Du hast Dir also einen eigenen Server zugelegt und fragst Dich was Du nun damit machen sollst und kannst? In diesem Beitrag erläutere ich die ersten Schritte auf dem eigenen Server. Das geht vom Login via ssh, über die Benutzerverwaltung bis hin zu ersten sicherheitsrelevanten Maßnahmen, wie dem Ändern des SSH Ports.
Login via ssh
|
1 |
ssh root@178.63.167.46 |
Das Terminal zeigt folgendes an:
|
1 2 3 |
The authenticity of host '178.63.167.46 (178.63.167.46)' can't be established. RSA key fingerprint is bd:f5:64:81:67:09:cd:be:52:86:31:3f:f3:0c:2e:32. Are you sure you want to continue connecting (yes/no)? |
Diesen Hinweis bestätigst du mit „Yes“ und gibst dann dein Root Passwort ein.
Passwort ändern (optional)
|
1 |
passwd |
Mit passwd kannst du dein Passwort ändern.
Einen neuen Benutzer erstellen
|
1 |
adduser john |
Mit adduser [username] kannst du einen neuen User anlegen. Nachdem du das Passwort für diesen User festgelegt hast, wirst du aufgefordert eine Reihe weiterer Informationen über diesen User einzugeben. Dies ist jedoch optional. Du kannst also alle Felder leer lassen.
Rechte vergeben
Bisher hat unser neuer Benutzer John noch keinerlei administrative Rechte. Um dies zu ändern, werden wir ihm in diesem Schritt root Rechte geben. Danach kann John auch Kommandos und Programme ausführen, die Root Rechte erfordern, indem er die Phrase „sudo“ seinem Kommando voranstellt.
Diese Vorgehensweise ist üblich und sinnvoll, da so in einer Vielzahl von Fällen verhindert wird, dass leichtfertig system-schädigende Befehle ausgeführt werden. Zudem werden alle Kommandos, die mit sudo ausgeführt werden in „/var/log/secure“ gelogged und können nachvollzogen werden.
|
1 |
visudo |
Mit visudo gelangst du zur sudo Konfiguration.
Suche folgende Zeilen:
|
1 2 |
# User privilege specification root ALL=(ALL:ALL) ALL |
Füge eine weitere Zeile hinzu und gib John alle Rechte:
|
1 2 3 |
# User privilege specification root ALL=(ALL:ALL) ALL john ALL=(ALL:ALL) ALL |
ctrl + x um die Datei zu verlassen. „Y“ mit Enter bestätigen, um die Datei zu speichern.
SSH konfigurieren (optional)
Nachdem wir nun erfolgreich einen neuen User angelegt haben, ist es an der Zeit uns mit dem Thema „Server Sicherheit“ zu befassen.
In einem ersten Schritt werden wir einige sicherheitsrelevante Einstellungen in der SSH Konfiguration vornehmen.
Öffne die SSH Konfigurationsdatei:
|
1 |
nano /etc/ssh/sshd_config |
SSH Port ändern
Finde folgende Zeile:
|
1 |
Port 22 |
Durch das Ändern des SSH Ports von Standardwert 22 auf einen neuen Wert (zwischen 1025 und 65536) erschweren wir nicht autorisierten Usern und Bots sich den Zugang zu unserem Server. Schreib Dir den neuen SSH Port aber am besten irgendwo auf, da auch Du ihn bei deinen zukünftigen SSH Logins angeben musst.
Root Login verbieten
Finde folgende Zeile:
|
1 |
PermitRootLogin yes |
Ändere diesen Wert von „yes“ auf „no“, um SSH Logins mit dem Root User zu verbieten. Für die Zukunft werden wir uns immer nur mit dem oben neu angelegten und mit rechten ausgestatteten Benutzer john einloggen.
User Whitelist
Füge folgende Zeile ans Ende des Dokuments:
|
1 |
AllowUsers john |
Mit „AllowUsers“ kannst du festlegen, welchen Benutzern es gestattet ist, sich via SSH einzuloggen.
SSH neu laden
|
1 |
reload ssh |
SSH wird neu geladen und die neuen Einstellungen werden wirksam.
Teste die neuen Einstellungen BEVOR du dich mit dem root User ausloggst. Andernfalls besteht die Gefahr, dass du dich auf deinem eigenen Server aussperrst.
Logge dich mit dem neuen User ein und vergiss nicht den neuen Port mit anzugeben (-p). In unserem Fall haben wir den Port 12155 gewählt.
|
1 |
ssh -p 12155 john@178.63.167.46 |
Bestätige das Login durch Eingabe des Passworts für den Benutzer John.