SSH richtig absichern: Warum so viele Server immer noch über SSH angegriffen werden
SSH, oder Secure Shell, ist ein Protokoll zum Verbinden von Computern über ein Netzwerk. Es wird häufig verwendet, um auf Server und andere Geräte von entfernten Standorten aus zuzugreifen. Trotz seiner Beliebtheit und seiner Fähigkeit, eine sichere Verbindung zu gewährleisten, werden immer noch viele Server über SSH angegriffen.
Ein Grund dafür ist, dass viele Serveradministratoren ihre SSH-Konfigurationen nicht entsprechend absichern. Ein häufiger Fehler ist das Verwenden von schwachen Passwörtern, wie zum Beispiel schlichte Wort-Zahl Kombinationen. In solchen Fällen können Angreifer leicht das Passwort erraten oder eine Wörterbuchattacke durchführen, um Zugang zum Server zu erlangen.
Vor diesen Wörterbuchattacken kann man sich schützen, indem man die Anzahl der Versuche stark beschränkt. Standardmäßig kann ein Angreifer so viele Passwörter ausprobieren, wie er möchte. Wenn Sie das mit einem Programm wie beispielsweise „Fail2Ban“ unter Linux auf 5 bis 10 Versuche pro IP und Tag beschränken, könnte der Angreifer selbst schwache Passwörter nicht ohne großen Aufwand knacken.
Eine Möglichkeit, dieses Problem zu umgehen, ist das Verwenden von Schlüsseldateien anstelle von Passwörtern. Schlüsseldateien sind kryptografische Dateien, die für den Zugriff auf einen Server verwendet werden. Sie bieten eine deutlich höhere Sicherheit als Passwörter, da sie schwieriger zu erraten sind und in der Regel länger sind.
Ein weiterer Weg, um den Schutz von SSH zu verbessern, ist das Ändern des Ports, über den der Dienst erreichbar ist. Der Standard-SSH-Port ist Port 22, viele ungezielte Angreifer, die mit Bots wahllos Massen an Servern angreifen, versuchen es erst gar nicht, wenn der Port 22 nicht antwortet.
Zudem kann man die Sicherheit enorm erhöhen, in dem man den Root-Zugriff über SSH in der Konfiguration deaktiviert. Denn der Angreifer weiß in der Regel nicht, wie die Nutzernamen auf ihrem Server lauten. Jeder Angreifer weiß, dass sich hinter dem Account „root“ ein privilegierter Nutzer befindet. Wenn es dieser aber nicht benutzt werden kann, muss der Angreifer zuerst herausfinden, wie ihr Nutzername auf ihrem Server ist. Wenn der dann auch nicht allzu offensichtlich ist, kann dies die Sicherheit nochmal enorm erhöhen. Nutzernamen wie „admin“ oder „administrator“ sind aber natürlich nicht zielführend, diese prüfen Angreifer in der Regel auch.
Insgesamt gibt es viele Möglichkeiten, SSH abzusichern, um Angriffe zu verhindern. Dazu gehören die Verwendung von Schlüsseldateien anstelle von Passwörtern und die Absicherung durch eine korrekte Konfiguration des SSH Dienstes. Es ist wichtig, dass Serveradministratoren diese Maßnahmen ergreifen und ihre Systeme immer aktuell halten, um die Sicherheit ihrer Server zu gewährleisten.
