SSH-Sicherheit

Abgedreht

Um ein System auch aus der Ferne warten zu können, wird meist ein SSH-Zugang
eingerichtet.
Bei Systemen, die aus dem Internet heraus zu erreichen sind, kann dies schnell
ungewollte
Besucher anlocken. Der Open-Source-Tipp in diesem Monat schaut sich an, wie sich
ein solcher
SSH-Zugang absichern lässt, um ungewollte Besucher vom System fernzuhalten.
Eine Vielzahl mobiler Endgeräte sowie immer mehr Internet-of-Things-Devices bevölkern die Unternehmensnetze. Für Administratoren bedeutet dies, einen wahren ... (mehr)

Wer sich einmal die Logdateien von öffentlich zugänglichen SSH-Servern ansieht, trifft immer wieder auf Verbindungsversuche, die der Service mit der Fehlermeldung "Bad protocol version identification" beendet. Hierbei handelt es sich in den meisten Fällen um Clients, die nach dem Zufallsprinzip Server kontaktieren, um dort Malware zu platzieren. Ob überhaupt ein passender Service auf der Gegenseite lauscht, interessiert den Angreifer meistens nicht – er versucht einfach, mittels Brute-Force möglichst viele Rechner zu kontaktieren, um dann zumindest auf einigen Rechnern einen verwundbaren Service zu finden, um hierüber dann die Malware auf das System laden zu können.

Andere Fehlermeldungen sind beispielsweise "Failed password" or "Invalid user", bei denen ein Benutzer (oder ein Angriffstool) tatsächlich versucht, sich auf dem Server mittels SSH anzumelden. Diese Zugriffsversuche können je nach Konfiguration des Servers sehr schnell zum Erfolg führen und sollten in jedem Fall unterbunden werden.

Zum einen sollte natürlich mit einer korrekten Konfiguration des SSH-Servers begonnen werden. Hier bietet es sich

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

SSH-Server mit fail2ban absicher

Um den eigenen SSH-Server gegen unbefugte Zugriffe abzusichern, kann neben einer sicheren OpenSSH-Konfiguration das Werkzeug fail2ban weiterhelfen. Dieses durchsucht unter anderem die Logdateien "auth.log" und "secure", um anhand bestimmter Muster zu erkennen, ob nicht-autorisierte Zugriffsversuche stattfinden. Es unterbindet den Zugang bereits auf der Netzwerkschicht, indem es IP-Pakete von verdächtigen Systemen verwirft.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023