SSH (Secure Shell) ist ein sicheres Protokoll für den Fernzugriff auf und die Fernverwaltung von Linux-Servern. Es ermöglicht verschlüsselte Kommunikation und gewährleistet die Sicherheit der zwischen Client und Server übertragenen Daten. SSH ist ein grundlegendes Tool für Systemadministratoren und Entwickler, mit dem sie verschiedene Aufgaben wie das Ausführen von Befehlen, das Übertragen von Dateien und die sichere Verwaltung von Netzwerkdiensten über ein ungesichertes Netzwerk ausführen können.
Um SSH unter Rocky Linux 9 oder 8 einzurichten, können Sie einen unkomplizierten Installationsprozess mit den Standard-Repositorys durchführen. Diese Anleitung führt Sie durch die Installationsschritte und gibt Tipps zur Erstkonfiguration, um Sicherheit und Benutzerfreundlichkeit zu verbessern.
Aktualisieren Sie Rocky Linux vor der SSH-Installation
Bevor Sie SSH auf Rocky Linux installieren und konfigurieren, müssen Sie unbedingt sicherstellen, dass die Pakete Ihres Systems aktuell sind. Dies garantiert nicht nur einen reibungsloseren Betrieb, sondern minimiert auch potenzielle Softwarekonflikte.
Um Ihr Rocky Linux-System zu aktualisieren, verwenden Sie den Befehl:
sudo dnf upgrade --refresh
Installieren Sie SSH über den DNF-Befehl
Im nächsten Schritt überprüfen Sie, ob der OpenSSH-Server bereits auf Ihrem Rocky Linux-System vorhanden ist. Dies können Sie durch Ausführen des folgenden Befehls feststellen:
rpm -qa | grep openssh-server
Dieser Befehl gibt eine relevante Ausgabe zurück, wenn der OpenSSH-Server installiert ist. Wenn keine Ausgabe erfolgt, weist dies darauf hin, dass der OpenSSH-Server auf Ihrem System nicht vorhanden ist. Um dieses Problem zu beheben und den OpenSSH-Server zu installieren, verwenden Sie den folgenden Befehl:
sudo dnf install openssh-server
SSH-Dienst (SSHD) aktivieren
Nach der erfolgreichen Installation des OpenSSH-Servers ist es zwingend erforderlich, den SSHD-Dienst im systemd-Framework zu aktivieren. Dadurch wird sichergestellt, dass der SSH-Daemon nach jedem Systemneustart automatisch initialisiert wird. Führen Sie dazu den folgenden Befehl aus:
sudo systemctl enable sshd
Wenn der SSHD-Dienst jetzt auf Autostart eingestellt ist, können Sie den SSH-Server manuell starten mit:
sudo systemctl start sshd
Zur Überprüfung und um sicherzustellen, dass der SSH-Server ohne Probleme läuft, können Sie seinen Status wie folgt prüfen:
sudo systemctl status sshd
Um zu bestätigen, dass der Standardport (22) jetzt aktiv auf eingehende SSH-Verbindungen wartet, führen Sie Folgendes aus:
sudo ss -lt
Verbinden Sie sich mit einem Remote-Server über SSH unter Rocky Linux 9 oder 8
Wenn SSH auf Ihrem Rocky Linux-System richtig eingerichtet ist, können Sie jetzt Verbindungen zu Remote-Servern herstellen. Hier ist eine detaillierte Aufschlüsselung, wie Sie SSH für verschiedene Verbindungsszenarien nutzen können:
Herstellen einer Verbindung mithilfe der Kennwortauthentifizierung mit SSH unter Rocky Linux
Um eine Verbindung zu einem Remote-Server über SSH mit kennwortbasierter Authentifizierung herzustellen, verwenden Sie den folgenden Befehl:
ssh username@remote_server
Ersetzen Sie hier „Benutzername“ durch Ihren tatsächlichen Benutzernamen und „Remote_Server“ durch die IP-Adresse oder den Hostnamen des gewünschten Remote-Servers. Bei der Ausführung werden Sie aufgefordert, Ihr Passwort zur Authentifizierung einzugeben.
