Server-Sicherheit und SSH

Bisher hatte ich auf meinem Server den SSH-Port auf dem Standard-Port laufen lassen. In der Vergangenheit haben aber leider die Versuche, per SSH auf den Server zu kommen, extrem zugenommen. Und zwar so stark, dass der Server mittels DoS-Attacke lahmgelegt wurde. Nachdem das jetzt gestern bereits das zweite mal passiert ist, musste ich mir überlegen, wie ich dagegen vorgehen kann. Da die Angreifer immer im Ausland sitzen (bzw. die gehackten Server) kann ich auf juristischem Wege rein gar nichts machen. Also was tue ich:

  1. Als erstes hab ich den Port gewechselt. Das war für den Server schonmal eine große Erleichterung, er läuft heute viel flüssiger. Kann ich also für jeden empfehlen!

    Um den Port zu ändern, ist unter Suse in der Datei “/etc/sysconfig/ssh”, unter Debian in der Datei “/etc/default/ssh” folgender Wert für Port 12345 einzutragen:

    SSHD_OPTS="-p 12345"

    Anschließend mittels “rcsshd restart” (Suse) bzw. “/etc/init.d/ssh restart” (Debian) den SSH-Dienst neu starten und fertig. Sicherheitshalber sollte man die aktuelle SSH-Verbindung offen lassen und mittels zweiter Verbindung testen, ob der neue Port funktioniert. Auf keinen Fall die Firewall-Einstellungen vergessen.

  2. Als nächstes empfiehlt es sich, auffallende IPs zu sperren. Hierzu gibt es zwei interessante Projekte: Fail2Ban und DenyHosts.
  3. Wer jetzt noch lustig ist, kann auf dem Standard-SSH-Port einen Honeypot installieren, um Angreifer zum einen besser verfolgen zu können und zum anderen, um die geplanten Machenschaften zu ermitteln. Hier empfiehlt sich unter anderem Kojoney.

Jetzt bin ich mal gespannt, wie lange diese Änderungen helfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.