SSH Root Login unter Debian verbieten

  • Wenn du direkten SSH Root Login unter Debian verbieten willst, benötigst du neben dem Root Benutzer mindestens einen weiteren Benutzer, der sich am Server anmelden darf. Mit diesem Benutzer wechselst du dann zum Root Account.

    ACHTUNG: Wenn du keinen weiteren Benutzer angelegt hast, sperrst du dich selbst vom System aus!

    1. PermitRootLogin no

    Editiere die Datei /etc/ssh/sshd_config und setze


    PermitRootLogin yes

    auf

    PermitRootLogin no


    Starte anschließend den SSH Dienst neu:

    /etc/init.d/ssh restart (alternativ: service ssh restart)


    Nun darf sich Benutzer Root nicht mehr direkt am System anmelden. Du meldest dich ganz normal mit einem Benutzer an und wechselst dann mit

    su

    in den Root Account.

    2. AllowGroups

    Mit dem AllowGroups Parameter kannst du zusätzlich eingrenzen, welche Benutzer sich per SSH einloggen dürfen.


    Zitat von man sshd_config

    AllowGroups

    This keyword can be followed by a list of group name patterns, separated by spaces. If specified, login is allowed only for users whose primary group or supplementary group list matches one of the patterns. Only group names are valid; a numerical group ID is not recognized. By default, login is allowed for all groups. The allow/deny directives are processed in the following order: DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.


    Zur Erstellung einer Gruppe mit dem Namen sshusers und ergänzen eines Benutzers in diese Gruppe, führst du als Root Benutzer folgende Kommandos aus:

    Code
    1. addgroup --system sshusers
    2. adduser xyz sshusers


    Anschließend konfigurierst du in /etc/ssh/sshd_config folgende Optionen:


    Code
    1. LoginGraceTime 30
    2. AllowGroups sshusers
    3. PermitRootLogin no
    4. StrictModes yes

    Starte anschließend den SSH Dienst neu

    /etc/init.d/ssh restart

Teilen