Den SSH-Port in Linux ändern: Schritt-für-Schritt-Anleitung

Wenn Sie die Sicherheit Ihres Servers verbessern möchten, sollten Sie den SSH-Port von seinem Standardwert ändern. Der Standard-Port ist allgemein bekannt und stellt damit ein Sicherheitsrisiko dar, das Sie sich nicht leisten können. Um den Vorgang so einfach wie möglich zu gestalten, bieten wir eine Schritt-für-Schritt-Anleitung, die erklärt, wie Sie den SSH-Port in Linux ändern. Die Einführung enthält grundlegende Informationen zum SSH-Protokoll und warum es für Ihre Serversicherheit wichtig ist. Sie können diesen Teil natürlich überspringen und direkt mit dem Tutorial beginnen.

Was ist SSH?

Die Secure SHell Protocol (SSH) ist ein Sicherheitsprotokoll, das es Ihnen und anderen Benutzern ermöglicht, über ein unsicheres Netzwerk (wie das Internet) eine verschlüsselte Verbindung zu einem Server herzustellen. Das wird unverzichtbar, sobald Sie einen Server betreiben möchten, ob VPS oder Dedicated Server. Sie müssen sich von Ihrem Laptop aus mit dem Server verbinden, und diese Verbindung läuft über das Internet. Das Internet ist bekanntermaßen keine sichere Umgebung, weshalb Sie Ihre Verbindung nicht ungeschützt lassen sollten. Deshalb bringt das Secure SHell Protocol auch nützliche Werkzeuge zur Absicherung des Servers mit, darunter Tools für Passwort- und Schlüsselauthentifizierung. 

Warum ist die SSH-Sicherheit wichtig?

Bei einem Dedicated Server oder einem VPS erhalten Sie vollen Root-Zugriff auf das System. Das bedeutet, Sie können das SSH-Protokoll nutzen, um sich remote mit dem Server zu verbinden und alle nötigen Konfigurationen vorzunehmen. SSH unterstützt keine grafische Oberfläche und bietet nur ein Command-Line Interface, ist aber trotzdem die wichtigste Methode zur Serververwaltung. Wie alle netzwerkbasierten Dienste verwendet SSH einen Standard-Port. Da der SSH-Port schwieriger zu ändern ist als bei anderen Protokollen wie VNC, verzichten viele Benutzer darauf. Das erleichtert Angreifern und Schadsoftware den Zugang zum Server, weil der Ziel-Port bekannt ist. Es lohnt sich also, den Standard-SSH-Port ein für alle Mal zu ändern. Mit dieser Anleitung gelingt das schnell und ohne großen Aufwand. 

So änderst du den Port in Linux

In diesem Tutorial verwenden wir das Linux-Terminal zur Eingabe der benötigten Befehle. Die Screenshots stammen von Fedora Server 34, die meisten Befehle funktionieren jedoch für alle gängigen Linux-Distributionen. Wo distributionsspezifische Befehle erforderlich sind, werden diese gesondert aufgeführt. Um diese Schritte durchzuführen, müssen Sie per VNC oder SSH an Ihrem Server angemeldet sein. Damit zur eigentlichen Umsetzung.

Schritt 1: Terminal öffnen

Zunächst müssen wir das Terminal öffnen. Wenn Sie SSH verwenden, arbeiten Sie standardmäßig im Terminal. Bei einem Remote-Desktop-Protokoll wie VNC öffnen Sie das Terminal mit der Tastenkombination Ctrl+Alt+T oder über das Anwendungsmenü in allen Linux-Distributionen. 

Mehr dazu: SSH-Schlüssel unter Windows 10 generieren

Schritt 2: SSH-Konfigurationsdatei bearbeiten

Als nächstes verwenden wir den Nano-Texteditor. Nano ermöglicht das Bearbeiten von Dateien direkt über die CLI und eignet sich damit ideal für SSH-Verbindungen. Nano ist standardmäßig installiert. Falls nicht, finden Sie im Anhang die entsprechenden Installationsbefehle. Wir nutzen den Editor, um die SSH-Konfigurationsdatei zu bearbeiten: /etc/ssh/sshd_config (bei einer Remote-Desktop-Verbindung können Sie auch Ihren bevorzugten Texteditor verwenden). Geben Sie dazu folgenden Befehl ein:

sudo nano /etc/ssh/sshd_config

Scrollen Sie nun nach unten, bis Sie das Port-Attribut finden:

Schritt 3: (Optional) Port SSH aus Sicherheitsgründen ändern

Wie zu sehen ist, ist der Standard-Port als 22 eingetragen, und das # davor bedeutet, dass diese Zeile auskommentiert ist. Um Änderungen vorzunehmen, müssen Sie das # entfernen, um die Zeile zu aktivieren. Manche Benutzer verwenden SSH-Port 443, der normalerweise für SSL-Verschlüsselung reserviert ist, um potenzielle Angreifer zu verwirren. Angenommen, Sie möchten den SSH-Port auf 3333 ändern: Nehmen Sie dazu folgende Anpassung vor:

From:

#Port 22







To:

Port 3333

Stellen Sie sicher, dass kein # vor dem Wort Port. Presse Ctrl+O um die vorgenommenen Änderungen zu speichern und Ctrl+X um den Editor zu beenden. 