Herstellen einer Verbindung mithilfe der Public-Key-Authentifizierung mit SSH
SSH bietet Public-Key-Authentifizierung für diejenigen, die eine sicherere Verbindungsmethode bevorzugen. Um eine Verbindung mit dieser Methode herzustellen, lautet der Befehl:
ssh -i /path/to/private_key username@remote_server
Ersetzen Sie in diesem Befehl „/Pfad/zu/private_Schlüssel“ durch den Pfad, der zu Ihrer privaten Schlüsseldatei führt. Ersetzen Sie in ähnlicher Weise „Benutzername“ durch Ihren Benutzernamen und „Remote_Server“ durch die IP-Adresse oder den Hostnamen des Remote-Servers. Bei dieser Methode ist keine Kennworteingabe erforderlich, sondern die Authentifizierung erfolgt über den bereitgestellten privaten Schlüssel.
Festlegen eines alternativen Ports für die Verbindung mit SSH
Während SSH standardmäßig Port 22 für Verbindungen verwendet, können einige Remote-Server andere Ports verwenden. Um während der Verbindung einen alternativen Port anzugeben, verwenden Sie:
ssh -p 2222 username@remote_server
Ersetzen Sie in diesem Beispiel „2222“ durch die Portnummer, die der Remote-Server verwendet.
Sicherer Dateitransfer mit SCP mit SSH
SCP oder Secure Copy ist ein leistungsstarkes Befehlszeilenprogramm, das die sichere Übertragung von Dateien zwischen Systemen über SSH ermöglicht. Um eine Datei von Ihrem lokalen Rocky Linux-System auf einen Remote-Server zu übertragen, lautet der Befehl:
scp /path/to/local/file username@remote_server:/path/to/remote/directory
Ersetzen Sie „/Pfad/zur/lokalen/Datei“ durch den Dateipfad, den Sie übertragen möchten. Passen Sie „Benutzername“ entsprechend an Ihren Benutzernamen, „Remote_Server“ an die IP-Adresse oder den Hostnamen des Remote-Servers und „/Pfad/zum/Remote-Verzeichnis“ an den Verzeichnispfad auf dem Remote-Server an, in dem Sie die übertragene Datei ablegen möchten.
SSH unter Rocky Linux konfigurieren
Durch die Optimierung der SSH-Konfiguration können Sie die Sicherheit und Leistung Ihres Servers verbessern. Die SSH-Konfigurationsdatei unter /etc/ssh/sshd_config enthält verschiedene Parameter, die an spezifische Anforderungen angepasst werden können. Die folgenden Konfigurationen sind zwar nur Beispiele, können aber je nach Server- oder Desktop-Konfiguration von Vorteil sein.
