SSH-Sicherheit erhöhen: Den Standard-SSH-Port unter Linux ändern

SSH steht für Secure Shell und ist ein Netzwerkprotokoll, das eine sichere Verbindung zwischen einem Client und einem Server herstellt. Es ermöglicht eine sichere Fernverwaltung und sichere Datenübertragung über ein unsicheres Netzwerk wie das Internet. SSH stellt verschlüsselte Verbindungen bereit, um zu verhindern, dass Daten von Dritten abgefangen oder manipuliert werden.

Mit SSH können Benutzer eine sichere Remote-Verbindung zu einem Remote-Server herstellen und Befehle über die Befehlszeile ausführen. Es ermöglicht die sichere Übertragung von Dateien zwischen Client und Server über SFTP (SSH File Transfer Protocol). SSH verwendet asymmetrische Verschlüsselung, wobei ein öffentlicher Schlüssel auf dem Server und ein privater Schlüssel auf dem Client verwendet werden. Sobald die Verbindung hergestellt ist, authentifiziert sich der Client mit seinem privaten Schlüssel gegenüber dem Server. Dadurch wird sichergestellt, dass die Verbindung nicht von einer unbefugten Person abgefangen oder manipuliert wird.

SSH ist ein weit verbreitetes Protokoll und wird in verschiedenen Bereichen wie sicherer Serververwaltung, Remote-Desktop-Verwaltung, Dateiübertragung und sicherer Remote-Aufgabenausführung eingesetzt. 

SSH (Secure Shell) ist das am weitesten verbreitete Protokoll zur Fernverwaltung von Linux-Systemen. SSH bietet starke Verschlüsselung und Authentifizierung, sodass Sie remote auf die Maschine zugreifen können. Sie können Dienste und Software ausführen, als ob Sie einen Live-Computer verwenden würden.

Standardmäßig läuft SSH auf Port 22. Aus diesem Grund ist der Port häufig Ziel von Brute-Force-Angriffen. Da dies den vollständigen Zugriff auf das Betriebssystem Ihres Servers ermöglicht, zielen Angreifer häufiger auf Port 22 ab als auf jeden anderen Port. Durch die Änderung des Standard-SSH-Ports werden automatisierte Angriffe verhindert oder zumindest erheblich erschwert. Um Ihren Server vor einem Brute-Force-Angriff zu schützen, sollten Sie den Standard-SSH-Port auf einen anderen Port einstellen. 

Melden Sie sich über SSH als Root-Benutzer (oder als Benutzer mit Sudo-Berechtigungen) bei Ihrem Server an. Sie können dies mit dem folgenden Befehl tun: 

Vergessen Sie nicht, bei Bedarf „root“ durch Ihren Benutzernamen zu ersetzen. Ersetzen Sie außerdem „Server_IP_Address“ und „Port_Number“ durch Ihre tatsächliche IP-Adresse und SSH-Portnummer. Wenn Sie die Portnummer noch nie zuvor geändert haben, sollte sie 22 sein.

Sobald die Verbindung hergestellt ist, können Sie mit dem nächsten Schritt fortfahren. 

Bevor Sie den Standard-SSH-Port ändern, müssen Sie einen neuen Port für SSH auswählen. Sie können jeden nicht verwendeten Port auswählen. Unter Linux sind Portnummern unter 1024 für bekannte Dienste reserviert. Daher wird empfohlen, einen Port höher als 1024 zu wählen.

In unserem Beispiel ändern wir den SSH-Port auf 5432. 

Bevor Sie den SSH-Port ändern, müssen Sie die Firewall auf Ihrem Server konfigurieren, um Datenverkehr auf dem neuen SSH-Port zuzulassen.

Auf Ubuntu/Debian-basierten Betriebssystemen können Sie mit dem folgendem UFW-Befehl einen neuen SSH-Port 5432 öffnen:  

Jetzt ist der Server so konfiguriert, dass der Datenverkehr über den neuen SSH-Port zugelassen wird.

Sie können den Standard-SSH-Port ändern, indem Sie die Datei /etc/ssh/sshd_config bearbeiten. 

Suchen Sie die folgende Zeile:

Kommentieren Sie die Zeile aus, indem Sie das „#“-Symbol entfernen und 22 durch 5432 ersetzen: 

Speichern und schließen Sie die Datei. Starten Sie dann den SSH-Dienst neu, um die Änderungen zu übernehmen. 

Überprüfen Sie als Nächstes mit dem folgenden Befehl, ob sshd den neuen Port überwacht: 

Sie sollten die folgende Ausgabe sehen:

Melden Sie sich von Ihrer aktuellen SSH-Sitzung ab und stellen Sie über den neuen Port erneut eine Verbindung zum Server her. 

Wenn alles in Ordnung ist, sollte sich wieder eine Verbindung zum Server aufbauen und eine Passwortabfrage erscheinen.