https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Geh%C3%A4rtete_Distribution_Rocky_sshGehärtete Distribution Rocky ssh - Versionsgeschichte2026-06-29T22:31:59ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=Geh%C3%A4rtete_Distribution_Rocky_ssh&diff=62271&oldid=prevThomas.will: Die Seite wurde neu angelegt: „==SSH-Port auf 4711 ändern – korrekt und erkenntnisbasiert== *Das Ziel ist es, den SSH-Port von 22 auf 4711 zu ändern. *Fehler werden bewusst beobachtet un…“2025-04-26T08:09:57Z<p>Die Seite wurde neu angelegt: „==SSH-Port auf 4711 ändern – korrekt und erkenntnisbasiert== *Das Ziel ist es, den SSH-Port von 22 auf 4711 zu ändern. *Fehler werden bewusst beobachtet un…“</p>
<p><b>Neue Seite</b></p><div>==SSH-Port auf 4711 ändern – korrekt und erkenntnisbasiert==<br />
*Das Ziel ist es, den SSH-Port von 22 auf 4711 zu ändern.<br />
*Fehler werden bewusst beobachtet und dann korrekt analysiert und behoben.<br />
<br />
==Ausgangssituation==<br />
*SSH läuft standardmäßig auf Port 22.<br />
*Firewall und SELinux sind aktiv.<br />
<br />
<br />
==SSH-Konfiguration anpassen==<br />
;sshd_config bearbeiten<br />
*sudo vi /etc/ssh/sshd_config<br />
<br />
;Port ändern<br />
#Port 22<br />
Port 4711<br />
<br />
==Problem: SSH-Dienst startet nicht==<br />
*Nach der Änderung schlägt der Neustart des SSH-Dienstes fehl.<br />
<br />
;Dienst neu starten (und Fehler beobachten)<br />
*systemctl restart sshd<br />
<br />
;Fehleranalyse mit ausearch<br />
*ausearch -m avc -ts recent<br />
<br />
;Beobachtung:<br />
*Ein Verstoß wird protokolliert, weil SELinux den neuen Port 4711 nicht erlaubt.<br />
<br />
==Lösung mit semanage==<br />
;semanage installieren<br />
*sudo dnf install policycoreutils-python-utils<br />
<br />
;Neuen Port 4711 für SSH-Dienst zulassen<br />
*semanage port -a -t ssh_port_t -p tcp 4711<br />
<br />
;Aktive Ports für sshd prüfen<br />
*semanage port -l | grep ssh_port_t<br />
<br />
==SSH-Dienst neu starten==<br />
*systemctl restart sshd<br />
<br />
==Problem: Verbindung auf Port 4711 schlägt fehl==<br />
*Obwohl der Dienst jetzt läuft, wird die Verbindung noch geblockt.<br />
<br />
==Firewall anpassen==<br />
;Neuen Port öffnen<br />
*firewall-cmd --permanent --add-port=4711/tcp<br />
<br />
;Optional: Standard-SSH-Port entfernen<br />
*firewall-cmd --permanent --remove-service=ssh<br />
<br />
;Firewall neu laden<br />
*firewall-cmd --reload<br />
<br />
;Firewallregeln prüfen<br />
*firewall-cmd --list-all<br />
<br />
==Verbindung testen==<br />
*ssh -p 4711 benutzername@serveradresse<br />
<br />
==Fazit==<br />
*Änderungen an kritischen Diensten wie SSH müssen systematisch begleitet werden.<br />
*SELinux blockiert unautorisierte Änderungen, was durch ausearch schnell sichtbar wird.<br />
*semanage ermöglicht gezielte Anpassungen an die SELinux-Policy.<br />
*Rocky Linux zeigt damit, wie effektiver Schutz in der Praxis funktioniert.</div>Thomas.will