So wehrt man arglistige Log-in-Attacken per OpenSSH ab

Die Tool-Sammlung OpenSSH, entwickelt vom OpenBSD-Projekt, umfasst eine Reihe beliebter Programme für vielfältige Anwendungszwecke. Mit wenig Aufwand können „Brute-Force-Attacken“ auf ein reines Ärgernis reduziert werden, das höchstens etwas Platz in den Logdateien verschwendet. Für den Anfang reicht es schon aus, ausdrücklich festzulegen, wer anmeldeberechtigt ist. Damit dürften schon 99 Prozent solcher arglistiger Angriffe ins Leere laufen, egal wie sicher das System wirklich ist.

Grundsätzlich sollte es niemals erlaubt sein, dass sich der Root-Benutzer per ssh (secure shell) einloggt – es sei denn, dass es absolut notwendig ist. In einem solchen Fall müssen dann immer ssh-Schlüssel verwendet werden. Niemals sollte sich der Root-Benutzer mit einem Passwort einloggen dürfen. Hierzu fügt man der Datei /etc/ssh/sshd_config, auf einigen Systemen verkürzt zu /etc/sshd_config, folgende Zeile hinzu:

PermitRootLogin without-password

Auf diese Weise bleiben Root-Log-ins erlaubt, jedoch nur mit einem ssh-Schlüssel. Dessen öffentliches Gegenstück muss in /root/.ssh/authorised_keys angegeben sein.

Als nächstes sollte ausdrücklich festgelegt werden, welche Benutzer anmeldeberechtigt sind. Hierzu fügt man der Datei sshd_config die folgenden Zeilen hinzu:

AllowUsers root
AllowUsers joe

Damit dürfen sich nur die Benutzer „root“ und „joe“ per ssh einloggen. Es gilt zu beachten, dass sich nach Aktivierung der Option AllowUsers nur noch jene Benutzer einloggen können, die hier ausdrücklich aufgeführt sind. Mit anderen Worten: Trotz der Einstellung PermitRootLogin kann sich der Root-Benutzer sogar mit dem korrekten Schlüssel nur dann einloggen, wenn neben AllowUsers joe auch AllowUsers root in die Konfiguration aufgenommen wurde! Man sollte diese Liste also regelmäßig im Auge behalten und sicherstellen, dass Benutzer, die keinen Zugriff auf das System mehr benötigen, daraus entfernt werden.