SSH Portadresse ändern

Hat man die von SSH standardmäßig genutzte Portadresse 22 im Router freigeschaltet, wird man schnell feststellen, das man jede Menge "Besucher" hat, welche – meist vollautomatisiert – versuchen, Zugang zum Pi zu bekommen. Wie man sowas feststellt schreibe ich bei Gelegenheit in einem anderen Beitrag.

Eine sehr einfache und effektive Maßnahme ist, den SSH Port auf eine andere "Hausnummer" zu legen oder für die Routerfreischaltung eine zusätzliche Portnummer einzutragen. Ich habe bei mir letzteres gemacht.


Dazu erst einmal die SSH Konfiguration in den Editor laden:

dort die Zeile

suchen und darunter einfach

schreiben. Das sieht dann so aus:
SSH mit Putty
Diese Vorgehensweise hat den Vorteil, dass man in seinem eigenen Netzwerk nichts ändern muss, lediglich Zugriffe aus dem Internet (z.B. via Putty oder WinSCP) müssen die neue Portadresse benutzen. Wer nur eine SSH Portadresse haben will, der kann die Original Portzeile mit einem # auskommentieren.
Voraussetzung ist natürlich, dass diese Portadresse im Router freigeschaltet ist. Für eine Fritzbox ist das im Beitrag Dynamische IP Adresse mit Bordmitteln beschreiben.

Welche Portadresse kann ich überhaupt nehmen?

Im Prinzip jede Portadresse, die noch frei ist bzw. die nicht benutzt wird. Dazu gibt es eine Übersicht in Wikipedia. Dort eine noch nicht belegte Portnummer auswählen. Natürlich kann man auch einen bereits belegten Port nehmen, in diesem Beispiel liegt auf Port 2000 ein Produkt namens "Cisco SCCP (Skinny)". Da ich das nicht benutze, kann ich auch diese Portadresse nehmen.

Nachdem ihr die sshd_config Datei abgeändert habt, wieder mit Strg+X speichern und den Editor beenden.

Bei mir sind die "wilden" Zugriffe von mehreren hundert pro Tag auf nahezu null zurück gegangen.

Geht noch mehr?

ja klar, zum Beispiel findet ihr eine sehr aufschlussreiche Anleitung zum Absichern eures Pi bei Jan Karres. Welche Hinweise ihr davon umsetzt, bleibt euch überlassen. Die dort beschriebene Fail2Ban Lösung würde ich in jedem Fall einbauen.

4 Gedanken zu „SSH Portadresse ändern

  1. Zitat von oben:
    "Hat man die von SSH standardmäßig genutzte Portadresse 22 im Router freigeschaltet, wird man schnell feststellen, das man jede Menge “Besucher” hat, welche – meist vollautomatisiert – versuchen, Zugang zum Pi zu bekommen. Wie man sowas feststellt schreibe ich bei Gelegenheit in einem anderen Beitrag."

    Wo finde ich den erwähnten Beitrag?

    1. Huh…. Alte Sünden. Den versprochenen Beitrag habe ich wohl nie geschrieben. Im Prinzip steht das in der Datei /var/log/auth.log, die man mit geeigneten grep Befehl durchforstet: cat auth.log|grep "invalid user"
      In jedem Fall solltest du das Tool fail2ban installieren, das solcherlei User bzw. IP Adressen aussperrt. Da muss man sich aber etwas einlesen. Es gibt aber so viele Beiträge im Internet dazu, dass ich da nichts dazu verfasst habe. Bei Interesse kann ich dir meine "Jail" Datei schicken, mit der ich fail2ban konfiguriert und meinen Server abgesichert habe. Aufgrund des Blogs kommen natürlich auch viele Angriffe auf der Apache Webserverseite an.
      VG
      Chris

        1. Mein Artikel hat schon fast 10 Jahre auf dem Buckel… (Kaum zu glauben, wie lange ich das Blog schon betreibe) Der Artikel von Jan Karres ist noch älter aber verfügbar.
          Sicherheitshalber auch mal neuere Infos ansehen. Fail2Ban ist m.E. immer noch die erste Adresse zum Absichern des Servers.
          VG
          Chris

Schreibe einen Kommentar

Ich freue mich über Lob und Kritik.
Falls du Probleme mit der hier vorgestellten Anleitung hast und nicht weiter kommst:
Bitte das Problem oder die Fehlermeldung(en) möglichst genau beschreiben, auch an welcher Stelle (z.B. in welchem Node oder Befehl) und unter welchen Umständen der Fehler auftritt.
Gerne kannst du mir auch ein Mail schreiben. Die Adresse findest du im Impressum.
Ich gebe mir viel Mühe, meinen Lesern weiterzuhelfen. Je konkreter du bist, desto einfacher und schneller kann ich versuchen zu helfen.
Deine E-Mail-Adresse wird nicht veröffentlicht.
Erforderliche Felder sind mit * markiert