SSH-Server Hardening: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 10: | Zeile 10: | ||
... | ... | ||
UsePAM no | UsePAM no | ||
| + | ... | ||
* '''systemctl restart sshd''' | * '''systemctl restart sshd''' | ||
* Nun werden nur noch Benutzer mit dem entsprechenden privaten Schlüssel unter ''~/.ssh/authorized_keys'' angemeldet | * Nun werden nur noch Benutzer mit dem entsprechenden privaten Schlüssel unter ''~/.ssh/authorized_keys'' angemeldet | ||
| + | |||
| + | = SSH Server Optionen einschränken = | ||
| + | * Die ''AllowTcpForwarding''-Option kann ausgenutzt werden, um Firewalls zu umgehen | ||
| + | * Die ''X11Forwarding''-Option kann benutzt werden, um graphische Programme über SSH zu tunneln | ||
| + | * an sich stellt diese Option kein Sicherheitsrisiko dar | ||
| + | * jedoch wird sie selten benutzt und ist selbst dann sehr langsam | ||
| + | * '''vim ''/etc/ssh/sshd_config'' ''' | ||
| + | |||
| + | ... | ||
| + | AllowTcpForwarding no | ||
| + | #GatewayPorts no | ||
| + | X11Forwarding no | ||
| + | ... | ||
= Überprüfen mit '''ssh-audit''' = | = Überprüfen mit '''ssh-audit''' = | ||
Version vom 9. August 2024, 09:44 Uhr
Passwortauthentifizierung abschalten
- vim /etc/ssh/sshd_config
... PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys ... PasswordAuthentication no PermitEmptyPasswords no ... UsePAM no ...
- systemctl restart sshd
- Nun werden nur noch Benutzer mit dem entsprechenden privaten Schlüssel unter ~/.ssh/authorized_keys angemeldet
SSH Server Optionen einschränken
- Die AllowTcpForwarding-Option kann ausgenutzt werden, um Firewalls zu umgehen
- Die X11Forwarding-Option kann benutzt werden, um graphische Programme über SSH zu tunneln
- an sich stellt diese Option kein Sicherheitsrisiko dar
- jedoch wird sie selten benutzt und ist selbst dann sehr langsam
- vim /etc/ssh/sshd_config
... AllowTcpForwarding no #GatewayPorts no X11Forwarding no ...
Überprüfen mit ssh-audit
- apt install ssh-audit
- ssh-audit ip.des.gehärteten.hosts