Deaktivieren der GSSAPI-Authentifizierung für SSH
Die GSSAPI-Authentifizierung ist zwar hilfreich, kann aber manchmal zu Verzögerungen beim Aufbau einer SSH-Verbindung führen. Um dies zu vermeiden, können Sie sie deaktivieren, indem Sie die folgende Zeile an die SSH-Konfigurationsdatei anhängen:
GSSAPIAuthentication no
Ändern von SSH-Sitzungstimeouts für SSH
Durch Anpassen der Sitzungszeitüberschreitungen können inaktive SSH-Sitzungen besser verwaltet werden. Um den Server so einzustellen, dass er alle 5 Minuten eine Keep-Alive-Nachricht sendet und die Sitzung beendet, wenn zwei aufeinanderfolgende Nachrichten unbeantwortet bleiben, fügen Sie Folgendes hinzu:
ClientAliveInterval 300
ClientAliveCountMax 2
Root-Login für SSH verbieten
Zur Erhöhung der Sicherheit, insbesondere gegen Brute-Force-Angriffe, ist es ratsam, den Root-Login zu deaktivieren. Dies kann folgendermaßen erreicht werden:
PermitRootLogin no
Implementieren der Public-Key-Authentifizierung für SSH
Die Authentifizierung mit öffentlichem Schlüssel bietet eine sicherere Alternative zu passwortbasierten Methoden. Um dies einzurichten, müssen Sie zunächst ein neues SSH-Schlüsselpaar generieren:
ssh-keygen -t rsa -b 4096
Als nächstes übertragen Sie den öffentlichen Schlüssel auf den gewünschten Remote-Server:
ssh-copy-id user@remote_server
Stellen Sie sicher, dass Sie „user“ durch Ihren Benutzernamen und „remote_server“ durch die entsprechende IP-Adresse oder den Hostnamen ersetzen. Aktivieren Sie abschließend die Public-Key-Authentifizierung in der SSH-Konfiguration:
PubkeyAuthentication yes
Einschränken des SSH-Zugriffs für SSH
Sie können den SSH-Zugriff für zusätzliche Sicherheit auf bestimmte Benutzer oder Gruppen beschränken. Um dies umzusetzen, fügen Sie Folgendes hinzu:
AllowUsers user1 user2
AllowGroups group1 group2
Ersetzen Sie die Platzhalter durch die tatsächlichen Benutzernamen oder Gruppennamen, denen Sie Zugriff gewähren möchten.
Ändern des SSH-Ports für SSH
SSH arbeitet standardmäßig auf Port 22. Da dieser Port bekannt ist, kann eine Änderung dieses Ports unbefugte Zugriffsversuche verhindern. Um einen neuen Port zuzuweisen, verwenden Sie:
Port <port_number>
Es empfiehlt sich, eine Portnummer zwischen 1024 und 65535 auszuwählen, die nicht von einem anderen Dienst belegt ist.
Sicheres SSH mit Firewalld
Stellen Sie einen unterbrechungsfreien Zugriff sicher, wenn Sie mit einem VPS oder einer Remote-Serverumgebung arbeiten. Bevor Sie Änderungen an Firewalld vornehmen, insbesondere wenn Sie remote auf das System zugreifen, müssen Sie Ihre IP-Adresse unbedingt auf die Whitelist setzen. Andernfalls kann es passieren, dass Sie nach dem Anwenden der Firewall-Änderungen versehentlich vom Server ausgesperrt werden.
Um Ihre IP-Adresse in Firewalld auf die Whitelist zu setzen, verwenden Sie den folgenden Befehl:
sudo firewall-cmd --permanent --add-source=<your_ip_address>
Ersetzen mit Ihrer tatsächlichen IP-Adresse.
Sobald Ihre IP-Adresse auf der Whitelist steht, können Sie den SSH-Dienst sicher in Firewalld integrieren:
sudo firewall-cmd --add-service=ssh --permanent
Nachdem Sie die erforderlichen Anpassungen vorgenommen haben, wenden Sie die neue Firewalld-Konfiguration an:
sudo firewall-cmd --reload
Um die Einbindung des SSH-Dienstes in Firewalld zu überprüfen, führen Sie Folgendes aus:
sudo firewall-cmd --list-services | grep ssh
Dieser Befehl bestätigt, ob der SSH-Dienst ordnungsgemäß durch die Firewall zugelassen ist, und stellt sicher, dass Ihre Remoteverbindungen sicher und zugänglich bleiben.
Abschluss
Wenn SSH erfolgreich auf Ihrem Rocky Linux-System installiert und konfiguriert ist, können Sie Ihren Server sicher aus der Ferne verwalten. Aktualisieren Sie Ihre SSH-Konfigurationen regelmäßig und wenden Sie bewährte Methoden an, um die Sicherheit aufrechtzuerhalten. Indem Sie die Tipps zur Ersteinrichtung befolgen, sorgen Sie für eine sicherere und effizientere Fernverwaltung. Profitieren Sie von den robusten Funktionen, die SSH für eine sichere Serververwaltung bietet.