wiki:linux:security:linux-ssh-zugriff-einschraenken

Linux - SSH-Zugriff einschränken

Grundsätzlich wird das Login über SSH erst einmal nicht eingeschränkt. Das heißt, jeder Benutzer kann sich via SSH auf den Rechner verbinden, nachdem der OpenSSH-Server installiert ist.
Über die SSH-Konfiguration ist es jedoch möglich, Benutzer und Gruppen explizit zu erlauben oder zu verbieten.

Empfehlenswert ist es, sich vorab zu überlegen, auf welcher Basis man arbeiten möchte.
Die Angaben der Gruppen oder Benutzer erfolgt durch Leerzeichen getrennt.

Möglichkeit Erläuterung
DenyUsers Folgende Benutzer ist der Zugriff via SSH nicht gestattet
AllowUsers Folgende Benutzer dürfen sich via SSH einloggen
DenyGroups Folgende Gruppen dürfen sich nicht einloggen
AllowGroups Folgende Gruppen dürfen eine Verbindung via SSH herstellen


Generell werden die Befehle in der Tabelle genannten Reihenfolge abgearbeitet. Wird also ein Benutzer mit DenyUsers ausgeschlossen und ist Mitglied einer Gruppe die über AllowGroups die Berechtigung zum SSH-Zugriff hat, darf dieser sich trotzdem nicht einloggen.

Da man hier sehr schnell die Übersicht verliert und somit eventuell unberechtigte Zugang erhalten, empfehle ich die Zugriffe über eine Gruppe zu erlauben. Dies hat auch noch den Vorteil, dass nicht ständig die SSH-Konfiguration angepasst werden muss. Für welche Möglichkeit Ihr Euch auch entscheidet, bleibt auf jeden Fall bei einer Variante, sonst ist das Chaos vorprogrammiert!

Der Root-Benutzer wird über eine eigenständige Möglichkeit konfiguriert (siehe Linux - Debian - root-Login verbieten ).


Legt Euch eine Gruppe mit eindeutigem Namen an, die Ihr später auch sofort als die Gruppe für den SSH-Zugang identifizieren könnt (z.B. sshuser):

#SSH-Gruppe anlegen
sudo groupadd sshuser

Nun könnt Ihr die User, die sich via SSH einloggen dürfen, der Gruppe hinzufügen.

#Benutzer der Gruppe sshuser hinzufügen
sudo usermod -aG sshuser <Benutzer>

Mit folgendem Befehl, könnt Ihr Benutzer aus der Gruppe wieder entfernen.

#Benutzer aus der Gruppe sshuser entfernen
sudo deluser <Benutzer> sshuser

Die Benutzer der Gruppe sshuser, könnt Ihr Euch wie folgt anzeigen lassen.

#Benutzer der Gruppe sshuser anzeigen
getent group | grep sshuser


Das Hinzufügen der Gruppe zur SSH-Konfiguration erfolgt in der Datei /etc/ssh/sshd-config.
Mehrere Gruppen werden mit Leerzeichen voneinander getrennt.

#Erlaube folgenden Gruppen den SSH-Zugriff
AllowGroups sshuser

Um die Änderungen zu aktivieren, starten wir den SSH-Dienst neu.

service ssh restart


Nach dieser Änderung ist ein Login via SSH nur noch Mitglieder der Gruppe sshuser* möglich und Ihr habt erst einmal die Sicherheit, dass sich kein unbefugter User am System via SSH anmelden kann.

Achtet darauf, dass Ihr Euren Benutzer vorher der neu angelegten SSH-Gruppe sshuser hinzufügt, sonst sperrt Ihr Euch selbst aus dem System aus!


Euer RSB

—-

Wir haben die hier gezeigten Anleitung sorgfältig erstellt und in unserer Testumgebungen ausgiebig getestet.
Wer sich entschließt diese Anleitungen für sich selbst umzusetzen, führt diese auf eigene Verantwortung durch.
Der Ersteller des Artikels, sowie der Seitenbetreiber, haftet nicht für eventuelle Schäden an Hard- und/oder Software oder damit zusammenhängenden Schäden\\

2021/03/06 23:11 · rsb

—- ~~DISCUSSION~~

  • wiki/linux/security/linux-ssh-zugriff-einschraenken.txt
  • Zuletzt geändert: 2021/06/08 10:37
  • von rsb