Inhaltsverzeichnis

SSH-Konfiguration

Die Grundkonfiguration des sshd Service ist nach einer Minimalinstallation von CentOS 7 aus Sicherheitsgünden den eigenen Bedürfnissen anzupassen:

Login mittels Benutzername/Passwort oder SSL-Key

Persönlich bevorzuge ich den Login mittels Benutzername/Passwort, da ich mich gerne von verschiedenen Geräten aus auf einem Server einlogge. Hierzu legen wir zunächst einen neuen Benutzer an und vergeben dann ein Passwort für diesen neuen Benutzer

adduser BENUTZERNAME
passwd BENUTZERNAME

Root-Login deaktivieren

Aus Sicherheitsgründen deaktivieren wir den direkten Root-ogin in der Datei /etc/ssh/sshd_config wie folgt. alt:

#PermitRootLogin yes

neu:

PermitRootLogin no

Nun noch den sshd neu starten mittels dem Befehl

service sshd restart

Ab sofort kann man sich nur noch als Benutzer per SSH einloggen und mittels des Befehls su root-Rechte erhalten.

SSH-Port ändern

Um unter CentOS 7 den SSH-Port zu verändern sind im groben 3 Schritte nötig. Die SSH-Config Datei verändern, die Firewall anpassen und schließlich noch einige SELinuxregeln abändern.

1. SSH-Config Dateien ändern

Unzählige automatisierte Scripte durchforsten das Internet nach Rechnern mit geöffnetem SSH auf dem Standard-Port 22, um mittels Brute Force Attaken unbefugten Zugang zu erhalten. Deshalb sollte als erstes in der SSHd Config Datei /etc/ssh/sshd_config die Portnummer geändert werden. Darin ist eine auskommentierte Zeile mit ‚# Port 22‘ zu finden. Den Kommentar entfernen und die 22 durch die gewünschte Portnummer ersetzen. In meinem Beispiel der Port 1234. alt:

#Port 22

neu:

Port 1234

Das neu starten des sshd Dienstes geschieht erst nach Änderung an den SELinuxregeln, da sonst eine Fehlermeldung erscheint.

2. Firewallregeln anpassen

Neuen Port öffnen

firewall-cmd -–zone=public –-add-port=1234/tcp

Alten SSH-Port entfernen

firewall-cmd -–zone=public –-remove-port=22/tcp

Die Änderungen speichern und den Firewalldienst neu laden.

firewall-cmd –-runtime-to-permanent
firewall-cmd -–reload

3. SELinuxregeln abändern

Um den SSH-Port ändern zu können, müssen wir vorher noch ein Paket für die Verwaltung von SELinux installieren.

yum install policycoreutils-python

Danach können wir als letzten Schritt die SELinux-Regeln anpassen.

semanage port -a -t ssh_port_t -p tcp 1234

Nun können wir den SSH-Dienst neu starten

systemctl restart sshd.service