Oftmals kommt die Frage auf wie man seinen eigenen Server absichert. Hauptziel von Angreifern ist dabei klar der SSH Zugang eines Servers. Da SSH in den meisten Fällen auf dem Standartport 22 lauscht und es auf jedem Debian oder Ubuntu einen Root User gibt. Fehlt nur noch das passende Passwort. Möglichkeiten den SSH Login abzusichern gibt es viele, einige sind jedoch sehr aufwändig zu konfigurieren. Dabei gibt es eine ganz einfache Möglichkeit sich Sicherheit zu verschaffen. Den SSH Root Login einfach verbieten.
Halt Stop! Benutzer anlegen!
Bevor wir zu der Zeile kommen wo wir den Root User vom Login ausschließen brauchen wir natürlich eine andere Möglichkeit um auf den Server zugreifen zu können. Mal kurz ein analoges Beispiel. Früher haben wir den Schlüssel zu unserer Root Tür einfach im Blumentopf versteckt. Nun legen wir fest, es gibt keine Root Tür mehr. Dafür aber eine nette Nachbarin, die uns gerne mit dem passenden Schlüssel herein lässt und wir bequem über den Balkon zum Root User werden.
Einen neuen Benutzer anzulegen ist trivial einfach und man braucht keine großen Konfigurationen.
Vorbereitung
Erstmal prüfen wir ob der oben beschriebene Balkon vorhanden ist sprich das Kommando “sudo”:
apt-get install sudo
Mit diesem Befehl wird sudo installiert, falls es nicht schon vorhanden ist. In der Regel fehlt es nur auf Minimal Installationen, keine Angst der Befehl bewirkt keine doppelte Installation.
Benutzer unter Debian/Ubuntu erstellen.
Allgemeiner Aufbau des adduser Befehls:
sudo adduser BENUTZER [OPTIONEN]
Anhand eines Beispiels:
sudo adduser topsecretuser --ingroup sudo
Wir haben also einen Nutzer “topsecretuser” angelegt und diesen in die Gruppe sudo geschoben.
//Nach der Eingabe werdet Ihr natürlich noch nach einem Passwort und einigen Nutzer Informationen gefragt.
Root Login verbieten
Als nächstes ist zu Prüfen ob man sich mit dem neuen Benutzer einloggen kann. Wenn das funktioniert können wir zum wichtigen Teil übergehen. Das Deaktivieren des Root Logins in der SSH Konfiguration. Keine Angst, es ist nur eine Zeile und man muss nur ein “yes” in ein “no” ändern.
Öffnet mit einem Editor eurer Wahl die folgende Datei:
nano /etc/ssh/sshd_config
Dort findet man in Zeile 32 den Eintrag PermitRootLogin yes dieser wird geändert in PermitRootLogin no
Im Anschluss muss der SSH Dienst natürlich neugestartet werden damit die Änderung wirksam wird. Um nicht den gesammten Server neuzustarten reicht dieser Befehl:
systemctl restart ssh
Schon haben wir den Root Login verboten und können uns mit dem erstellten Benutzer anmelden. Will man nun Befehle als root ausführen schreibt man vor den Befehl einfach sudo. Möchte man dauerhaft zu root werden reicht die Eingabe su danach noch das Passwort und es öffnet eine root Session.
Vorteile und allgemeine Empfehlung
Ein klarer Vorteil ist die Sicherheit. Nun können automatisierte Bots versuchen sich als root anzumelden so oft diese wollen, Sie werden es aber nicht schaffen.
Allgemein sollte man natürlich noch mehr für die Sicherheit seines Servers tun als nur den root login zu verbieten. Aber für die ersten Tage sollte diese Lösung die schnellste und einfachste sein.
Ich komme mit meinem Server(LS-GL Linkstation Pro) nicht in die SSH.
Weißt du vielleicht woran dass liegt? ?
Außer dem kann ich meine htaccess.txt nicht in .htaccess umbennen.
Ich würde mich über hilfe freuen.
Mfg Bmk, der Administrator von bmkcity. ?
Hallo Ben,
LS-GL müsste ein NAS sein wenn ich richtig Tippe. Bei vielen solcher Geräte muss ein SSH Login erst generell erlaubt werden.
Zu der htaccess, dies Scheint ein Berechtigungsproblem zu sein, hast du schonmal probiert die htaccess erst auf deinem lokalen System umzubenennen und dann hochzuladen? Bzw. Mit welchen Programmen arbeitest du? Ich hatte mit FileZilla die Erfahrung ich habe die htaccess.txt umbenannt und dann war diese einfach weg. Ergebnis, manche FTP-Programme verstecken diese Dateien.
Whats up this is somewhat of off topic but I was
wanting to know if blogs use WYSIWYG editors or if you have to manually code with HTML.
I’m starting a blog soon but have no coding skills so I wanted to get guidance from someone with
experience. Any help would be enormously appreciated!
Hey Ralph
if you dont have much experience with plain HTML a WYSIWYG Editor is the best option for you. I’ve tried a lot of Editors the result i dont use them because im faster when i write plain html code. If you start from zero try the new WordPress Editor “Gutenberg”. This will be the next generation Editor in WordPress 5.0