Mehr dazu: Telnet vs. SSH

Schritt 4: SSHD-Dienst neu starten, um die Änderungen zu übernehmen

Du hast die SSH-Einstellungen fertig konfiguriert. Damit die Änderungen wirksam werden, musst du den SSHD-Dienst neu starten, der für SSH-Verbindungen zuständig ist. Führe dazu folgenden Befehl aus:

sudo systemctl reload sshd

Schritt 5: Firewall konfigurieren

Bevor Sie die verbesserte Serversicherheit nutzen können, müssen Sie Ihre Firewall so konfigurieren, dass der neue Port SSH nicht länger blockiert wird. Hier kommen die distributionsspezifischen Befehle ins Spiel, da verschiedene Distributionen unterschiedliche Standard-Firewalls verwenden. 

SSH-Port unter CentOS/RHEL/Fedora ändern

Die meisten RHEL-basierten Distributionen, wie CentOS, verwenden ein Sicherheitsmodul namens SELinux (Security-Enhanced Linux), das unter anderem als Firewall fungiert. Bevor du jedoch weitermachst, solltest du zunächst prüfen, ob SELinux überhaupt aktiviert ist. Führe dazu folgenden Befehl aus

sudo sestatus

Wenn Sie etwas wie das Folgende sehen, wobei die erste Zeile lautet SELinux-Status: aktiviert müssen Sie die folgenden Schritte durchführen. Andernfalls können Sie diesen Teil überspringen und direkt zum letzten Schritt wechseln hier.

Jetzt, da wir bestätigt haben, dass SELinux aktiviert ist, verwenden wir die semanage Paket. Falls es deaktiviert war, kannst du mit dieser Anleitung SELinux schnell aktivieren. Verwende den folgenden Befehl, um den gewählten Port zur Liste der SSH-Ports von SELinux hinzuzufügen (in diesem Beispiel 3333):

sudo semanage port -a -t ssh_port_t -p tcp 3333

Jetzt müssen wir die Firewall anweisen, Port 3333 zur öffentlichen Zone hinzuzufügen - das ist der registrierte Bereich für offene Portnummern:

sudo firewall-cmd --zone=public --add-port=3333/tcp --permanent

Jetzt muss nur noch der Firewall-Dienst neu gestartet werden, damit die Änderungen wirksam werden:

sudo firewall-cmd --reload

Das war's für die Änderung des CentOS SSH-Ports. Sie können den neuen Port unten testen.

Mehr dazu:  Bester SSH Client für Windows im Jahr 2022

SSH-Port unter Ubuntu/Debian/Kali ändern

Bei Ubuntu und einigen anderen auf Debian basierenden Distributionen ist die UFW-Firewall standardmäßig installiert und aktiv. Mit folgendem Befehl lässt sich das überprüfen – gib ihn wie die vorherigen Befehle ins Terminal ein:

sudo ufw allow 2222/tcp

Das war's zur Änderung des Ubuntu-Ports SSH. Jetzt testen wir die Verbindung mit dem neuen Port.

Den neuen SSH-Port testen

 

Um zu überprüfen, ob die Port-Weiterleitung korrekt funktioniert hat, führen wir einen kurzen Test durch. Falls du bisher mit SSH gearbeitet hast, beende zunächst die aktuelle Sitzung, indem du die Shell schließt. Öffne anschließend ein Terminal auf deinem Client und gib folgenden Befehl ein, um eine SSH-Verbindung herzustellen:

shh 00.00.00.00 -p 3333

Ersetze dabei 00.00.00 durch die korrekte IP-Adresse deines Servers. Diese findest du im Control Panel auf der Website deines Anbieters.

Weitere Sicherheitsmaßnahmen

Damit sind die wichtigsten Maßnahmen zur Absicherung deines SSH-Servers abgedeckt - doch es gibt immer noch mehr zu tun. Die Arbeit eines Administrators an der Serversicherheit ist nie vollständig abgeschlossen. Weitere Schritte wären zum Beispiel das Deaktivieren des Root-Zugangs oder das Festlegen stärkerer Passwörter. Den größten Einfluss auf die Serversicherheit hat jedoch der Hosting-Anbieter selbst - die Wahl des richtigen Partners ist daher entscheidend. Deshalb betreibt Cloudzy seine Linux VPS Server auf besonders gesicherten Maschinen mit hardware- und KI-basierten Firewalls, intelligentem DDoS-Schutz und weiteren proprietären Sicherheitsmechanismen. Verlass dich auf zuverlässigen Schutz und hol dir jetzt eine sichere Linux VPS Lösung von Cloudzy .