Gehärtete Distribution Rocky ssh
Zur Navigation springen
Zur Suche springen
SSH-Port auf 4711 ändern – korrekt und erkenntnisbasiert
- Das Ziel ist es, den SSH-Port von 22 auf 4711 zu ändern.
- Fehler werden bewusst beobachtet und dann korrekt analysiert und behoben.
Ausgangssituation
- SSH läuft standardmäßig auf Port 22.
- Firewall und SELinux sind aktiv.
SSH-Konfiguration anpassen
- sshd_config bearbeiten
- sudo vi /etc/ssh/sshd_config
- Port ändern
#Port 22 Port 4711
Problem: SSH-Dienst startet nicht
- Nach der Änderung schlägt der Neustart des SSH-Dienstes fehl.
- Dienst neu starten (und Fehler beobachten)
- systemctl restart sshd
- Fehleranalyse mit ausearch
- ausearch -m avc -ts recent
- Beobachtung
- Ein Verstoß wird protokolliert, weil SELinux den neuen Port 4711 nicht erlaubt.
Lösung mit semanage
- semanage installieren
- sudo dnf install policycoreutils-python-utils
- Neuen Port 4711 für SSH-Dienst zulassen
- semanage port -a -t ssh_port_t -p tcp 4711
- Aktive Ports für sshd prüfen
- semanage port -l | grep ssh_port_t
SSH-Dienst neu starten
- systemctl restart sshd
Problem: Verbindung auf Port 4711 schlägt fehl
- Obwohl der Dienst jetzt läuft, wird die Verbindung noch geblockt.
Firewall anpassen
- Neuen Port öffnen
- firewall-cmd --permanent --add-port=4711/tcp
- Optional
- Standard-SSH-Port entfernen
- firewall-cmd --permanent --remove-service=ssh
- Firewall neu laden
- firewall-cmd --reload
- Firewallregeln prüfen
- firewall-cmd --list-all
Verbindung testen
- ssh -p 4711 benutzername@serveradresse
Fazit
- Änderungen an kritischen Diensten wie SSH müssen systematisch begleitet werden.
- SELinux blockiert unautorisierte Änderungen, was durch ausearch schnell sichtbar wird.
- semanage ermöglicht gezielte Anpassungen an die SELinux-Policy.
- Rocky Linux zeigt damit, wie effektiver Schutz in der Praxis funktioniert.