SSH Root Login unter Debian verbieten
Wenn Sie direkten SSH Root Login unter Debian verbieten wollen, benötigen Sie neben dem Root Benutzer mindestens einen weiteren Benutzer, der sich am Server anmelden darf. Mit diesem Benutzer wechseln Sie dann zum Root Account.
ACHTUNG: Wenn Sie keinen weiteren Benutzer angelegt haben, sperren Sie sich selbst vom System aus!
PermitRootLogin no
Editieren Sie die Datei /etc/ssh/sshd_config und setzen Sie
PermitRootLogin yes
auf
PermitRootLogin no
Starten Sie anschließend den SSH Dienst neu
/etc/init.d/ssh restart (alternativ: service ssh restart)
Nun darf sich Benutzer Root nicht mehr direkt am System anmelden. Sie melden sich ganz normal mit einem Benutzer an und wechseln dann mit
su
in den Root Account.
AllowGroups
Mit dem AllowGroups Parameter können Sie zusätzlich eingrenzen, welche Benutzer sich per SSH einloggen dürfen.
Auszug aus man sshd_config
dazu:
- AllowGroups
- This keyword can be followed by a list of group name patterns, separated by spaces. If specified, login is allowed only for users whose primary group or supplementary group list matches one of the patterns. Only group names are valid; a numerical group ID is not recognized. By default, login is allowed for all groups. The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.
Zur Erstellung einer Gruppe mit dem Namen sshusers und ergänzen eines Benutzers in diese Gruppe führen Sie als Root Benutzer folgende Kommandos aus:
addgroup --system sshusers adduser xyz sshusers
Anschließend konfigurieren Sie in /etc/ssh/sshd_config folgende Optionen:
LoginGraceTime 30 AllowGroups sshusers PermitRootLogin no StrictModes yes
Starten Sie anschließend den SSH Dienst neu
/etc/init.d/ssh restart
Weitere Absicherung des SSH Servers
Weitere Informationen zur Absicherung eines SSH Servers finden Sie in folgenden Artikeln: