SSH ist das Tor zu Ihrem Linux-Server. Jeder Server im Internet erhaelt taeglich Tausende von Brute-Force-Anmeldeversuchen. Dieser Leitfaden fuehrt Sie durch 12 konkrete Schritte zur SSH-Haertung.
Schritt 1: Root-Login Deaktivieren
PermitRootLogin noSchritt 2: Schluesselbasierte Authentifizierung
ssh-keygen -t ed25519 -C "ihrname@arbeitsstation"
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server-ipSchritt 3: Passwort-Authentifizierung Deaktivieren
PasswordAuthentication noSchritt 4: SSH-Port Aendern
Port 2222Schritt 5: Nur SSH Protokoll 2
Protocol 2Schritt 6: Benutzerzugriff Einschraenken
AllowUsers deployer admin
AllowGroups sshusersSchritt 7: Leerlauf-Timeout
ClientAliveInterval 300
ClientAliveCountMax 2Schritt 8: Starke Verschluesselungsalgorithmen
KexAlgorithms curve25519-sha256,[email protected]
Ciphers [email protected],[email protected]Schritt 9: Fail2ban Installieren
sudo apt install fail2ban -ySchritt 10: UFW Konfigurieren
sudo ufw default deny incoming
sudo ufw allow 2222/tcp comment 'SSH'
sudo ufw enableSchritt 11: Zwei-Faktor-Authentifizierung
sudo apt install libpam-google-authenticator -y
google-authenticatorSchritt 12: SSH Config Verwenden
Host meinserver
HostName 203.0.113.50
Port 2222
User deployer
IdentityFile ~/.ssh/id_ed25519Fazit
SSH-Haertung ist nicht optional fuer jeden Server im Internet. Die wirkungsvollsten Schritte sind schluesselbasierte Authentifizierung (Schritt 2), Deaktivierung der Passwort-Anmeldung (Schritt 3) und Installation von fail2ban (Schritt 9). Zusammen eliminieren sie ueber 99% der gaengigen SSH-Angriffe.