Zunächst werden wir den SSH-Dienst etwas anpassen. Der Standardport für den SSH-Server ist der Port 22. Das ist hinlänglich bekannt, birgt aber auch ein gewisses Risiko. Da wir nicht wollen, dass unsere Logfiles mit Anmeldeversuchen an unserem SSH-Server überflutet werden (unter dem Menüpunkt „Sichere Passwörter“ hatte ich diese Angriffe bereits erwähnt), lassen wir unseren SSH-Dienst auf einem anderen Port lauschen.
- Als erstes müssen wir prüfen, dass wir den SSH-Dienst nicht auf einen Port legen, der bereits von einem anderen Dienst standardmäßig belegt wird. Das kann sonst später zu Konflikten führen. Wähle also ein paar Werte bis höchstens ca. 9000 (Ich hatte Probleme mit beliebig hohen Werten). Anschließend prüfen wir, ob der gewünschte Port noch frei ist. Dazu schaust du in der Datei /etc/services auf deinem Server nach. Ich wähle beispielsweise den Port 2031. Hinweis: Das Ändern des Ports bringt die keinerlei zusätzliche Sicherheit. Es hilft dir nur deine Logfiles (auth.log) sauber zu halten bzw. Bots abzuhalten, die sämtliche IP-Adressen auf SSH-Server auf dem Standardport abklappern und ggf. mit Wörterbuchattacken "angreifen".
Tipp: Wenn du unter Linux oder *BSD auf den Server zugreifen willst, dann lege dir in deinem Home-Verzeichnis auf dem Client ein Verzeichnis ".ssh" an, falls dieser noch nicht existiert und lege eine Datei mit dem Namen "config" an. In diese schreibst du folgendes:
Host <Dein-Servername>
Port <Der-oben-gewählte-Port>
Bei mir sähe die Datei dann so aus:
Host serverzeit.de
Port 2031
Jetzt kannst du wieder mit dem Befehl "ssh <Dein-Servername>" eine SSH-Verbindung herstellen, ohne den Port extra angeben zu müssen. - Wir müssen nun noch die Konfiguration des ssh-Dienstes anpassen, sicherheitshalber solltest du aber ein Backup der Datei anlegen, falls du nicht direkt am Server arbeiten kannst. Wir öffnen zum Bearbeiten die Datei "sshd_config" wie folgt.
# nano /etc/ssh/sshd_config
ändere die Zeile #Port 22 auf Port 2031 (bzw. den Port den du gewählt hast), also auch die Raute (#) entfernen. - Jetzt müssen wir den ssh-Server neustarten, die bestehende Verbindung wird dabei nicht getrennt:
# /etc/rc.d/sshd restart - Wenn du dich jetzt neu per SSH anmeldest, musst du den neuen Port verwenden.
Hinweis: Es ist dringend zu empfehlen, die aktuelle SSH-Verbindung aufrecht zu erhalten und mit einer weiteren SSH-Session die aktuellen Änderungen zu testen. Solltest du nämlich jetzt, aus welchem Grunde auch immer, keine Verbindung auf dem neuen Port herstellen können, kannst du über die bereits bestehende Verbindung die Änderungen rückgängig machen.