Skip navigation

so schritt 1 steht an, ein frischer debian server ist aufgesetzt.
zuerst sicherheitshalber alles auf den neusten stand bringen:

apt-get update
apt-get upgrade

weil es ja gerade eher groessere probleme mit unsicheren ssh keys gegeben hat sollte man – falls das noch nicht automatisch passiert die – zumindest bei mir ausgelassenen pakete fuer openssh installieren:

apt-get install openssh-client openssh-server

weiter geht’s jetzt muessen wir erstmal iptables dicht bekommen
mit iptables-save > ipt.config kann man sich die derzeitige konfiguration in eine datei ausgeben lassen. diese koennt ihr mit dem editor eurer wahl oeffnen.
im block *filter sollte man dann ein paar regeln ergaenzen:

#default chains
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#akzeptiert input auf dem virtuellen loopback device
-A INPUT -i lo -j ACCEPT
#erlaubt pings. ich mag pings, wenn euch das stoert, koennt ihr die zeile weglassen
-A INPUT -p icmp –icmp-type any -j ACCEPT
#sorgt dafuer, dass antworten auf ausgehende anfragen durchkommen
#ansonsten geht z.b. kein wget oder apt-get mehr…
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#erlaubt kommunikation of port 22 – dem default SSH port
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
#alles andere wird abgelehnt
-A INPUT -j REJECT –reject-with icmp-host-prohibited

mit iptables-restore < ipt.config kann man dann die regeln einspielen.

man will ja nicht immer als root arbeiten – also mit

adduser USERNAME

einen user hinzufuegen, ausser dem passwort muesst ihr nix angeben, wenn ihr der einzige user
auf dem system seid koennt ihr euch ja vielleicht den namen noch merken 🙂

bei der gelegenheit kann man vielleicht auch mal das vom provider gesetzte root-passwort mit passwd aendern.

jetzt noch schnell ssh dicht machen in /etc/ssh/sshd_config sollte man ein paar sachen aendern bzw ergaenzen:

Port 22

der default port fuer ssh ist 22. wenn man sein system fuer aussenstehende etwas verwirrender machen moechte kannn man diesen aendern. bevor ihr den sshd neustartet solltet ihr dann allerdings eine weitere zeile mit dem neuen port analog zur bisherigen zeile fuer port 22 in iptables hinzufuegen, sonst sperrt ihr euch aus. wenn ihr euch nach gelugenem neustart einloggen koennt solltet ihr die port-22 regel aus iptables entfernen.

die anderen sachen sind etwas uebersichtlicher:

[…]
#es gibt keinen grund, warum sich root direkt einloggen sollte
#wenn man sich als user angelegt hat kann man ja su benutzen…
PermitRootLogin no
[…]
#nur die user in der folgenden liste duerfen sich einloggen.
#reduziert die chance, das irgendwer ueber generische oder geratene usernamen
#ins system kommt
AllowUsers USERNAMEN_MIT_LEERZEICHEN_GETRENNT

Jetzt noch schnell per /etc/init.d/ssh restart den ssh daemon neustarten und das system ist schonmal recht dicht

demnaechst mehr…

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: