SSH Einstellungen aktualisiert

README.md

@@ -71,6 +71,48 @@ apt update
 apt upgrade
 ```
 
+## Hilfsmittel installieren
+
+Viele Linux-Admins benötigen für die Verwaltung eines Servers kaum zusätzliche Programme und erledigen alles an der SSH-Konsole mit den standardmäßig installierten Tools (vi, nano,...). Wer nicht jeden Tag auf der Linux-Konsole unterwegs ist, kommt mit einem Datei-Explorer schneller zurecht. Dafür bietet sich das Programm "Midnight-Commander" an, welches sich folgendermaßen installieren lässt:
+
+```
+apt install mc
+```
+
+Gestartet wird der Kommander einfach mit dem Befehl `mc`. In einer 2-Fenster Ansicht (Wechsel mit "Tab"-Taste) kann man sich nun mit den Pfeil-Tasten und "Enter" durch das Dateisystem bewegen und z.B. Dateien mit der Taste "F3" anschauen oder mit "F4" bearbeiten. Beim ersten Bearbeiten muss man sich noch für einen Editor entscheiden, der dann immer beim Drücken von "F4" verwendet werden soll.
+
+### Root Passwort ändern
+
+Der Benutzer "root" hat alle Rechte auf dem Server und muss gut gesichert werden. Bei der Installation des Servers wird zwar automatisch ein starkes, zufälliges root-Passwort generiert, aber das wird erstens unverschlüsselt per Mail verschickt und zweitens im Server-Control-Panel des Hosters gespeichert. Sollte ein Angreifer Zugang zu einem von beiden erlangen, ist der Server damit kompromittiert.
+
+Es ist daher ratsam, das initiale root-Passwort durch ein eigenes, starkes Passwort zu ersetzen. Ein zufälliges Passwort kann man unter Linux mit verschiedenen Programmen erstellen. Hier werden nur 2 Beispiele vorgestellt.
+
+Der folgende Befehl erzeugt ein zufälliges, 15-stelliges Passwort an der Linux-Konsole:
+
+```
+openssl rand -base64 15
+```
+
+Für das zweite Beispiel muss zunächst das Programm "pwgen" installiert werden.
+
+```
+apt install pwgen
+```
+
+Mit dem Befehl `pwgen --help` kann man sich die möglichen Parameter und deren Bedeutung anschauen. Ein besonders starkes, zufälliges Passwort mit Sonderzeichen erzeugt man mit dem Befehl:
+
+```
+pwgen -ys 15 1
+```
+
+Jetzt kann das erzeugte Passwort für den Benutzer "root" geändert werden. Sofern man als "root" angemeldet ist, gelingt das mit dem Befehl:
+
+```
+passwd
+```
+
+In dem darauf folgenden Dialog muss man erst das bestehende root-Passwort eingeben und dann zwei mal das neue Passwort.
+
 ### Tastatur- und Spracheinstellungen anpassen (optional)
 
 Bei manchen Server-Images sind Sprache und Region bereits voreingestellt und es muss nichts weiter getan werden. Wenn man im SSH-Terminal z.B. deutsche Sonderzeichen eintippt (ä,ö,...) und diese werden nicht richtig dargestellt, dann muss die Spracheinstellung angepasst werden.
@@ -113,10 +155,52 @@ In den daraufhin erscheindenden Eingabefenstern wird erst "Europe" und dann "Ber
 ![Zeitzone einstellen, Fenster 2](bilder/zeitzone_einstellen_2.jpg)
 
 !!! note "Hinweis"
-    Die Änderung der Zeitzone wird sofort übernommen. Um die geänderten Sprach-/Tastatureinstellungen zu aktivieren, muss man sich von der Konsole ab- und wieder anmelden
+    Die Änderung der Zeitzone wird sofort übernommen. Um die geänderten Sprach-/Tastatureinstellungen zu aktivieren, muss man sich von der Konsole ab- und wieder anmelden.
 
-### zusätzliche Programme installieren
+## SSH-Zugang sichern
+
+Der SSH-Zugang ist das wichtigste Instrument, um den Server zu verwalten. Dementsprechend ist er auch ein beliebtes Angriffsziel und sollte unbedingt sorgfältig gesichert werden. Das erfolgt in mehreren Schritten.
+
+### 1. Port-Nummer ändern
+
+Normalerweise ist der SSH-Server so eingestellt, dass er an Port 22 auf eingehende Verbindungen wartet. Das wissen natürlich auch alle Hacker und Spammer. Wenn ein neuer Server mit einer öffentlichen IP-Adresse eingerichtet wird, dauert es meist nicht lange, bis man in den Log-Dateien erste gescheiterte Verbindungsversuche findet, weil irgendwer versucht, sich Zugang zu verschaffen. Mit einem starken Passwort sollte das eigentlich nicht gelingen, aber es erzeugt immerhin unnötigen Datenverkehr und Log-Einträge. 
+
+Es ist daher empfehlenswert, den Port des SSH-Servers zu ändern, um damit einen großen Teil der Angriffsversuche auszuschließen. Auf Wikipedia findet man eine [Liste der standardisierten Ports](https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports), aus der man entnehmen kann, dass die Ports 49152-65535 für diesen Zweck genutz werden können.
+
+Um den Port zu ändern, wird die Datei `/etc/ssh/sshd_config` bearbeitet. Im Ausgangszustand ist die entsprechende Zeile meistens auskommentiert, da Port 22 als Standard gesetzt ist. In dem Fall muss "#" am Anfang der Zeile entfernt, und der neue Port eingetragen werden (in diesem Beispiel 54683).
 
 ```
-apt install mc
+...
+# The strategy used for options in the default sshd_config shipped with
+# OpenSSH is to specify options with their default value where
+# possible, but leave them commented.  Uncommented options override the
+# default value.
+
+Port 54683
+#AddressFamily any
+#ListenAddress 0.0.0.0
+#ListenAddress ::
+...
 ```
+
+Die Änderung wird mit dem Neustart des SSH-Dienstes übernommen.
+
+```
+service ssh restart
+```
+
+Bei der Anmeldung per ssh muss jetzt der Port als Parameter mit angegeben werden.
+
+```
+ssh -l root 1.2.3.4 -p 54683
+```
+
+### 2. Zugang für Benutzer "root" verbieten
+
+### 3. SSH-Zugang für "Public-Key-Verfahren" konfigurieren
+
+## Quellen
+
+- [https://vitux.com/7-methods-to-generate-a-strong-password-in-ubuntu/](https://vitux.com/7-methods-to-generate-a-strong-password-in-ubuntu/)
+- [https://developer-blog.net/ssh-port-aendern/](https://developer-blog.net/ssh-port-aendern/)
+- [https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports](https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports)