Damit Unbefugte keinen allzu leichten Zugriff auf das System bekommen, müssen einige Einstellungen vorgenommen und Zusatztools installiert und konfiguriert werden.
- fail2ban Installieren
apt-get install fail2ban - fail2ban konfigurieren
- Öffen der Jail-Konfigurationsdatei
nano /etc/fail2ban/jail.conf - ssh Einstellungen
suche nach [sshd] unterhalb von JAILS
- Aktivieren
enabled = true - Port
port = ssh - Filter
filter = sshd - Log Pfad
logpath = %(sshd_log)s - backend = %(sshd_backend)s
- Max. Versuche für das Einloggen bevor die IP-Adresse gesperrt wird
maxretry = 4 - Wie lange wird die IP-Adresse gesperrt in Sekunden
bantime = 172800
- Aktivieren
- fail2ban neustarten
service fail2ban restart
- Öffen der Jail-Konfigurationsdatei
- Firewall UFW installieren
apt-get install ufw - Firewall konfigurieren
- Überprüfe den Status, UFW sollte deaktiviert sein
ufw status verbose - Standard Richlinien setzten
- Alle eingehenden Anfragen blocken
ufw default deny incoming - Alle ausgehenen Anfragen erlauben
ufw default allow outgoing
- Alle eingehenden Anfragen blocken
- SSH erlauben
ufw allow ssh- optional kann auch der Port angegeben werden
ufw allow 22
- optional kann auch der Port angegeben werden
- Erlaube Webseiten
- Unverschlüssel
ufw allow http - Verschlüssel
ufw allow https
- Unverschlüssel
- MySQL, falls von einem anderen Server der Zugriff benötigt wird
- Ganzes Netzwerk
ufw allow from 10.1.55.0/24 to any port 3306 - Bestimmter Server
ufw allow from 10.1.55.34 to any port 3306
- Ganzes Netzwerk
- Firewall aktivieren
ufw enable und mit y bestätigen - Firewall status nochmal prüfen
ufw status verbose
- Überprüfe den Status, UFW sollte deaktiviert sein
- rkhunter installieren
apt-get install rkhunter - known-bad-Hash-Datenbank herunterladen
rkhunter --update - E-Mail beim Login versenden
- Zusatztool finger installieren
apt-get install finger - Script ssh-login-mail.sh erstellen
#!/bin/bash
echo "Login auf $(hostname) am $(date +%Y-%m-%d) um $(date +%H:%M)"
echo "Benutzer: $USER"
echo
finger - Datei ausführbar machen
chmod 755 /opt/ssh-login-mail.sh - Profile anpassen
- Zusatztool finger installieren
- SSH-Einstellungen ändern: z.B. no root login