Linux - SSH-Port ändern

Der Standard-Port für SSH ist der TCP-Port 22. Dieser wird bei Installation des OpenSSH-Servers (siehe auch Linux - SSH-Server) automatisch aktiviert.

Der Vorteil von standardisierten Ports ist, dass diese im allgemeinen bekannt und in vielen Netzwerken dementsprechend freigegeben sind. Der Nachteil ergibt sich aus demselben Grund, da die Ports bekannt sind, werden diese gezielt für automatisierte Login-Versuche, sogenannte Brute-Force-Attacken, verwendet.

Diese sind an sich nicht weiter tragisch, wenn man starke Passwörter verwendet (Linux - Sichere Passwörter mit pwgen) und das Root-Login (Linux - Debian - root-Login verbieten) unterbindet. Sie haben jedoch den Nachteil, dass je nach Häufigkeit, die Server-Performance beeinflusst werden kann.

Eine Änderung des SSH-Ports bringt erst einmal keine zusätzliche Sicherheit. Durch einen einfachen Portscan, kann der neu verwendete Port schnell ermittelt werden. Er verhindert doch in der Regel eben die automatisierten Brute-Force-Attacken und nimmt somit Last vom Server.
Da eine manuelle Suche der Ports und Anpassung der Bots für die meisten Angreifer zu aufwändig ist, kommt es ungewollt zu verbesserten Sicherheit des Servers.

Wichtig, dies bietet keinen Schutz gegen Angreifer, die gezielt nach Angriffsmöglichkeiten auf Eurem Server suchen.

Bevor wir den Port ändern, benötigen wir erst einen Port den wir verwenden können. Bei den Ports von 0-1023 handelt es sich um standardisierte Ports, hier ist die Chance hoch, dass Ihr einen Port erwischt der bereits verwendet wird, oder in Zukunft auf dem System verwendet werden könnte. In der Datei /etc/services findet Ihr eine Übersicht vieler standardisierter Ports unter Linux.

Habt Ihr einen Port gefunden, könnt Ihr mit der Konfiguration fortfahren. Als Beispiel verwenden wir hier den Port 2222.

Die Anpassung des Ports erfolgt in der Datei /etc/ssh/sshd-config.

# Sucht folgenden Eintrag und fügt unterhalb Euren Eintrag mit Port hinzu
#Port 22
Port 2222

Um die Änderungen zu aktivieren, starten wir den SSH-Dienst neu.

service ssh restart

Um Euch in Zukunft auf dem Rechner einloggen zu können, müsst Ihr den Port mit angeben.

# Syntax:
# ssh -p <port> <user>@<server>

# Beispiel:
# ssh -p 2222 pirate@linux42.de

Ob diese Anpassung für Euch Sinn macht, könnt nur Ihr selbst entscheiden. Ich habe diese auf einigen wenigen Servern im Einsatz, die zuvor Latenzprobleme auf Grund vieler Brute-Force-Attacken hatten.

Mir war nur wichtig, dieses Thema mit anzuschneiden, da dies in Gesprächen über Sicherheit sehr oft angesprochen wird.

Euer RSB

Wir haben die hier gezeigten Anleitung sorgfältig erstellt und in unserer Testumgebungen ausgiebig getestet.
Wer sich entschließt diese Anleitungen für sich selbst umzusetzen, führt diese auf eigene Verantwortung durch.
Der Ersteller des Artikels, sowie der Seitenbetreiber, haftet nicht für eventuelle Schäden an Hard- und/oder Software oder damit zusammenhängenden Schäden\\

2021/03/06 23:11 · rsb