Benutzer erstellt. Meldet euch vom root Account ab und meldet euch jetzt mal mit dem neuen Benutzer an. Nur zum Test, dann wieder abmelden und als root wieder anmelden.

Jetzt ändern wir unseren SSH Port, damit automatisierte Angriffe auf unser System ins leere laufen, da diese den Port 22 angreifen.

nano /etc/ssh/sshd_config

Dort suchen wir den Eintrag Port 22 und ändern ihn in einen beliebigen Port um z.B. 9999.

Wenn wir schon in der SSH config sind deaktivieren wir  auch gleich den root Login. Dazu den Eintrag PermitRootLogin auf no stellen. Speichert die Datei ab.

Jetzt installieren wir noch das Programm Sudo falls nicht vorhanden.

apt-get install sudo

Wenn das Programm installiert ist öffnen wir die sudeors Datei.

nano /etc/sudeors

Dort suchen wir den Eintrag User privilege specification da runter steht schon root ALL=(ALL:ALL) ALL wir erstellen dort einen weiteren Eintrag mit Benutzername ALL=(ALL:ALL) ALL Datei abspeichern.

Jetzt melden wir uns als Root ab und loggen uns als unseren Benutzernamen wieder an dazu.

ssh Bentuzername@ip-addresse -p 9999

jetzt sollten wir mit Hilfe von sudo root rechte bekommen.

Als nächstes installieren wir das Programm Fail2ban. Fail2ban ist ein Programm was prüft wie oft sich eine IP an einen Dienst anmeldet, geschieht es zu häufig das jemand ein falsches Passwort eingibt wird die IP für eine gewisse Zeit gesperrt.

sudo apt-get install fail2ban

Da wir den SSH Port geändert haben müssen wir in der Datei Jail.conf den SSH Port abändern.

sudo nano /etc/fail2ban/jail.conf

Dort suchen wir den Eintrag [ssh] Zeile 129. Dort den Port=SSH auf euren Port umstellen hier in dem Beispiel Port 9999.

Da viele Crack Programme mit Wörterbücher arbeiten, sollten wir uns Zertifikate erstellen. Dazu melden wir uns vom Server ab und geben auf unseren PC / Laptop das folgende ein. Man wird nach einem Passwort gefragt, dieses Passwort dient dazu euren Schlüssel freizugeben, um sich am Server anzumelden.

ssh-keygen  -t rsa

dann gehen wir in das Verzeichniss wo unser neuer Schlüssel liegt.

cd /home/benutzername/.ssh

Dort liegt jetzt der Schlüssel id_rsa.pub, den Inhalt dieser Datei auslesen mit

cat /home/benutzername/.ssh/id_rsa.pub

Den Inhalt Markieren und kopieren.

Jetzt melden wir uns wieder beim Server an mit unseren Benutzer und erstellen im Homeverzeichnis  das Verzeichniss .ssh

mkdir /home/benutzername/.ssh

Dort erstellen wir die Datei authorized_keys

nano /home/benutzername/.ssh/authorized_keys

Fügen dort den Inhalt der Datei id_rsa.pub ein, speichern die Datei ab. Jetzt können wir in der Datei /etc/ssh/sshd.conf das anmelden mit dem Passwort deaktivieren.

sudo nano /etc/ssh/sshd_config

Dort suchen wir die Einträge

#RSAAuthentication yes
#PubkeyAuthentication yes
RSAAuthentication yes
PubkeyAuthentication yes

und entfernen die Rauten. Dann den Eintrag suchen

#PasswordAuthentication yes

die Raute entfernen und auf no stellen.

PasswordAuthentication no

Jetzt speichern wir unsere Config ab und öffnen eine neue Konsole und melden uns bei unsern Server an, bitte noch nicht mit der anderen Konsole abmelden, falls was falsch gelaufen sein sollte kann man es noch ändern.

Damit hätten wir den SSH Zugang abgesichert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.