====== Linux - SSH-Zugriff einschränken ======

Grundsätzlich wird das Login über **<color #2f8989>SSH</color>** erst einmal nicht eingeschränkt. Das heißt, jeder Benutzer kann sich via **<color #2f8989>SSH</color>** auf den Rechner verbinden, nachdem der **<color #2f8989>OpenSSH-Server</color>** installiert ist. \\
Über die SSH-Konfiguration ist es jedoch möglich, Benutzer und Gruppen explizit zu erlauben oder zu verbieten. \\
\\
===== Die Möglichkeiten =====
Empfehlenswert ist es, sich vorab zu überlegen, auf welcher Basis man arbeiten möchte. \\ 
Die Angaben der Gruppen oder Benutzer erfolgt durch Leerzeichen getrennt. \\
| **Möglichkeit** | **Erläuterung** |
| DenyUsers | Folgende Benutzer ist der Zugriff via SSH nicht gestattet |
| AllowUsers | Folgende Benutzer dürfen sich via SSH einloggen |
| DenyGroups | Folgende Gruppen dürfen sich nicht einloggen |
| AllowGroups | Folgende Gruppen dürfen eine Verbindung via SSH herstellen |
\\
Generell werden die Befehle in der Tabelle genannten Reihenfolge abgearbeitet. Wird also ein Benutzer mit **<color #2f8989>DenyUsers</color>** ausgeschlossen und ist Mitglied einer Gruppe die über **<color #2f8989>AllowGroups</color>** die Berechtigung zum SSH-Zugriff hat, darf dieser sich trotzdem nicht einloggen. \\
\\
Da man hier sehr schnell die Übersicht verliert und somit eventuell unberechtigte Zugang erhalten, empfehle ich die Zugriffe über eine Gruppe zu erlauben. Dies hat auch noch den Vorteil, dass nicht ständig die SSH-Konfiguration angepasst werden muss. Für welche Möglichkeit Ihr Euch auch entscheidet, bleibt auf jeden Fall bei einer Variante, sonst ist das Chaos vorprogrammiert! \\
\\
==== Wichtig ====
<WRAP center round rsblila 60%>
Der Root-Benutzer wird über eine eigenständige Möglichkeit konfiguriert (siehe [[wiki:linux:security:debian-root-login|]] ). \\ 
</WRAP>
\\ 
===== Gruppe verwalten =====
==== Gruppe anlegen ====
Legt Euch eine Gruppe mit eindeutigem Namen an, die Ihr später auch sofort als die Gruppe für den SSH-Zugang identifizieren könnt (z.B. sshuser): \\
<WRAP center round rsbrot 60%>
#SSH-Gruppe anlegen \\ 
sudo groupadd sshuser \\ 
</WRAP>
==== Benutzer der SSH-Gruppe hinzufügen ====
Nun könnt Ihr die User, die sich via SSH einloggen dürfen, der Gruppe hinzufügen. \\
<WRAP center round rsbrot 60%>
#Benutzer der Gruppe sshuser hinzufügen \\ 
sudo usermod -aG sshuser <Benutzer> \\ 
</WRAP>
==== Benutzer aus SSH-Gruppe entfernen ====
Mit folgendem Befehl, könnt Ihr Benutzer aus der Gruppe wieder entfernen. \\
<WRAP center round rsbrot 60%>
#Benutzer aus der Gruppe sshuser entfernen \\ 
sudo deluser <Benutzer> sshuser \\ 
</WRAP>
==== Benutzer der SSH-Gruppe anzeigen ====
Die Benutzer der Gruppe sshuser, könnt Ihr Euch wie folgt anzeigen lassen. \\
<WRAP center round rsbrot 60%>
#Benutzer der Gruppe sshuser anzeigen \\ 
getent group | grep sshuser \\ 
</WRAP>
\\ 
===== Konfiguration =====
Das Hinzufügen der Gruppe zur SSH-Konfiguration erfolgt in der Datei **<color #2f8989>/etc/ssh/sshd-config</color>**. \\ 
Mehrere Gruppen werden mit Leerzeichen voneinander getrennt. \\ 
<WRAP center round rsbgruen 60%>
#Erlaube folgenden Gruppen den SSH-Zugriff \\ 
AllowGroups sshuser \\ 
</WRAP>
==== Aktivieren ====
Um die Änderungen zu aktivieren, starten wir den SSH-Dienst neu. \\ 
<WRAP center round rsbrot 60%>
service ssh restart \\ 
</WRAP>
\\ 
===== Fazit =====
Nach dieser Änderung ist ein Login via **<color #2f8989>SSH</color>** nur noch Mitglieder der Gruppe **sshuser* möglich und Ihr habt erst einmal die Sicherheit, dass sich kein unbefugter User am System via SSH anmelden kann. \\
\\ 
<WRAP center round rsblila 60%>
Achtet darauf, dass Ihr Euren Benutzer vorher der neu angelegten SSH-Gruppe **sshuser** hinzufügt, sonst sperrt Ihr Euch selbst aus dem System aus! \\ 
</WRAP>
\\ 
Euer RSB \\
\\

----
{{page>impressum:ausschluss#Haftungsausschluss}}

----


~~DISCUSSION~~