5 Beschte OpenSSH Server Bescht Sécherheetspraktiken

SSH (Secure Shell) ass en Open-Source Netzwierk Protokoll dee benotzt gëtt fir lokal oder Remote Linux Serveren ze verbannen fir Dateien ze transferéieren, Remote Backups ze maachen, Remote Kommando Ausféierung, an aner Netzwierk-relatéiert Aufgaben iwwer sftp Kommando tëscht zwee Serveren déi op engem sécher Kanal iwwer de Reseau.

An dësem Artikel weisen ech Iech e puer einfach Tools an Tricks déi Iech hëllefen Är ssh Server Sécherheet ze stäerken. Hei fannt Dir e puer nëtzlech Informatiounen iwwer wéi Dir ssh-Servere vu brute Force an Wierderbuchattacke séchert a verhënnert.

1. DenyHosts

DenyHosts ass en Open-Source Log-baséiert Intrusiounsverhënnerungssécherheetsskript fir SSH Server dat an enger Python Programmiersprache geschriwwe gouf, déi geduecht ass fir vu Linux System Administrateuren a Benotzer ze lafen fir SSH Server Zougang Logbicher fir gescheitert Login Versich ze iwwerwaachen an z'analyséieren. Wierderbuch-baséiert Attacken a brute Force Attacken.

D'Skript funktionnéiert andeems Dir IP Adressen no enger bestëmmter Zuel vu gescheiterte Loginversuche verbidden an och esou Attacke verhënnert den Zougang zum Server ze kréien.

  • Hëllt /var/log/secure verfollegen fir all erfollegräich a gescheitert Umeldungsversich ze fannen a filtert se.
  • Halt Aen op all gescheitert Umeldungsversich vum Benotzer an beleidegten Host.
  • Bleift op all existenten an net existente Benotzer (z.B. xyz) kucken wann e gescheitert Login probéiert.
  • Hëllt all beleidegend Benotzer, Host a verdächtege Loginversuche (Wann eng Zuel vu Loginfehler) verfollegt, verbitt dës Host IP Adress andeems en Entrée an /etc/hosts.deny Datei derbäigesat gëtt.
  • Schéckt optional eng E-Mail Notifikatioun vun nei blockéierten Hosten a verdächtege Login.
  • Erhaalt och all gëlteg an ongëlteg gescheitert Benotzer-Login-Versich a getrennten Dateien, sou datt et et einfach mécht fir z'identifizéieren, wéi eng valabel oder ongëlteg Benotzer ënner Attack ass. Also, datt mir dëse Kont läschen oder d'Passwuert änneren, oder d'Shell fir dee Benotzer auszeschalten.

[ Dir kënnt och gär hunn: Wéi blockéiere ech SSH Brute Force Attacke mat DenyHosts ]

2. Fail2Ban

Fail2ban ass ee vun de populäersten Open-Source Intrusiounserkennung/Präventiounskader, geschriwwen an enger Python Programméierungssprooch. Et funktionéiert duerch Scannen vu Logdateien wéi /var/log/secure, /var/log/auth.log, /var/log/pwdfail etc.

Fail2ban gëtt benotzt fir Netfilter/iptables oder TCP Wrapper's hosts.deny Datei ze aktualiséieren, fir d'IP Adress vun engem Ugräifer fir eng festgeluecht Zäit ze refuséieren. Et huet och d'Fäegkeet fir eng blockéiert IP Adress fir eng gewëssen Zäit vun den Administrateuren festgeluecht ze verbannen. Wéi och ëmmer, eng gewëssen Minutt vun der Entbannung ass méi wéi genuch fir sou béiswëlleg Attacken ze stoppen.

  • Multi-threaded an héich konfiguréierbar.
  • Ënnerstëtzung fir d'Rotatioun vu Logdateien a ka verschidde Servicer behandelen wéi (sshd, vsftpd, Apache, etc).
  • Monitoréiert d'Dateien a sicht no bekannten an onbekannte Mustere.
  • Benotzt Netfilter/Iptables an TCP Wrapper (/etc/hosts.deny) Dësch fir Ugräifer IP ze verbidden.
  • Féiert Scripte wann e bestëmmte Muster fir déi selwecht IP Adress méi wéi X Mol identifizéiert gouf.

[ Dir kënnt och gär hunn: Wéi benotzt Dir Fail2ban fir Äre Linux Server ze sécheren ]

3. Root Login auszeschalten

Par défaut sinn Linux Systemer virkonfiguréiert fir ssh Remote Logins fir jiddereen z'erméiglechen, och de Root Benotzer selwer, wat jidderengem erlaabt direkt an de System aloggen an root Zougang ze kréien. Trotz der Tatsaach datt den ssh Server e méi séchere Wee erlaabt fir Root Logins auszeschalten oder z'aktivéieren, ass et ëmmer eng gutt Iddi fir de Root Zougang ze deaktivéieren, Serveren e bësse méi sécher ze halen.

Et gi sou vill Leit déi probéieren Rootkonten iwwer SSH Attacken ze bruten andeems se einfach verschidde Kontnamen a Passwierder liwweren, een nom aneren. Wann Dir e System Administrateur, Dir kënnt ssh Server Logbicher kontrolléieren, wou Dir eng Rei vun gescheitert Login Versich fannt. Den Haaptgrond hannert enger Zuel vu gescheitertem Loginversuch ass schwaach genuch Passwierder ze hunn an dat mécht Sënn fir Hacker/Ugräifer ze probéieren.

Wann Dir staark Passwierder hutt, da sidd Dir wahrscheinlech sécher, awer et ass besser de Root Login auszeschalten an e reegelméissege separaten Kont ze hunn fir Iech aloggen, an dann sudo oder su benotzen fir Root Zougang ze kréien wann néideg.

[ Dir kënnt och gär hunn: Wéi de SSH Root Login auszeschalten an SSH Zougang zu Linux limitéieren ]

4. Display SSH Banner

Dëst ass eng vun den eelste Feature verfügbar vum Ufank vum ssh Projet, awer ech hu kaum gesinn datt et vu jidderengem benotzt gëtt. Jiddefalls, ech mengen et ass eng wichteg a ganz nëtzlech Feature déi ech fir all meng Linux Server benotzt hunn.

Dëst ass net fir all Sécherheetszwecker, awer de gréisste Virdeel vun dësem Banner ass datt et benotzt gëtt fir ssh Warnungsmeldungen un den UNO-autoriséierten Zougang a Begréissungsmessagen un autoriséierte Benotzer virum Passwuertprompt an nodeems de Benotzer ageloggt ass.

[Dir kënnt och gär hunn: Wéi schützt Dir SSH Logins mat SSH & MOTD Banner Messagen]

5. SSH Passwuertlos Login

En SSH Passwuert-manner Login mat SSH Keygen wäert eng Vertrauensrelatioun tëscht zwee Linux Serveren etabléieren, wat d'Dateitransfer an d'Synchroniséierung vill méi einfach mécht.

Dëst ass ganz nëtzlech wann Dir mat Remote automatiséierte Backups, Remote Scripting Ausféierung, Dateietransfer, Remote Script Management, etc.

[ Dir kënnt och gär hunn: Wéi Dir SSH Passwuertlos Login op Linux opstellt [3 Einfach Schrëtt] ]

Fir Ären SSH Server weider ze sécheren, liest eisen Artikel wéi Dir den OpenSSH Server séchert an härt