SSH Port ändern

Mit nur wenig Aufwand kann man den SSH Port ändern. In 5 Minuten Arbeit kann man den eigenen Server auf eine ganz neue Ebene der Sicherheit heben. Ich zeige euch wie das geht und Warum dieser Schritt so effektiv ist.

SSH Port ändern

Alle Änderungen zu SSH werden in der Konfigurationsdatei des SSH Daemons (sshd) gemacht. Ein Daemon ist ein Programm, dass vollständig im Hintergrund läuft ohne Benutzereingaben. Man merkt von dessen Existenz eigentlich nichts. Bei Debian basierten Systemen findet man diese SSHd Konfigurationsdatei unter:

nano /etc/ssh/sshd_config

ignoriert man die mit # markierten Kommentare ist die erste Einstellungsmöglichkeit der Port. Bei einem neuen System steht dort 22 – das ist der Standard Port der für SSH reserviert ist. Man kann dort eine beliebige andere Zahl eintragen, ideal ist eine zwischen 30000 und 65535. Damit man sich diesen Port besser merkt sollt diese auch mit 22 enden – beispielsweise 30022.

Nachdem der Wert geändert wurde muss die Datei noch gespeichert und der Dienst neu gestartet werden. Neu starten vom SSH Dienst funktioniert beispielsweise so:

service ssh restart

SSH Zugriff nur für bestimmte Benutzer

Da die meisten Angriffe auf bekannte Benutzernamen wie root und admin gehen ist es eine gute Idee den Zugriff über SSH nur für wenige Benutzer einzugrenzen. Einmal eingeloggt kann man danach immer noch den Benutzer wechseln oder mit dem sudo Befehl root Rechte erlangen. Falls das System sudo nicht kennt oder der Benutzer dieser Gruppe nicht zugeordnet ist kann man immer noch mit su den Benutzer in der Konsole wechseln. Bei einer Standard SSH Konfigurationsdatei gibt es noch keinen Punkt AllowUsers. Aus diesem Grund fügt man am Ende der Datei folgendes hinzu:

AllowUsers werner

Alternativ, oder besser zusätzlich kann man auch mit einem Parameter gezielt den Root Zugriff abschalten. Das geht mit:

PermitRootLogin no

In diesem Fall wäre der SSH Zugriff einzig und allein mit einem Benutzer mit dem Namen werner möglich. Es ist sehr wichtig, dass man nur im System vorhandene Benutzer angibt. ACHTUNG: Gibt man beispielsweise einen Benutzernamen ein, der gar nicht als Benutzer im System angelegt ist würde man sich aus dem System aussperren. Ein SSH Login wäre dann nicht mehr möglich.

Fazit

In der SSH Konfiguration /etc/ssh/sshd_config kann man seinen Server absichern. Mit einer Änderung des SSH Ports und der Restriktion des Logins auf nur wenige nicht root Benutzer entgeht man allen automatisierten, nicht spezifischen Angriffen. Ein Angreifer müsste allein zum Finden eines passenden Ports und Benutzer großen Aufwand aufbringen.

Den SSH Port ändern ist bei vielen Hostern ein Standard, andere wiederum verzichten komplett darauf. Meiner Meinung ist der Aufwand gemessen am Nutzen minimal und sollte gemacht werden. Sofern man keine Benutzer hat die an einem geänderten SSH Port überfordert sind ist diese Änderung eigentlich Pflicht!