SSH Root Login unter Debian verbieten

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche

Wenn Sie direkten SSH Root Login unter Debian verbieten wollen, benötigen Sie neben dem Root Benutzer mindestens einen weiteren Benutzer, der sich am Server anmelden darf. Mit diesem Benutzer wechseln Sie dann zum Root Account.

ACHTUNG: Wenn Sie keinen weiteren Benutzer angelegt haben, sperren Sie sich selbst vom System aus!

PermitRootLogin no

Editieren Sie die Datei /etc/ssh/sshd_config und setzen Sie

PermitRootLogin yes

auf

PermitRootLogin no

Starten Sie anschließend den SSH Dienst neu

/etc/init.d/ssh restart (alternativ: service ssh restart)

Nun darf sich Benutzer Root nicht mehr direkt am System anmelden. Sie melden sich ganz normal mit einem Benutzer an und wechseln dann mit

su

in den Root Account.

AllowGroups

Mit dem AllowGroups Parameter können Sie zusätzlich eingrenzen, welche Benutzer sich per SSH einloggen dürfen.

Auszug aus man sshd_config dazu:

AllowGroups
This keyword can be followed by a list of group name patterns, separated by spaces. If specified, login is allowed only for users whose primary group or supplementary group list matches one of the patterns. Only group names are valid; a numerical group ID is not recognized. By default, login is allowed for all groups. The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.

Zur Erstellung einer Gruppe mit dem Namen sshusers und ergänzen eines Benutzers in diese Gruppe führen Sie als Root Benutzer folgende Kommandos aus:

addgroup --system sshusers
adduser xyz sshusers

Anschließend konfigurieren Sie in /etc/ssh/sshd_config folgende Optionen:

LoginGraceTime 30
AllowGroups sshusers
PermitRootLogin no
StrictModes yes

Starten Sie anschließend den SSH Dienst neu

/etc/init.d/ssh restart

Weitere Absicherung des SSH Servers

Weitere Informationen zur Absicherung eines SSH Servers finden Sie in folgenden Artikeln:

Das könnte Sie auch interessieren

Debian GNU/Linux
Debian Hardwarekompatibilität
Vim Fehler "E319: Sorry, the command is not available in this version" beheben