8 manieren om je SSH-server dicht te timmeren

SSH is de poort tot je Unix-server, en dus kun je daar maar beter wat voorzichtig mee omspringen. Vandaar hier enkele tips om het gebruik van OpenSSH nog veiliger te maken. Dit kan door in /etc/ssh/sshd_config de juiste regels te zetten.

1. Laat de root-gebruiker niet toe om in te loggen:

Als beheerder kun je nu nog altijd inloggen met een gewone gebruikersaccount en daarna met su opdrachten uitvoeren als root.

2. Schakel logins door middel van wachtwoorden volledig uit:

Nu moet elke gebruiker die via ssh wil kunnen inloggen een SSH-sleutel aanmaken met het programma ssh-keygen. De publieke sleutel wordt dan in de home-directory van de gebruiker op de server geplaatst. Nu kun je alleen op de server inloggen als je lokaal je private sleutel hebt staan.

3. Draai de SSH-server op een andere poort dan de standaardpoort 22. De meeste hackers proberen alleen in te loggen op poort 22 en kijken niet verder:

Alle gebruikers moeten nu wel deze poort weten, en dan inloggen met de optie -p 2022. Dit kan alleen weggelaten worden als je de poort voor deze server expliciet instelt in .ssh/config of /etc/ssh/ssh_config op elke client.

4. Gebruik alleen SSH-protocol 2:

5. Laat alleen de gebruikers toe die echt van een afstand mogen inloggen:

Je kunt ook een hele groep ineens toelaten met AllowGroups.

6. Laat alle details van ssh-connecties naar het logboek schrijven:

7. Schakel de mogelijkheid om grafische programma's op de server via ssh uit te voeren uit als je gebruikers dit niet nodig hebben:

8. Draai DenyHosts.

Hierdoor blokkeer je de IP-adressen van computers die te vaak vruchteloos proberen in te loggen.

Vergeet niet na de veranderingen aan de sshd-configuratie om de OpenSSH-server te herstarten.

Bron: Techworld