SSH-poortgids: beveiligde externe servertoegang

SSH creëert een gecodeerd kanaal tussen een client en een externe server. Tijdens het instellen van de verbinding verifieert de client de hostsleutel van de server, onderhandelen beide partijen over codering en verifieert de gebruiker zich met een wachtwoord, SSH-sleutel, certificaat, door hardware ondersteunde sleutel of een andere geconfigureerde methode.

Na authenticatie kan SSH een interactieve shell bieden, een enkele opdracht op afstand uitvoeren, poorten doorsturen, bestanden kopiëren of krachtige tools zoals Git, rsync, Ansible en implementatiepijplijnen gebruiken. Die flexibiliteit is de reden waarom SSH operationeel belangrijk is en waarom blootstelling zorgvuldig beleid vereist.

Open SSH wanneer beheerders, automatiseringstools, CI/CD-taken, configuratiebeheer, Git-services of break-glass-workflows externe toegang tot een server of apparaat nodig hebben. Voor publieke cloudservers is SSH vaak het eerste beheerpad dat wordt gebruikt voordat tools op een hoger niveau worden geïnstalleerd.

Publiceer SSH niet op het hele internet als slechts een kleine groep toegang nodig heeft. Geef indien mogelijk de voorkeur aan VPN, bastionhosts, zero-trust-toegang, seriële cloudconsoles, bron-IP-toelatingslijsten of particuliere netwerkconnectiviteit. Als openbare SSH onvermijdelijk is, dwing dan vanaf het begin sterke authenticatie en monitoring af.

Voordat u poort 22 opent, bevestigt u dat sshd actief is, op de beoogde interface luistert en is geconfigureerd voor het authenticatiemodel dat u daadwerkelijk wilt. Bepaal of wachtwoorden zijn toegestaan, welke gebruikers mogen inloggen, of root-login is uitgeschakeld en hoe administratieve acties worden gecontroleerd.

Een poortchecker kan bevestigen of TCP 22 bereikbaar is van buiten uw netwerk, maar kan niet bewijzen dat een gebruiker veilig kan inloggen. Gebruik ssh -vvv, serverlogboeken en tests op accountniveau om het vertrouwen in de hostsleutel, sleutelmachtigingen, MFA-beleid, shell-toegang en sudo-regels te valideren.

Installeer en schakel OpenSSH Server op Windows Server in, start de sshd-service en sta inkomende TCP 22 toe in Windows Defender Firewall. In de cloud gehoste Windows-servers hebben ook bijpassende cloudfirewall- of beveiligingsgroepregels nodig.

Installeer op Linux OpenSSH Server, controleer sshd_config en laat TCP 22 toe via de hostfirewall zoals ufw, firewalld, nftables of iptables. Cloudinstances vereisen ook dat de beveiligingsgroep van de provider dezelfde bronnetwerken toestaat.

Schakel op macOS Remote Login in als SSH nodig is op vertrouwde netwerken. Voor blootstelling aan internet moet u dezelfde controles toepassen als op een server: op sleutels gebaseerde authenticatie, firewall-scoping, logboekregistratie en tijdige updates.

Begin met een externe poortcontrole aan de hand van de openbare hostnaam of het IP-adres en poort 22. Als het resultaat open is, is het TCP-pad naar SSH bereikbaar. Voer vervolgens ssh user@example.com of ssh -vvv user@example.com uit om de hostsleutel, authenticatiemethode en sessie-instellingen te verifiëren.

Bevestig de luisteraar op de server met ss -tlnp, netstat of PowerShell. Als er een cloudserver bij betrokken is, vergelijk dan de hostfirewallregels met de cloudbeveiligingsgroep, omdat beide lagen SSH kunnen blokkeren, zelfs als de andere er correct uitziet.

Als poort 22 gesloten is, kan sshd worden gestopt, op een andere poort worden geïnstalleerd, alleen aan een privé-interface worden gebonden of worden geblokkeerd door de hostfirewall. Als er een time-out optreedt bij de controle, kunnen pakketten worden verwijderd door een cloudbeveiligingsgroep, een NAT-regel van de router, een ISP-filter, een VPN-beleid of een bron-IP-toelatingslijst.

Als de poort open is maar inloggen mislukt, inspecteer dan de gebruikersnaam, de sleutelrechten, het bestand met geautoriseerde sleutels, het wachtwoordbeleid, de MFA-vereiste, de regels AllowUsers of DenyUsers, de instellingen voor root-aanmelding en de serverlogboeken. Veel SSH-fouten zijn eerder autorisatieproblemen dan poortproblemen.

Schakel root-login uit, geef de voorkeur aan sleutels of certificaten boven wachtwoorden, roteer sleutels, verwijder verouderde accounts en beperk wie verbinding kan maken. Gebruik MFA of door hardware ondersteunde sleutels voor geprivilegieerde toegang en zorg ervoor dat privésleutels worden beschermd met wachtwoordzinnen of beveiligde hardwareopslag.

Verklein het aanvalsoppervlak met toelatingslijsten voor bronnen, bastionhosts, VPN, snelheidsbeperking, inbraakdetectie en tijdige OpenSSH-patches. Het verplaatsen van SSH naar een niet-standaard poort kan het aantal scans met ruis verminderen, maar moet alleen worden beschouwd als ruisonderdrukking en niet als beveiligingsmaatregel.