ssh

Root-SSH unter Debian deaktivieren

Root-SSH unter Debian deaktivieren
Seit der Wurzel Benutzer ist universell für alle Linux- und Unix-Systeme und war immer das bevorzugte Bruteforce-Opfer von Hackern, um auf Systeme zuzugreifen. Um ein unprivilegiertes Konto per Bruteforce zu erzwingen, muss der Hacker zuerst den Benutzernamen erfahren. Selbst wenn er erfolgreich ist, bleibt der Angreifer eingeschränkt, es sei denn, er verwendet einen lokalen Exploit.Dieses Tutorial zeigt, wie Sie den Root-Zugriff über SSH in 2 einfachen Schritten deaktivieren.

So deaktivieren Sie den SSH-Root-Zugriff auf Debian 10 Buster

Um den SSH-Root-Zugriff zu deaktivieren, müssen Sie die SSH-Konfigurationsdatei bearbeiten, unter Debian ist dies /etc/ssh/sshd_config, Um es mit dem Nano-Texteditor zu bearbeiten, führen Sie Folgendes aus:

nano /etc/ssh/sshd_config

Auf Nano können Sie drücken STRG+W (wo) und Typ PermitRoot um die folgende Zeile zu finden:

#PermitRootLogin Verbots-Passwort

Um den Root-Zugriff über ssh zu deaktivieren, entkommentieren Sie diese Zeile und ersetzen Sie sie Verbots-Passwort zum Nein wie im folgenden Bild.

Drücken Sie nach dem Deaktivieren des Root-Zugriffs STRG+X und Ja speichern und beenden.

Das Verbots-Passwort Option verhindert die Passwortanmeldung, erlaubt nur die Anmeldung über Fallback-Aktionen wie öffentliche Schlüssel, um Brute-Force-Angriffe zu verhindern.

Alternativen zur Sicherung Ihres SSH-Zugangs

Beschränken Sie den Zugriff auf die Authentifizierung mit öffentlichem Schlüssel:

Um die Passwortanmeldung zu deaktivieren, die nur die Anmeldung mit einem öffentlichen Schlüssel erlaubt, öffnen Sie das /etc/ssh/ssh_config Konfigurationsdatei erneut, indem Sie Folgendes ausführen:

nano /etc/ssh/sshd_config

Um die Passwortanmeldung zu deaktivieren, die nur die Anmeldung mit einem öffentlichen Schlüssel erlaubt, öffnen Sie das /etc/ssh/ssh_config Konfigurationsdatei erneut, indem Sie Folgendes ausführen:

nano /etc/ssh/sshd_config

Suchen Sie die Zeile mit PubkeyAuthentifizierung und stellen Sie sicher, dass es sagt Ja wie im Beispiel unten:

Stellen Sie sicher, dass die Kennwortauthentifizierung deaktiviert ist, indem Sie die Zeile mit . suchen PasswortAuthentifizierung, Wenn es kommentiert wird, entkommentieren Sie es und stellen Sie sicher, dass es als eingestellt ist Nein wie im folgenden Bild:

Dann drücken STRG+X und Ja zum Speichern und Beenden des Nano-Texteditors.

Jetzt müssen Sie als Benutzer, über den Sie den SSH-Zugriff zulassen möchten, private und öffentliche Schlüsselpaare generieren. Lauf:

ssh-keygen

Beantworten Sie die Fragensequenz und belassen Sie die erste Antwort standardmäßig mit ENTER, geben Sie Ihre Passphrase ein, wiederholen Sie sie und die Schlüssel werden gespeichert unter ~/.ssh/id_rsa

Generieren eines öffentlichen/privaten rsa-Schlüsselpaars.
Geben Sie die Datei ein, in der der Schlüssel gespeichert werden soll (/root/.ssh/id_rsa):
Passphrase eingeben (leer für keine Passphrase): Geben Sie dieselbe Passphrase erneut ein:
Ihre Identifikation wurde in /root/ gespeichert.ssh/id_rsa.
Ihr öffentlicher Schlüssel wurde in /root/ gespeichert.ssh/id_rsa.Kneipe.
Der wichtigste Fingerabdruck ist:
SHA256:34+uXVI4d3ik6ryOAtDKT6RaIFclVLyZUdRlJwfbVGo root@linuxhint
Das Randomart-Bild des Schlüssels ist:
+---[RSA 2048]----+

Um die soeben erstellten Schlüsselpaare zu übertragen, können Sie die ssh-copy-id Befehl mit folgender Syntax:

ssh-copy-id @

Ändern Sie den Standard-SSH-Port:

Öffne das /etc/ssh/ssh_config Konfigurationsdatei erneut, indem Sie Folgendes ausführen:

nano /etc/ssh/sshd_config

Angenommen, Sie möchten den Port 7645 anstelle des Standardports 22 verwenden. Fügen Sie eine Zeile wie im folgenden Beispiel hinzu:

Port 7645

Dann drücken STRG+X und Ja speichern und beenden.

Starten Sie den SSH-Dienst neu, indem Sie Folgendes ausführen:

Dienst sshd neu starten

Dann sollten Sie iptables so konfigurieren, dass die Kommunikation über Port 7645 ermöglicht wird:

iptables -t nat -A PREROUTING -p tcp --dport 22 -j WEITERLEITUNG --to-port 7645

Sie können stattdessen auch UFW (Uncomplicated Firewall) verwenden:

ufw erlauben 7645/tcp

Filtern des SSH-Ports

Sie können auch Regeln definieren, um SSH-Verbindungen gemäß bestimmten Parametern zu akzeptieren oder abzulehnen. Die folgende Syntax zeigt, wie SSH-Verbindungen von einer bestimmten IP-Adresse mit iptables akzeptiert werden:

iptables -A INPUT -p tcp --dport 22 --source -j AKZEPTIEREN
iptables -A INPUT -p tcp --dport 22 -j DROP

Die erste Zeile des obigen Beispiels weist iptables an, eingehende (INPUT) TCP-Anfragen an Port 22 von der IP 192 zu akzeptieren.168.1.2. Die zweite Zeile weist IP-Tabellen an, alle Verbindungen zu Port 22 zu verwerfen. Sie können die Quelle auch nach Mac-Adresse filtern, wie im folgenden Beispiel:

iptables -I INPUT -p tcp --dport 22 -m mac ! --mac-source 02:42:df:a0:d3:8f
-j ABWIESEN

Das obige Beispiel lehnt alle Verbindungen ab, außer dem Gerät mit der Mac-Adresse 02:42:df:a0:d3:8f.

Verwenden von TCP-Wrappern zum Filtern von ssh

Eine andere Möglichkeit, IP-Adressen auf die Whitelist zu setzen, um sich über ssh zu verbinden, während der Rest abgelehnt wird, besteht darin, die Verzeichnisse hosts zu bearbeiten.leugnen und hosten.erlauben befindet sich in /etc.

Um alle Hosts abzulehnen, führen Sie Folgendes aus:

nano /etc/hosts.verweigern

Fügen Sie eine letzte Zeile hinzu:

sshd: ALLE

Drücken Sie STRG+X und Y zum Speichern und Beenden. Um nun bestimmte Hosts über ssh zuzulassen, bearbeiten Sie die Datei /etc/hosts.erlauben, um es zu bearbeiten:

nano /etc/hosts.ermöglichen

Fügen Sie eine Zeile hinzu, die Folgendes enthält:

sshd:

Drücken Sie STRG+X, um nano zu speichern und zu beenden.

Deaktivieren des ssh-Dienstes

Viele inländische Benutzer halten ssh für nutzlos, wenn Sie es nicht verwenden, können Sie es entfernen oder den Port blockieren oder filtern.

Auf Debian Linux oder basierten Systemen wie Ubuntu können Sie Dienste mit dem apt-Paketmanager entfernen.
Um den SSH-Dienst zu entfernen, führen Sie Folgendes aus:

apt entfernen ssh

Drücken Sie Y, wenn Sie aufgefordert werden, das Entfernen abzuschließen.

Und das ist alles über inländische Maßnahmen, um ssh sicher zu halten.

Ich hoffe, Sie fanden dieses Tutorial nützlich, folgen Sie LinuxHint für weitere Tipps und Tutorials zu Linux und Netzwerken.

Zum Thema passende Artikel:

  • So aktivieren Sie den SSH-Server unter Ubuntu 18.04 LTS
  • Aktivieren Sie SSH unter Debian 10
  • SSH-Portweiterleitung unter Linux
  • Allgemeine SSH-Konfigurationsoptionen Ubuntu
  • Wie und warum ändert man den Standard-SSH-Port?
  • Konfigurieren Sie die SSH X11-Weiterleitung unter Debian 10
  • Einrichtung, Anpassung und Optimierung des Arch Linux SSH-Servers
  • Iptables für Anfänger
  • Arbeiten mit Debian-Firewalls (UFW)
Maus So verwenden Sie Xdotool zum Stimulieren von Mausklicks und Tastenanschlägen in Linux
So verwenden Sie Xdotool zum Stimulieren von Mausklicks und Tastenanschlägen in Linux
Xdotool ist ein kostenloses Open-Source-Befehlszeilentool zum Simulieren von Mausklicks und Tastenanschlägen. Dieser Artikel enthält eine kurze Anleit...
Maus Top 5 ergonomische Computermaus-Produkte für Linux
Top 5 ergonomische Computermaus-Produkte für Linux
Verursacht längere Computernutzung Schmerzen im Handgelenk oder in den Fingern?? Leiden Sie unter steifen Gelenken und müssen ständig die Hände schütt...
Maus So ändern Sie die Maus- und Touchpad-Einstellungen mit Xinput in Linux
So ändern Sie die Maus- und Touchpad-Einstellungen mit Xinput in Linux
Die meisten Linux-Distributionen werden standardmäßig mit der Bibliothek „libinput“ ausgeliefert, um Eingabeereignisse auf einem System zu verarbeiten...