Die Tool-Sammlung OpenSSH, entwickelt vom OpenBSD-Projekt, umfasst eine Reihe beliebter Programme für vielfältige Anwendungszwecke. Mit wenig Aufwand können „Brute-Force-Attacken“ auf ein reines Ärgernis reduziert werden, das höchstens etwas Platz in den Logdateien verschwendet. Für den Anfang reicht es schon aus, ausdrücklich festzulegen, wer anmeldeberechtigt ist. Damit dürften schon 99 Prozent solcher arglistiger Angriffe ins Leere laufen, egal wie sicher das System wirklich ist.
Grundsätzlich sollte es niemals erlaubt sein, dass sich der Root-Benutzer per ssh (secure shell) einloggt – es sei denn, dass es absolut notwendig ist. In einem solchen Fall müssen dann immer ssh-Schlüssel verwendet werden. Niemals sollte sich der Root-Benutzer mit einem Passwort einloggen dürfen. Hierzu fügt man der Datei /etc/ssh/sshd_config, auf einigen Systemen verkürzt zu /etc/sshd_config, folgende Zeile hinzu:
PermitRootLogin without-password
Auf diese Weise bleiben Root-Log-ins erlaubt, jedoch nur mit einem ssh-Schlüssel. Dessen öffentliches Gegenstück muss in /root/.ssh/authorised_keys angegeben sein.
Als nächstes sollte ausdrücklich festgelegt werden, welche Benutzer anmeldeberechtigt sind. Hierzu fügt man der Datei sshd_config die folgenden Zeilen hinzu:
AllowUsers root AllowUsers joe
Damit dürfen sich nur die Benutzer „root“ und „joe“ per ssh einloggen. Es gilt zu beachten, dass sich nach Aktivierung der Option AllowUsers nur noch jene Benutzer einloggen können, die hier ausdrücklich aufgeführt sind. Mit anderen Worten: Trotz der Einstellung PermitRootLogin kann sich der Root-Benutzer sogar mit dem korrekten Schlüssel nur dann einloggen, wenn neben AllowUsers joe auch AllowUsers root in die Konfiguration aufgenommen wurde! Man sollte diese Liste also regelmäßig im Auge behalten und sicherstellen, dass Benutzer, die keinen Zugriff auf das System mehr benötigen, daraus entfernt werden.
Page: 1 2
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…