Die Absicherung des SSH-Zugangs ist eine der ersten Maßnahmen, die Root-Server Kunden von HosterPlus ergreifen sollten. Insbesondere der direkte Root-Login mit Passwort gilt als hohes Sicherheitsrisiko. In diesem Artikel erfahren Sie, wie Sie Ihren Server professionell absichern – durch Deaktivierung des Passwort-Logins und Konfiguration einer Public-Key-Authentifizierung für den SSH-Zugang.
Warum ist der Root-Login per Passwort riskant?
Der Benutzer root ist auf jedem Linux-System vorhanden und damit ein beliebtes Ziel für automatisierte Brute-Force-Angriffe. Solange PasswordAuthentication yes und PermitRootLogin yes aktiv sind in der sshd_config, kann jeder beliebige Angreifer versuchen, sich per Passwort anzumelden – auch tausendfach pro Minute.
Diese Art von Angriffen lässt sich effektiv blockieren, indem man die IP-Adressen einschränkt und die Public-Key-Authentifizierung aktiviert.
- Passwort-Login deaktiviert
- Root-Login einschränkt
- Public-Key-Authentifizierung aktiviert
Voraussetzung: Public-Key-Authentifizierung einrichten
Bevor Sie den Passwort-Zugang abschalten, müssen Sie sicherstellen, dass ein SSH-Schlüsselpaar vorhanden ist und der öffentliche Schlüssel im Benutzerverzeichnis des Root-Benutzers liegt.
1. SSH-Schlüsselpaar unter Windows generieren (mit PuTTYgen)
- Öffnen Sie PuTTYgen.
- Wählen Sie den Schlüsseltpy ED25519 oder RSA.
- Klicken Sie auf Generate und bewegen Sie die Maus zur Erzeugung.
- Speichern Sie den privaten Schlüssel (.ppk-Datei).
- Kopieren Sie den öffentlichen Schlüssel aus dem oberen Textfeld.
2. Öffentlichen Schlüssel auf dem Server hinterlegen
Melden Sie sich per Passwort als Root am Server an:
mkdir -p /root/.ssh
chmod 700 /root/.ssh
nano /root/.ssh/authorized_keys
→ Fügen Sie den kopierten öffentlichen Schlüssel ein. Dann:
chmod 600 /root/.ssh/authorized_keys
Testen Sie den Login mit PuTTY, indem Sie die .ppk-Datei laden, um die Konfiguration für die ssh-anmeldung zu ändern.
SSH-Server sicher konfigurieren
Bearbeiten Sie die SSH-Konfiguration:
nano /etc/ssh/sshd_config
Empfohlene Einstellungen:
PermitRootLogin prohibit-password
PasswordAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
StrictModes yes
MaxAuthTries 3
Erklärung:
PermitRootLogin prohibit-password: Root darf sich nur mit Schlüssel anmelden.PasswordAuthentication no: Kein Passwort-Login mehr möglich.StrictModes yes: Nur korrekt gesetzte Dateiberechtigungen werden akzeptiert.MaxAuthTries 3: Begrenzung auf 3 Versuche pro Sitzung.
Speichern Sie die Datei und starten Sie den SSH-Dienst neu:
systemctl restart ssh
Empfehlung: Login über normalen Benutzer + sudo
Noch sicherer als der Root-Zugang ist die Verwendung eines normalen Benutzers mit sudo-Rechten:
adduser adminuser
usermod -aG sudo adminuser
Dann fügen Sie den öffentlichen Schlüssel auch in /home/adminuser/.ssh/authorized_keys ein. Anschließend können Sie Root-Rechte mit sudo nutzen Sie den SSH-Port für eine sichere Verbindung.
Zusätzliche Schutzmaßnahmen (optional)
- Fail2ban installieren: Schutz gegen Brute-Force
- Port ändern: Standardport 22 ändern
- Firewall einrichten: Nur benötigte Ports offen lassen
Die Absicherung des SSH-Zugangs ist für alle Root-Server-Kunden von HosterPlus Pflicht. Mit wenigen Schritten deaktivieren Sie unsichere Mechanismen wie den Root-Login per Passwort und schützen Ihr System effektiv vor unbefugtem Zugriff. Nutzen Sie ausschließlich Schlüsselbasierte Authentifizierung und testen Sie die Verbindung gründlich, bevor Sie den Passwortzugang deaktivieren.