Eigener Webserver Teil 1: SSH absichern

Ich habe meiner Website couchpirat.de vor kurzem einen eigenen Root-Server gegönnt. Der Umzug auf den neuen Server allerdings noch einige Zeit dauern, denn es liegt noch viel Arbeit vor mir.
Wie jeder, der sich bereits mal mit einem Root- oder vServer beschäftigt hat, weiß, ist vor dem Bezug der neuen Webspace-Heimat eine Menge Konfigurationsarbeit nötig.

Da ich selbst beim einrichten des Servers über ein paar Fallstricke gestolpert bin und mir im Internet alle wichtigen Informationen mühsam zusammensuchen musste, wollte ich mal ein paar Videos für meinen YouTube-Channel erstellen und zeigen, wie man Schritt für Schritt einen fertig konfigurierten Webserver erreicht und dazu alle relevanten Informationen gebündelt an einer Stelle, hier auf meinem Blog, findet.

Wie oft die einzelnen Folgen erscheinen werden, kann ich noch sehr schwer abschätzen, da ja doch sehr viel Arbeit hinter den Videos steckt. Aber ich bemühe mich um eine gewisse Regelmäßigkeit.

Im ersten Teil dieser Reihe kümmern wir uns um einen der wichtigsten Punkte in Sache Server-Sicherheit überhaupt, den SSH-Zugang.

Der User „root“ soll sich zukünftig nicht mehr per SSH einloggen dürfen. Dafür wird ein eigener User erstellt, dem lediglich mit einem RSA-Schlüssel Zugang zum Server gewährt wird.
Bitte sehr euch dazu auch das eigens dafür erstellte Video auf meinem Kanal oder am Ende dieser Seite an (und lasst bitte auch ein Abo da ;-) ), denn diese Seite hier ist eher zur Unterstützung gedacht, um alles noch einmal chronologisch nachvollziehen zu können.

Hier wird übrigens das Serversystem Debian 9 Stretch verwendet. Die Anleitung kann natürlich auch auf Ubuntu oder andere Derivate angewendet werden. Je nach System können die Conf-Files ein wenig anders sein.

Die von mir verwendete Software:

• Betriebssystem: Debian 9 Stretch
• Terminalsoftware: MobaXterm Professional
• SFTP-Software: Filezilla

Neue Gruppe für die Nutzer des SSH-Zugangs anlegen

Einen neuen Nutzer anlegen. Am besten einen kryptischen Namen mit Buchstaben und Zahlen verwenden. Ich verwende dafür 8 Zeichen mit Zahlen, Groß- und Kleinbuchstaben.
Für das Passwort gilt natürlich das gleiche, allerdings verwende ich da immer 15 Zeichen. Am besten natürlich einen Passwortgenerator und einen Passwort Manager verwenden.

Der User muss nun noch in die neu erstellte Gruppe integriert werden.

Jetzt zum neuen User werden

In das Stammverzeichnis des Users wechseln

Im Stammverzeichnis das Verzeichnis .ssh anlegen

In das Verzeichnis .ssh wechseln

RSA-Keypaar erstellen

id_rsa.pub zu authorized_keys hinzufügen

Chmod 600 auf authorized_keys -> Eigentümer der Datei kann lesen und schreiben

Prüfen ob der Schlüssel auch in authorized_keys eingetragen wurde

Zurück in das Stammverzeichnis

Chmod 700 auf .ssh -> Eigentümer der Datei kann lesen, schreiben und ausführen

Für die nächsten Schritte brauchen wir wieder ROOT-Rechte

Bearbeiten der Datei sshd_config

Folgende Daten sollten in der Datei angepasst werden.

SSH neu starten

Damit wäre der SSH-Zugang abgesichert und man braucht sich im Regelfall keine Gedanken mehr über ungebetene Gäste auf dem eigenen System zu machen.
Grundsätzlich sei auch hier gesagt, das schwächste Glied in der Kette ist der Administrator. Bitte denkt an folgende Punkte, wenn ihr euer System einrichtet.

• Jedes erstellte Passwort ist einmalig
• Ausschließlich sichere Passwörter verwenden (Klein- und Großbuchstaben, Zahlen, Sonderzeichen, min 15 Zeichen lang)
• System immer Updaten!
• Passwörter und Key-File unbedingt sicher verwahren.

Ich hoffe, euch hat das Video und diese Übersicht geholfen und wir sehen uns im zweiten Teil. Darin geht es dann um die UFW (Uncomplicated Firewall). Bis dahin, Arrr…

MIchael, der Couchpirat

• Teil 1: SSH-Zugang absichern
• Teil 2: Uncomplicated Firewall
• Teil 3: Fail2Ban (coming soon)
• Teil 4: Apticron und LAMP