splitt-it.de

my digital lifestyle

Im idealen Fall darf der root-Benutzer sich nicht direkt per SSH anmelden, denn mit dem root-Benutzer besteht kompletter Systemzugriff zur Verfügung. Deshalb ist dieser Benutzer so begehrt und somit versuchen sich Hacker im idealen Fall auch mit diesem Benutzer anzumelden.

Um dies zu verhinden wird ein anderer Benutzer zur Verbindung mit SSH verwendet. Ist dieser angemeldet, kann zum root-Benutzer gewechselt werden.

Zunächst wird ein neuer User benötigt, der nur den Zweck hat, dass über diesen eine Verbindung per SSH ermöglicht wird:

[cc lang=’text‘ line_numbers=’false‘]useradd -g users -d /home/sshuser -s /bin/bash sshuser
mkdir /home/sshuser
chown sshconnect:users /home/sshuser/
passwd sshuser[/cc]

Der Benutzername ist hier als „sshuser“ definiert. Hier könnt Ihr natürlich auch jeden anderen Namen nehmen. Je abwegiger der Benutzername ist, desto schwieriger ist es auch, dass dieser erraten wird. Verwendet nur besser nicht Eure Eigennamen oder Nickname wie Olaf, splitti, Olli usw…

Jetzt solltet Ihr testen, ob der neue Benutzer sich per SSH anmelden kann und ein Wechsel auf den Benutzer root möglich ist. Der Wechsel zum root-Benutzer funktioniert mit folgendem Befehl:

[cc lang=’text‘ line_numbers=’false‘]su -[/cc]

Wenn der Wechsel zum root-Benutzer funktioniert, dann kann der direkte Login durch den root-Benutzer deaktiviert werden. Dafür ist die SSH-Konfigurationsdatei zu editieren:

[cc lang=’text‘ line_numbers=’false‘]vi /etc/ssh/sshd_config[/cc]

In dieser Datei ist die Zeile

[cc lang=’text‘ line_numbers=’false‘]PermitRootLogin yes[/cc]

nach

[cc lang=’text‘ line_numbers=’false‘]PermitRootLogin no[/cc]

zu ändern.

Damit diese Änderung auch funktioniert, ist es notwendig die Konfiguration des SSH-Dienstes mit folgenden Befehl neu einzulesen:

[cc lang=’text‘ line_numbers=’false‘]/etc/init.d/ssh reload[/cc]

?