Linux - SSH-Zugriff einschränken
Grundsätzlich wird das Login über SSH erst einmal nicht eingeschränkt. Das heißt, jeder Benutzer kann sich via SSH auf den Rechner verbinden, nachdem der OpenSSH-Server installiert ist.
Über die SSH-Konfiguration ist es jedoch möglich, Benutzer und Gruppen explizit zu erlauben oder zu verbieten.
Die Möglichkeiten
Empfehlenswert ist es, sich vorab zu überlegen, auf welcher Basis man arbeiten möchte.
Die Angaben der Gruppen oder Benutzer erfolgt durch Leerzeichen getrennt.
Möglichkeit | Erläuterung |
DenyUsers | Folgende Benutzer ist der Zugriff via SSH nicht gestattet |
AllowUsers | Folgende Benutzer dürfen sich via SSH einloggen |
DenyGroups | Folgende Gruppen dürfen sich nicht einloggen |
AllowGroups | Folgende Gruppen dürfen eine Verbindung via SSH herstellen |
Generell werden die Befehle in der Tabelle genannten Reihenfolge abgearbeitet. Wird also ein Benutzer mit DenyUsers ausgeschlossen und ist Mitglied einer Gruppe die über AllowGroups die Berechtigung zum SSH-Zugriff hat, darf dieser sich trotzdem nicht einloggen.
Da man hier sehr schnell die Übersicht verliert und somit eventuell unberechtigte Zugang erhalten, empfehle ich die Zugriffe über eine Gruppe zu erlauben. Dies hat auch noch den Vorteil, dass nicht ständig die SSH-Konfiguration angepasst werden muss. Für welche Möglichkeit Ihr Euch auch entscheidet, bleibt auf jeden Fall bei einer Variante, sonst ist das Chaos vorprogrammiert!
Wichtig
Der Root-Benutzer wird über eine eigenständige Möglichkeit konfiguriert (siehe Linux - Debian - root-Login verbieten ).
Gruppe verwalten
Gruppe anlegen
Legt Euch eine Gruppe mit eindeutigem Namen an, die Ihr später auch sofort als die Gruppe für den SSH-Zugang identifizieren könnt (z.B. sshuser):
#SSH-Gruppe anlegen
sudo groupadd sshuser
Benutzer der SSH-Gruppe hinzufügen
Nun könnt Ihr die User, die sich via SSH einloggen dürfen, der Gruppe hinzufügen.
#Benutzer der Gruppe sshuser hinzufügen
sudo usermod -aG sshuser <Benutzer>
Benutzer aus SSH-Gruppe entfernen
Mit folgendem Befehl, könnt Ihr Benutzer aus der Gruppe wieder entfernen.
#Benutzer aus der Gruppe sshuser entfernen
sudo deluser <Benutzer> sshuser
Benutzer der SSH-Gruppe anzeigen
Die Benutzer der Gruppe sshuser, könnt Ihr Euch wie folgt anzeigen lassen.
#Benutzer der Gruppe sshuser anzeigen
getent group | grep sshuser
Konfiguration
Das Hinzufügen der Gruppe zur SSH-Konfiguration erfolgt in der Datei /etc/ssh/sshd-config.
Mehrere Gruppen werden mit Leerzeichen voneinander getrennt.
#Erlaube folgenden Gruppen den SSH-Zugriff
AllowGroups sshuser
Aktivieren
Um die Änderungen zu aktivieren, starten wir den SSH-Dienst neu.
service ssh restart
Fazit
Nach dieser Änderung ist ein Login via SSH nur noch Mitglieder der Gruppe sshuser* möglich und Ihr habt erst einmal die Sicherheit, dass sich kein unbefugter User am System via SSH anmelden kann.
Achtet darauf, dass Ihr Euren Benutzer vorher der neu angelegten SSH-Gruppe sshuser hinzufügt, sonst sperrt Ihr Euch selbst aus dem System aus!
Euer RSB
—-
Haftungsausschluss
Wir haben die hier gezeigten Anleitung sorgfältig erstellt und in unserer Testumgebungen ausgiebig getestet.
Wer sich entschließt diese Anleitungen für sich selbst umzusetzen, führt diese auf eigene Verantwortung durch.
Der Ersteller des Artikels, sowie der Seitenbetreiber, haftet nicht für eventuelle Schäden an Hard- und/oder Software oder damit zusammenhängenden Schäden\\
—- ~~DISCUSSION~~