So wehrt man arglistige Log-in-Attacken per OpenSSH ab

Die Tool-Sammlung OpenSSH, entwickelt vom OpenBSD-Projekt, umfasst eine Reihe beliebter Programme für vielfältige Anwendungszwecke. Mit wenig Aufwand können „Brute-Force-Attacken“ auf ein reines Ärgernis reduziert werden, das höchstens etwas Platz in den Logdateien verschwendet. Für den Anfang reicht es schon aus, ausdrücklich festzulegen, wer anmeldeberechtigt ist. Damit dürften schon 99 Prozent solcher arglistiger Angriffe ins Leere laufen, egal wie sicher das System wirklich ist.

Grundsätzlich sollte es niemals erlaubt sein, dass sich der Root-Benutzer per ssh (secure shell) einloggt – es sei denn, dass es absolut notwendig ist. In einem solchen Fall müssen dann immer ssh-Schlüssel verwendet werden. Niemals sollte sich der Root-Benutzer mit einem Passwort einloggen dürfen. Hierzu fügt man der Datei /etc/ssh/sshd_config, auf einigen Systemen verkürzt zu /etc/sshd_config, folgende Zeile hinzu:


PermitRootLogin without-password

Auf diese Weise bleiben Root-Log-ins erlaubt, jedoch nur mit einem ssh-Schlüssel. Dessen öffentliches Gegenstück muss in /root/.ssh/authorised_keys angegeben sein.

Als nächstes sollte ausdrücklich festgelegt werden, welche Benutzer anmeldeberechtigt sind. Hierzu fügt man der Datei sshd_config die folgenden Zeilen hinzu:


AllowUsers root
AllowUsers joe

Damit dürfen sich nur die Benutzer „root“ und „joe“ per ssh einloggen. Es gilt zu beachten, dass sich nach Aktivierung der Option AllowUsers nur noch jene Benutzer einloggen können, die hier ausdrücklich aufgeführt sind. Mit anderen Worten: Trotz der Einstellung PermitRootLogin kann sich der Root-Benutzer sogar mit dem korrekten Schlüssel nur dann einloggen, wenn neben AllowUsers joe auch AllowUsers root in die Konfiguration aufgenommen wurde! Man sollte diese Liste also regelmäßig im Auge behalten und sicherstellen, dass Benutzer, die keinen Zugriff auf das System mehr benötigen, daraus entfernt werden.

Page: 1 2

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago