SSH hardenen op een verse Ubuntu-server
De basisinstelling van vijf minuten die ik op elke nieuwe server toepas vóór hij ook maar in de buurt van een netwerk komt.
Elke server die ik opzet krijgt dezelfde behandeling voordat hij iets nuttigs doet. Standaardinstellingen zijn handig; veilig zijn ze niet. Dit is de SSH-basis die ik er als eerste in zet.
Een drop-in-bestand, niet de hoofdconfig
Ik raak /etc/ssh/sshd_config nooit rechtstreeks aan — ik voeg een drop-in toe zodat updates mijn wijzigingen niet overschrijven:
# /etc/ssh/sshd_config.d/99-hardening.conf
PermitRootLogin no
PasswordAuthentication no
KbdInteractiveAuthentication no
X11Forwarding no
MaxAuthTries 3Valideren en herladen:
sudo sshd -t && sudo systemctl reload sshWaarom deze vier ertoe doen
- Geen root-login — dwingt een audittrail af via benoemde accounts en
sudo. - Alleen keys — maakt brute-forcen van wachtwoorden onmogelijk. Controleer dat je key werkt voordat je wachtwoorden uitschakelt.
- Geen X11-forwarding — verwijdert een aanvalsoppervlak dat je op een server bijna nooit gebruikt.
- MaxAuthTries 3 — minder gratis pogingen per verbinding.
De gouden regel: open een tweede SSH-sessie om te bevestigen dat je nog kunt inloggen vóór je de eerste sluit. Jezelf buitensluiten van een remote machine is een ervaring die je maar één keer nodig hebt.
Dat is het — een minuut werk dat de meest voorkomende deur sluit. Volgende keer: het geheel achter een firewall die enkel je managementsubnet vertrouwt.