So wehrt man arglistige Log-in-Attacken per OpenSSH ab

Die Beliebtheit von OpenSSH, verbunden damit, dass ssh sowohl auf Server- als auch auf Clientseite in fast jedem Betriebssystem verfügbar ist, macht es zum Ziel häufiger Attacken. ZDNet gibt ein paar einfache Tipps zur Abwehr.

Die Tool-Sammlung OpenSSH, entwickelt vom OpenBSD-Projekt, umfasst eine Reihe beliebter Programme für vielfältige Anwendungszwecke. Mit wenig Aufwand können „Brute-Force-Attacken“ auf ein reines Ärgernis reduziert werden, das höchstens etwas Platz in den Logdateien verschwendet. Für den Anfang reicht es schon aus, ausdrücklich festzulegen, wer anmeldeberechtigt ist. Damit dürften schon 99 Prozent solcher arglistiger Angriffe ins Leere laufen, egal wie sicher das System wirklich ist.

Grundsätzlich sollte es niemals erlaubt sein, dass sich der Root-Benutzer per ssh (secure shell) einloggt – es sei denn, dass es absolut notwendig ist. In einem solchen Fall müssen dann immer ssh-Schlüssel verwendet werden. Niemals sollte sich der Root-Benutzer mit einem Passwort einloggen dürfen. Hierzu fügt man der Datei /etc/ssh/sshd_config, auf einigen Systemen verkürzt zu /etc/sshd_config, folgende Zeile hinzu:


PermitRootLogin without-password

Auf diese Weise bleiben Root-Log-ins erlaubt, jedoch nur mit einem ssh-Schlüssel. Dessen öffentliches Gegenstück muss in /root/.ssh/authorised_keys angegeben sein.

Als nächstes sollte ausdrücklich festgelegt werden, welche Benutzer anmeldeberechtigt sind. Hierzu fügt man der Datei sshd_config die folgenden Zeilen hinzu:


AllowUsers root
AllowUsers joe

Damit dürfen sich nur die Benutzer „root“ und „joe“ per ssh einloggen. Es gilt zu beachten, dass sich nach Aktivierung der Option AllowUsers nur noch jene Benutzer einloggen können, die hier ausdrücklich aufgeführt sind. Mit anderen Worten: Trotz der Einstellung PermitRootLogin kann sich der Root-Benutzer sogar mit dem korrekten Schlüssel nur dann einloggen, wenn neben AllowUsers joe auch AllowUsers root in die Konfiguration aufgenommen wurde! Man sollte diese Liste also regelmäßig im Auge behalten und sicherstellen, dass Benutzer, die keinen Zugriff auf das System mehr benötigen, daraus entfernt werden.

Themenseiten: Anwendungsentwicklung, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu So wehrt man arglistige Log-in-Attacken per OpenSSH ab

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *