====== SSH auf dem Server absichern unter Debian ======
//Siehe auch [[ssh]].//

===== Spickzettel =====
 
==== Root-Login auf dem Server ausschließen ====

Neuen Nutzer anlegen
> ''adduser NewUser''

Ein Passwort vergeben 
> ''passwd NewUser''

Kann ich mich als NeWUser mit dem Server verbinden?
> ''ssh NewUser@MyServer''

Falls ja, Root-Login über ssh verhindern in der /etc/ssh/sshd_config 
> ''PermitRootLogin yes''
 
SSH neu starten und austesten
> ''/etc/init.d/ssh restart''

Besser ist es aber noch, die Authentifizierung über einen SSH-Schlüssel zu nutzen.

==== SSH-Login über SSH-Key ====

SSH-Konfigurationsdatei am Server bearbeiten in der ''/etc/ssh/sshd_config''
> ''RSAAuthentification no''
> ''AuthorizedKeysFile %h/.ssh/authorized_keys''
> ''IgnoreUserKnowHosts yes''
> ''ChallengeResponseAuthentication no''
> ''PasswordAuthentification no''

Ein Schlüsselpaar auf dem lokalen Rechner erzeugen
> ''ssh-keygen -t dsa''

Den öffentlichen Schlüssel auf den Server kopieren von lokal ''~/.ssh/id_dsa.pub'' nach entfernt in den gleichen Ordner

SSH auf dem Server neu starten und Login austesten
> ''/etc/init.d/ssh restart''

===== Weiteres =====

fail2ban kann verwendet werden um Bruteforce-Attacken abzumildern, in dem nach einer konfigurierbaren Anzahl von erfolglosen Login-Versuchen die angreifende IP für eine bestimmte Dauer gesperrt wird.