SSH-Server Hardening

Aus Xinux Wiki

Version vom 9. August 2024, 09:44 Uhr von Linkai.zhang (Diskussion | Beiträge) (→‎Passwortauthentifizierung abschalten)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Passwortauthentifizierung abschalten

vim /etc/ssh/sshd_config

...
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
...
PasswordAuthentication no
PermitEmptyPasswords no
...
UsePAM no
...

systemctl restart sshd
Nun werden nur noch Benutzer mit dem entsprechenden privaten Schlüssel unter ~/.ssh/authorized_keys angemeldet

SSH Server Optionen einschränken

Die AllowTcpForwarding-Option kann ausgenutzt werden, um Firewalls zu umgehen
Die X11Forwarding-Option kann benutzt werden, um graphische Programme über SSH zu tunneln
an sich stellt diese Option kein Sicherheitsrisiko dar
jedoch wird sie selten benutzt und ist selbst dann sehr langsam
vim /etc/ssh/sshd_config

...
AllowTcpForwarding no
#GatewayPorts no
X11Forwarding no
...

Überprüfen mit ssh-audit

apt install ssh-audit
ssh-audit ip.des.gehärteten.hosts

Links

https://www.sshaudit.com/hardening_guides.html

Abgerufen von „http://wiki.ixheim.de/index.php?title=SSH-Server_Hardening&oldid=55371“

SSH