SSH-Port-Anleitung: Sicherer Remote-Server-Zugriff

SSH erstellt einen verschlüsselten Kanal zwischen einem Client und einem Remote-Server. Während des Verbindungsaufbaus überprüft der Client den Server-Hostschlüssel, beide Seiten handeln die Verschlüsselung aus und der Benutzer authentifiziert sich mit einem Passwort, einem SSH-Schlüssel, einem Zertifikat, einem hardwaregestützten Schlüssel oder einer anderen konfigurierten Methode.

Nach der Authentifizierung kann SSH eine interaktive Shell bereitstellen, einen einzelnen Remote-Befehl ausführen, Ports weiterleiten, Dateien kopieren oder Power-Tools wie Git, rsync, Ansible und Bereitstellungspipelines nutzen. Diese Flexibilität ist der Grund, warum SSH operativ wichtig ist und weshalb die Offenlegung einer sorgfältigen Politik bedarf.

Öffnen Sie SSH, wenn Administratoren, Automatisierungstools, CI/CD-Jobs, Konfigurationsmanagement, Git-Dienste oder Break-Glass-Workflows Fernzugriff auf einen Server oder ein Gerät benötigen. Bei öffentlichen Cloud-Servern ist SSH häufig der erste verwendete Verwaltungspfad, bevor Tools auf höherer Ebene installiert werden.

Veröffentlichen Sie SSH nicht im gesamten Internet, wenn nur eine kleine Gruppe Zugriff benötigt. Bevorzugen Sie nach Möglichkeit VPN, Bastion-Hosts, Zero-Trust-Zugriff, serielle Cloud-Konsolen, Quell-IP-Zulassungslisten oder private Netzwerkkonnektivität. Wenn öffentliches SSH unvermeidbar ist, erzwingen Sie von Anfang an eine starke Authentifizierung und Überwachung.

Bevor Sie Port 22 öffnen, vergewissern Sie sich, dass sshd ausgeführt wird, die vorgesehene Schnittstelle überwacht und für das tatsächlich gewünschte Authentifizierungsmodell konfiguriert ist. Entscheiden Sie, ob Passwörter zulässig sind, welche Benutzer sich anmelden dürfen, ob die Root-Anmeldung deaktiviert ist und wie administrative Aktionen überwacht werden.

Ein Portprüfer kann bestätigen, ob TCP 22 von außerhalb Ihres Netzwerks erreichbar ist, er kann jedoch nicht nachweisen, dass sich ein Benutzer sicher anmelden kann. Verwenden Sie ssh -vvv, Serverprotokolle und Tests auf Kontoebene, um die Vertrauenswürdigkeit des Hostschlüssels, Schlüsselberechtigungen, MFA-Richtlinien, Shell-Zugriff und Sudo-Regeln zu validieren.

Installieren und aktivieren Sie auf Windows Server den OpenSSH-Server, starten Sie den SSHD-Dienst und lassen Sie eingehendes TCP 22 in der Windows Defender-Firewall zu. In der Cloud gehostete Windows-Server benötigen außerdem passende Cloud-Firewall- oder Sicherheitsgruppenregeln.

Installieren Sie unter Linux den OpenSSH-Server, überprüfen Sie sshd_config und lassen Sie TCP 22 durch die Host-Firewall wie ufw, firewalld, nftables oder iptables zu. Cloud-Instanzen erfordern außerdem, dass die Anbietersicherheitsgruppe dieselben Quellnetzwerke zulässt.

Aktivieren Sie unter macOS die Remote-Anmeldung, wenn SSH in vertrauenswürdigen Netzwerken erforderlich ist. Wenden Sie für die Internetpräsenz dieselben Kontrollen wie bei einem Server an: schlüsselbasierte Authentifizierung, Firewall-Scoping, Protokollierung und zeitnahe Updates.

Beginnen Sie mit einer externen Portprüfung anhand des öffentlichen Hostnamens oder der IP-Adresse und Port 22. Wenn das Ergebnis offen ist, ist der TCP-Pfad zu SSH erreichbar. Führen Sie dann ssh user@example.com oder ssh -vvv user@example.com aus, um den Hostschlüssel, die Authentifizierungsmethode und den Sitzungsaufbau zu überprüfen.

Bestätigen Sie auf dem Server den Listener mit ss -tlnp, netstat oder PowerShell. Wenn ein Cloud-Server beteiligt ist, vergleichen Sie die Host-Firewall-Regeln mit der Cloud-Sicherheitsgruppe, da jede Schicht SSH blockieren kann, selbst wenn die andere korrekt aussieht.

Wenn Port 22 geschlossen ist, wird sshd möglicherweise gestoppt, auf einem anderen Port installiert, nur an eine private Schnittstelle gebunden oder von der Host-Firewall blockiert. Wenn bei der Prüfung eine Zeitüberschreitung auftritt, werden Pakete möglicherweise von einer Cloud-Sicherheitsgruppe, einer Router-NAT-Regel, einem ISP-Filter, einer VPN-Richtlinie oder einer Quell-IP-Zulassungsliste verworfen.

Wenn der Port geöffnet ist, die Anmeldung jedoch fehlschlägt, überprüfen Sie den Benutzernamen, die Schlüsselberechtigungen, die Datei „authorized_keys“, die Kennwortrichtlinie, die MFA-Anforderung, die Regeln „AllowUsers“ oder „DenyUsers“, die Root-Anmeldeeinstellungen und die Serverprotokolle. Bei vielen SSH-Fehlern handelt es sich eher um Autorisierungsprobleme als um Portprobleme.

Deaktivieren Sie die Root-Anmeldung, bevorzugen Sie Schlüssel oder Zertifikate gegenüber Passwörtern, rotieren Sie Schlüssel, entfernen Sie veraltete Konten und beschränken Sie, wer eine Verbindung herstellen kann. Verwenden Sie MFA oder hardwaregestützte Schlüssel für privilegierten Zugriff und stellen Sie sicher, dass private Schlüssel durch Passphrasen oder sicheren Hardwarespeicher geschützt sind.

Reduzieren Sie die Angriffsfläche mit Quell-Zulassungslisten, Bastion-Hosts, VPN, Ratenbegrenzung, Einbruchserkennung und zeitnahen OpenSSH-Patches. Das Verschieben von SSH auf einen nicht standardmäßigen Port kann rauschende Scans reduzieren, sollte aber nur als Rauschunterdrückung und nicht als Sicherheitskontrolle betrachtet werden.