SSH absichern – die Dinge die wirklich zählen
Jeder öffentlich erreichbare SSH-Port wird gescannt. Immer. Kontinuierlich. Das ist kein Alarmismus, das kann man in den Auth-Logs nachschauen: tausende fehlgeschlagener Login-Versuche täglich, mit wechselnden IPs und gängigen Usernamen. Das passiert auf jedem Server.
Was wenig hilft
Den Port ändern. Ja, es reduziert den Lärm in den Logs weil die meisten automatisierten Scanner nur Port 22 probieren. Aber wer gezielt nach SSH sucht, scannt alle Ports. Sicherheit durch Verbergung ist kein Sicherheitskonzept.
Was wirklich hilft
Passwort-Authentifizierung deaktivieren. Das ist der einzige Schritt der wirklich zählt. Mit Key-Auth kann man keinen SSH-Zugang brute-forcen – es gibt schlicht nichts zu brute-forcen.
AllowUsers auf konkrete Nutzer einschränken. Root-Login verbieten. Dann: Fail2ban installieren, das automatisch IPs sperrt die zu viele fehlgeschlagene Versuche produzieren.
SSH-Keys richtig verwalten
Ed25519 statt RSA wenn möglich – kleinere Keys, gleiche oder bessere Sicherheit. Den privaten Key mit Passphrase schützen. Nie den privaten Key irgendwo hochladen oder committen – das klingt offensichtlich, passiert aber trotzdem.
Nach diesen Schritten: in die Auth-Logs schauen. Es ist fast meditative Ruhe – keine erfolgreichen Versuche mehr, nur ab und zu ein Failed password for invalid user der automatisch gesperrt wird.
← zurück zu Security 📂 Archiv