SSH Konfigurieren - sshd_config
2010-01-16
3 Kommentare »
Ein OpenSSH Server gehört zur Mindestausstattung eines Servers. Er erlaubt das arbeiten auf diesem auch ohne das man direkt vor ihm sitzt. Hier ein paar Erklärungen zu den wichtigsten sshd_config Einstellungen.
$ nano /etc/ssh/sshd_config $ /etc/init.d/ssh restart
Der ssh Dämon erhält bestehende Verbindungen auch dann aufrecht, wenn er neu gestartet wurde. Nachdem man die Konfiguration geändert hat, sollte man das Fenster offen lassen bis man weiß das alles funktioniert wie es soll. So kann man gegebenenfalls noch falsche Einstelllungen rückgängig machen. Im schlimmsten Fall sperrt man sich komplett aus dem System aus, was bei einem Root Server oder Vserver natürlich nicht wünschenswert ist.
# der Port auf dem der ssh Server auf Verbindungen "warten" soll Port 27981 # Wenn AllowUsers definiert wurde, dann ist das anmelden auf dem SSH Server nur diesen Usern erlaubt. # Man kann mehrere User angeben. Sie werden dann durch Leerzeichen getrennt. AllowUsers SystemUsername # Mit der aktuellen Version ist nur noch SSH2 erlaubt, aber bei älteren Versionen wäre auch SSH1 möglich. # Mit der Angabe von Protocol 2 beschränkt man es aber auf SSH2. Protocol 2 # Mit ListenAddress kann man angeben an welchen Interfaces der sshd lauschen soll. # Der Standard 0.0.0.0 lauscht an alles verfügbaren Interfaces. # Man sollte es auf 1 Interface beschränken. ListenAddress 0.0.0.0 # Der Pfad zum private Key HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key # Logging SyslogFacility AUTH LogLevel INFO # Wenn aktiviert, dann wird eine eingehende Verbindung vom Hauptprozess getrennt. # Außerdem läuft sie dann unter den Rechten das angemeldeten Users. # Default ist yes und so sollte es auch bleiben. UsePrivilegeSeparation yes # Nach den hier angegebenen Sekunden wird die Verbindung getrennt # wenn der User sich nicht erfolgreich angemeldet hat LoginGraceTime 120 # Mit PermitRootLogin kann man dem User root verbieten sich per SSH anzumelden. # Auch das ist eine Sicherheitseinstellung die Bruteforce Attacken auf den root User verhindern soll. # no = keine Rootanmeldung per SSH erlaubt | yes = root kann sich anmelden PermitRootLogin no # Überprüft die Besitzrechte der Userdateien und des Homedirs bevor sich ein User anmelden kann StrictModes yes # Erlaubt Public Key Authentification # Default ist yes, wenn man es nicht benutzt kann man es auch abschalten PubkeyAuthentication no # Erlaubt die Anmeldung mit Passwörtern. Bevor man dies abschaltet, sollte man einen anderen Weg haben! PasswordAuthentication yes # Da es nur Protocol Version 1 betrifft ist es nicht wichtig zu setzen. # Am besten man setzt es trotzdem, aber dann auf no! RSAAuthentication no # Es sollen keine ~/.rhosts und ~/.shosts Dateien im Homedir geladen werden IgnoreRhosts yes # Auch ein Überbleibsel von SSH1. No ist richtig! RhostsRSAAuthentication no # Eine vergleichbare Funktion von RhostsRSAAuthentication, aber für SSH2. # Hab ich noch nie gebraucht. HostbasedAuthentication no # Wenn man es auch yes setzt, kann man sich mit leeren Passwörtern anmelden. # Da sagt der gesunde Menschenverstand schon etwas anderes. PermitEmptyPasswords no # Ist ein Brutforce Schutz, der die maximalen unautorisierten Verbindungen steuert. MaxStartups 10:30:60 # Aktiviert das Subsystem sftp Subsystem sftp /usr/lib/openssh/sftp-server # Wenn man dies auf yes setzt wird einem User die /etc/motd angezeigt wenn er sich verbindet. PrintMotd no # Diese Settings sollten selbsterklärend sein. KeepAlive yes PrintLastLog yes UsePAM yes
3 Kommentare
Chris
schrieb am 28.08.2010 um 13:44 Uhr
Hey,
Sonst ist man ganz schnell ausgesperrt!
bevor der root zugriff verboten wird, sollte noch erwähnt werden, dass man einen anderen user anlegen solle
kostaki
schrieb am 29.08.2010 um 11:30 Uhr
Ja das sollte man sicherstellen.
mm
schrieb am 21.06.2011 um 19:34 Uhr
Ehhhmmm … und in die sudoers – Liste sollte man ihn vielleicht besser auch noch eintragen.