Gehe direkt ins Gefängnis, gehe nicht über LOS

Das Netz ist voller Tipps zur Absicherung von SSH-Zugängen. Die Bandbreite reicht von SSH-Schlüsseln, Zwei-Faktor-Authentifizierung nach RFC 62381 bis zu drei Faktoren für alle mit Security-Fetisch. An der Praxis gehen diese gutgemeinten Vorschläge mitunter vorbei. Hier helfen andere Konzepte und Instrumente. Best-Practice für Ports im Allgemeinen und SSH-Ports im Besonderen: Keine offenen Ports im öffentlichen Internet anbieten. Eine Begrenzung auf ein Firmen-IP-Segment oder einzelne Jump-Server2 oder alternativ auch ein Port-Knocking3 ist die erste und meist auch beste Basis-Absicherung. Ein Blick in Shodan auf die 1.3 Mio Hosts aus Deutschland mit offenem Port 22 zeigt, dass dieses nicht von allen beherzigt wird4. Unverständlich und fahrlässig besonders bei Unternehmen mit Business-Anschlüssen und festen IPs. Read more