Hallo, Michael Hiller wrote:
Wenn ich ein neues System aufsetze, unterbinde ich beim ssh-Server das root-Login.
Das ist schonmal Punkt 1
Punkt 2 was ein wenig hilft: SSH auf einem ungewöhnlichen Port lauschen lassen (irgendwas > 5000, dann haben es brute-forcer schonmal schwerer).Nun meine Frage: Wie kann man ssh sicherer machen bzw. gibt es ein sicheres Loginverfahren?
Punkt 3: SSH stets aktuell halten (Security Updates)Punkt 4: Passwort-Logins verbieten (PasswordAuthentication no) und sich nur über Zertifikate einloggen (die private-keys auf deinen Rechnern aber sicher machen und auf keinen Fall per eMail usw. verschicken)
Punkt 5: AllowUsers so setzen, dass nur ganz bestimmte Benutzer SSH benutzen dürfen
Punkt 6: fail2ban oder ähnliches einsetzen (http://fail2ban.sf.net), damit werden nur x Logins im Zeitraum y von einer IP zugelassen.
So, die Punkte sind nicht nach Wichtigkeit sortiert, sondern ich habe sie nur so runtergeschrieben, wie sie mir eingefallen sind. Auf Vollständigkeit habe ich auch nicht geachtet ;) - Vielleicht ergänzen nachfolgende Poster noch etwas.
Gruß -Sascha-