Linux SSH Port ändern

In diesem Beitrag möchte ich euch zeigen wie Ihr in wenigen Minuten die Sicherheit eures Webserver massiv erhöhen könnt in dem Ihr den SSH Port ändert. Ich erkläre euch auch wieso Ihr diese Änderung auf Eurem Webserver unbeding durchführen solltet.

Linux SSH Port ändern

Die Änderungen zu SSH werden in der Konfigurationsdatei des SSH Daemons (sshd) vorgenommen. Ein Daemon ist ein Programm, dass vollständig im Hintergrund läuft ohne Benutzereingaben (wie bei Windows die Dienste). Man merkt von dessen Existenz eigentlich nichts. Bei Debian basierten Systemen findet man diese SSHd Konfigurationsdatei unter:

/etc/ssh/sshd_config

ignoriert man die mit # markierten Kommentare ist die erste Einstellungsmöglichkeit der Port. Bei einem neuen System steht dort 22 – das ist der Standard Port der für SSH reserviert ist. Man kann dort eine beliebige andere Zahl eintragen, ideal ist eine zwischen 30000 und 65535. Damit man sich diesen Port besser merkt sollt diese auch mit 22 enden – beispielsweise 30022.

Linux SSH Port ändern

Nachdem der Wert geändert wurde muss die Datei noch gespeichert und der Dienst neu gestartet werden. Neu starten vom SSH Dienst funktioniert beispielsweise so:

Mit dem Befehl:

/etc/init.d/sshd restart

starte Ihr den Dienst neu und die Änderung wird aktiv.

In der SSH Konfiguration /etc/ssh/sshd_config kann man seinen Server absichern. Mit einer Änderung des SSH Ports und der Restriktion des Logins auf nur wenige nicht root Benutzer entgeht man allen automatisierten, nicht spezifischen Angriffen. Ein Angreifer müsste allein zum Finden eines passenden Ports und Benutzer großen Aufwand aufbringen.

Den SSH Port ändern ist bei vielen Hostern ein Standard, andere wiederum verzichten komplett darauf. Meiner Meinung ist der Aufwand gemessen am Nutzen minimal und sollte gemacht werden. Sofern man keine Benutzer hat die an einem geänderten SSH Port überfordert sind ist diese Änderung eigentlich Pflicht!

Ich hoffe das ich Euch mit diesem Beitrag weiterhelfen konnte. Gerne dürft Ihr auch einen Kommentar hinterlassen ob dieser Beitrag hilfreich war.

ESET File / Mail / Gateway Security für Linux / FreeBSD Version 4.5.11 wurde veröffentlicht

ESET File / Mail / Gateway Security für Linux / FreeBSD Version 4.5.11 wurde veröffentlicht

Veröffentlichungsdatum: 7. Juni 2018

ESET File / Mail / Gateway Security für Linux / FreeBSD Version 4.5.11 wurde veröffentlicht und steht zum Download bereit.

Änderungsprotokoll

  • Behoben: Ausgeschlossene Pfade werden durch On-Demand-Scan gescannt, der mit ESET Remote Administrator oder GUI gestartet wurde
  • Behoben: Link für Mail Security in der GUI-Hilfe richtet sich an ESET Mobile Security

Upgrade

The server does not support forward secrecy with the reference browsers. Grade reduced to A-

Hier ein kurzer Beitrag zum Thema SSL-Zertifikate im Zusammenhang mit Plesk Onyx Version 17 und den Basic SSL-Zertifikaten von SchlundTech
und der Fehlermeldung “The server does not support forward secrecy with the reference browsers”

Nach der Einrichtung von SSL-Zertifikaten

Nachdem Ihr für eure Webseite oder euren Onlineshop ein SSL-Zertifkat erworben habt und dieses bei eurem Provider oder selbst eingerichet habt, solltet Ihr unbedingt auch kontrollieren ob hier alles richtig funktioniert. Dies könnt Ihr ganz einfach unter der folgenden Webseite tun:

https://www.ssllabs.com

überprüft um zu kontrollieren ob hier alles richtig Konfiguriert wurde und Ihr diese Meldung bekommt:

the server does not support forward secrecy with the reference browsers. Grade reduced to A-

The server does not support forward secrecy with the reference browsers. Grade reduced to A-

Um diesen Fehler zu beseitigen, gibt es seit Plesk 12.5 ein Dienstprogramm plesk sbin sslmng, das die Deaktivierung der TLS-Komprimierung ermöglicht und die Größe des DH-Parameters auf 2048 setzt.

Um es dies für alle Dienste zu tun, führen Sie den folgenden Befehl als root auf der Console Ihres Servers aus:

plesk sbin sslmng -vvv –strong-dh –dhparams-size=2048

Dabei sollte die Ausgabe wie folgt aussehen:

Der Server muss hier im Anschluss nicht neu gestartet werden.

Nun könnt Ihr eure Webseite nochmal neu prüfen lassen und solltet nun statt einer A- Bewertung eine A+ erhalten.