Oftmals kommt die Frage auf wie man seinen eigenen Server absichert. Hauptziel von Angreifern ist dabei klar der SSH Zugang eines Servers. Da SSH in den meisten Fällen auf dem Standartport 22 lauscht und es auf jedem Debian oder Ubuntu einen Root User gibt. Fehlt nur noch das passende Passwort. Möglichkeiten den SSH Login abzusichern gibt es viele, einige sind jedoch sehr aufwändig zu konfigurieren. Dabei gibt es eine ganz einfache Möglichkeit sich Sicherheit zu verschaffen. Den SSH Root Login einfach verbieten.
Halt Stop! Benutzer anlegen!
Bevor wir zu der Zeile kommen wo wir den Root User vom Login ausschließen brauchen wir natürlich eine andere Möglichkeit um auf den Server zugreifen zu können. Mal kurz ein analoges Beispiel. Früher haben wir den Schlüssel zu unserer Root Tür einfach im Blumentopf versteckt. Nun legen wir fest, es gibt keine Root Tür mehr. Dafür aber eine nette Nachbarin, die uns gerne mit dem passenden Schlüssel herein lässt und wir bequem über den Balkon zum Root User werden.
Einen neuen Benutzer anzulegen ist trivial einfach und man braucht keine großen Konfigurationen.
Vorbereitung
Erstmal prüfen wir ob der oben beschriebene Balkon vorhanden ist sprich das Kommando „sudo“:
apt-get install sudo
Mit diesem Befehl wird sudo installiert, falls es nicht schon vorhanden ist. In der Regel fehlt es nur auf Minimal Installationen, keine Angst der Befehl bewirkt keine doppelte Installation.
Benutzer unter Debian/Ubuntu erstellen.
Allgemeiner Aufbau des adduser Befehls:
sudo adduser BENUTZER [OPTIONEN]
Anhand eines Beispiels:
sudo adduser topsecretuser --ingroup sudo
Wir haben also einen Nutzer „topsecretuser“ angelegt und diesen in die Gruppe sudo geschoben.
//Nach der Eingabe werdet Ihr natürlich noch nach einem Passwort und einigen Nutzer Informationen gefragt.
Root Login verbieten
Als nächstes ist zu Prüfen ob man sich mit dem neuen Benutzer einloggen kann. Wenn das funktioniert können wir zum wichtigen Teil übergehen. Das Deaktivieren des Root Logins in der SSH Konfiguration. Keine Angst, es ist nur eine Zeile und man muss nur ein „yes“ in ein „no“ ändern.
Öffnet mit einem Editor eurer Wahl die folgende Datei:
nano /etc/ssh/sshd_config
Dort findet man in Zeile 32 den Eintrag PermitRootLogin yes dieser wird geändert in PermitRootLogin no
Im Anschluss muss der SSH Dienst natürlich neugestartet werden damit die Änderung wirksam wird. Um nicht den gesammten Server neuzustarten reicht dieser Befehl:
systemctl restart ssh
Schon haben wir den Root Login verboten und können uns mit dem erstellten Benutzer anmelden. Will man nun Befehle als root ausführen schreibt man vor den Befehl einfach sudo. Möchte man dauerhaft zu root werden reicht die Eingabe su danach noch das Passwort und es öffnet eine root Session.
Vorteile und allgemeine Empfehlung
Ein klarer Vorteil ist die Sicherheit. Nun können automatisierte Bots versuchen sich als root anzumelden so oft diese wollen, Sie werden es aber nicht schaffen.
Allgemein sollte man natürlich noch mehr für die Sicherheit seines Servers tun als nur den root login zu verbieten. Aber für die ersten Tage sollte diese Lösung die schnellste und einfachste sein.