Wie kann man SSH im Jahr 2024 richtig sichern und härten?

tag-icon tag-icon linux ssh security openssh sshd
Wie kann man SSH im Jahr 2024 richtig sichern und härten?

Seit 1995 hat SSH, insbesondereOpenSSH-Server[1999] ist wie DNS [1985] einer dieser wesentlichen Dienste für Administratoren zur Verwaltung ihrer IT-Landschaften.

Wie kann ich einen OpenSSH-Server im Jahr 2024 richtig sichern und härten?

  • Debian 12 mitOpenSSH_9.2, OpenSSL 3.0.11 19 Sep 2023
    • Alle angewendetEmpfehlungen, hat den Standardtest bestanden, den „gehärteten“ Test jedoch nicht bestanden und sagt:
      • es mag nicht verwenden[email protected]
      • der Server nutzt 8192 Bits statt 4096(mehr ist besser?)

  • sshd_config: 
    # Ports and Addresses:
  ## it is (probably) advisable to change this to something else but nothing
  ## beyond 1024 privileged ports?
  ## https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

#Port                            = 22
#AddressFamily                   = any
#ListenAddress                   = 0.0.0.0
#ListenAddress                   = ::

Include                         = /etc/ssh/sshd_config.d/*.conf

# Logging
  ## it is disabled per default on Debian maybe because of brute force attacks
  ## spamming the logs?

SyslogFacility                  = AUTH
LogLevel                        = INFO

# Authentication:
Protocol                        = 2
StrictModes                     = yes
LoginGraceTime                  = 3m
MaxAuthTries                    = 3
ClientAliveInterval             = 300
ClientAliveCountMax             = 2

PermitRootLogin                 = no
PermitEmptyPasswords            = no
PubkeyAuthentication            = yes
KbdInteractiveAuthentication    = no
UsePAM                          = no

## not so sure about this one
ChallengeResponseAuthentication = no

## this has no effect?
PasswordAuthentication          = no

## good practice, but is it enough?
AllowUsers                      = username

X11Forwarding                   = no
PrintMotd                       = no
AcceptEnv LANG                  = LC_*
X11Forwarding                   = no

# override default of no subsystems
### Subsystem sftp                  = /usr/lib/openssh/sftp-server

# Ciphers and keying
KexAlgorithms                   = [email protected],curve25519-sha256,[email protected],gss-curve25519-sha256-,diffie-hellman-group16-sha512,gss-group16-sha512-,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha256
Ciphers                         = [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
MACs                            = [email protected],[email protected],[email protected]

Antwort1

Ihr Problem könnte das gleiche sein wie im Fehlerbericht
Unbekannter Algorithmus:[email geschützt]#228.

Wenn es dasselbe ist, dann wurde die Unterstützung dafür angeblich am 20. Dezember 2023 hinzugefügt in ssh-audit v3.1.0.

verwandte Informationen