SSH Hardening
SSH ist ein primärer Remote-Zugriffspunkt und damit einer der häufigsten Angriffsvektoren.
Sicherheitsziele
- Root-Zugriff verhindern
- Passwort-Login deaktivieren
- Kryptografie modernisieren
- Brute-Force reduzieren
- Angriffsfläche minimieren
Minimale sichere Konfiguration
/etc/ssh/sshd_config
Protocol 2
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
X11Forwarding no
AllowTcpForwarding no
AllowAgentForwarding no
ClientAliveInterval 300
ClientAliveCountMax 2Key-Management
ssh-keygen -t ed25519 ssh-copy-id user@server
Empfohlen:
- ED25519
- Kein RSA < 3072
Zusätzliche Schutzmaßnahmen
- Firewall: Port 22 nur von bekannten Netzen
- Fail2ban aktivieren
- MFA via TOTP
- Bastion Host / Jump Server
Risikoanalyse
Typische Angriffe:
- Credential Stuffing
- Brute Force
- Weak Ciphers
- Exposed Root Login
Referenzen
- CIS Benchmark Linux
- BSI SYS.1.2.2
- NIST 800-53 AC-17