SSH (Secure Shell): Sichere Remote-Verwaltung und Datenübertragung
SSH (Secure Shell) ist ein Netzwerkprotokoll, das eine verschlüsselte Verbindung zwischen einem Client und einem Server ermöglicht. Es wird hauptsächlich zur sicheren Administration von Servern, Dateiübertragung und zum Tunneln anderer Protokolle eingesetzt.
Funktionsweise und Kernmerkmale
1. Verschlüsselung und Sicherheit
- End-to-End-Verschlüsselung: Alle Daten (inklusive Passwörter) werden via Algorithmen wie AES-256 verschlüsselt.
- Authentifizierung:
- Serverauthentifizierung: Der Server identifiziert sich mit einem öffentlichen Schlüssel (Host Key).
- Clientauthentifizierung: Nutzer melden sich per Passwort oder Key-Pair (privater + öffentlicher Schlüssel).
- Datenintegrität: Prüfung mittels Hash-Verfahren (z. B. SHA-2), um Manipulationen zu erkennen.
2. Schlüsselmanagement
- Erstverbindung: Beim ersten Verbindungsaufbau wird der Server-Fingerprint angezeigt (z. B.
SHA256:Abc123...).- Best Practice: Fingerprint manuell überprüfen (z. B. per E-Mail oder physischer Dokumentation).
Schlüsselgenerierung:
ssh-keygen -t ed25519 # Generiert ein sicheres Key-Pair
SSH-Versionen: SSH-1 vs. SSH-2 vs. OpenSSH
| Version | Sicherheit | Verwendung |
|---|---|---|
| SSH-1 | Schwach (z. B. CRC32-Angriffe) | Veraltet – Nicht empfohlen |
| SSH-2 | Robust (Protokoll-Update) | Standard in modernen Systemen |
| OpenSSH | Open-Source-Implementierung von SSH-2 | Standard in Linux/Unix |
Wichtig: Deaktivieren Sie SSH-1 in der Konfiguration (/etc/ssh/sshd_config):
Protocol 2
Anwendungsfälle
1. Remote-Server-Verwaltung
Zugriff auf Linux/Unix-Server:
ssh [email protected]
2. Sichere Dateiübertragung
SFTP (SSH File Transfer Protocol):
sftp benutzer@server
SCP (Secure Copy):
scp datei.txt benutzer@server:/pfad/ziel
3. Port-Tunneling
Tunnel für unsichere Protokolle (z. B. MySQL, VNC):
ssh -L 3306:localhost:3306 benutzer@server # Leitet MySQL-Port weiter
Sicherheitsbest Practices
1. Konfigurationsoptimierung
Nutzen Sie Schlüssel-basierte Authentifizierung:
PasswordAuthentication no
Deaktivieren Sie Root-Logins:
PermitRootLogin no
2. Fail2Ban gegen Brute-Force-Angriffe
Blockiert IPs nach fehlgeschlagenen Login-Versuchen:
sudo apt install fail2ban
3. Regelmäßige Updates
Halten Sie OpenSSH und Schlüssel aktuell:
sudo apt update && sudo apt upgrade openssh-server
Grenzen und Alternativen
- SSH vs. TLS/SSL: SSH ist für Command-Line-Zugriffe optimiert, während TLS Web- und API-Kommunikation absichert.
- SSH-Alternativen:
- Mosh (Mobile Shell): Besser für instabile Verbindungen (z. B. Mobilfunk).
- Teleport: Identity-basiertes Access Management für große Infrastrukturen.
