Einführung
Alle Linux-basierten Systeme werden standardmäßig mit einem Root-Benutzer installiert, der über alle Systemrechte verfügt. Standardmäßig agieren Sie immer als Root-Benutzer (Superuser). Aus Sicherheitsgründen wird empfohlen, die Root-Anmeldung per SSH zu deaktivieren, um unbefugten Zugriff auf Ihr Linux-System zu verhindern. Durch die Deaktivierung der Root-Anmeldung wird der Root-Zugriff per SSH auf Ihr Linux-System blockiert, sodass niemand die uneingeschränkten Rechte ausnutzen kann. Gemäß den empfohlenen Sicherheitsrichtlinien sollten Sie einen zusätzlichen Benutzer mit nahezu allen Superuser-Rechten anlegen, um sich mit diesem anzumelden.
In diesem Tutorial deaktivieren Sie die Root-Anmeldung in Ubuntu, um unberechtigten Root-Zugriff über SSH zu verhindern und die Sicherheit Ihres Linux-basierten Systems zu verbessern.
Voraussetzungen
Um dieses Tutorial abzuschließen, benötigen Sie Folgendes:
- Ein Ubuntu 20.04 Server mit einem Nicht-Root-Benutzer mit sudo-Rechten, einer Firewall und mindestens 1 GB RAM, den Sie mit Hilfe unserer Anleitung zur Einrichtung eines ersten Ubuntu 20.04 Servers konfigurieren können.
Schritt 1 – Melden Sie sich an und überprüfen Sie die Datei auth.log.
An diesem Punkt melden Sie sich als normaler Benutzer mit sudo-Rechten am Server an, um nach Authentifizierungsversuchen zu suchen. Im Authentifizierungsprotokoll sehen Sie sowohl autorisierte als auch nicht autorisierte Anmeldeversuche.
Im Rahmen der vorbereitenden Schritte haben Sie einen neuen Benutzer erstellt und diesen der Gruppe „sudo“ hinzugefügt, um ihm Administratorrechte zu gewähren. Sie verwenden diesen „sudo“-Benutzer für den Zugriff auf Ihr System, da Sie sich nach der Deaktivierung der Root-Anmeldung nicht mehr als Root-Benutzer anmelden können.
Je nach gewählter Anmeldemethode verwenden Sie SSH, um sich am Server anzumelden. Wenn Sie bei der Ersteinrichtung des Servers einen SSH-Schlüssel für die Anmeldung am Root-Konto verwendet haben, sollten Sie den schlüsselbasierten Mechanismus nutzen, da die Passwortauthentifizierung bei der schlüsselbasierten Anmeldung deaktiviert ist. Andernfalls verwenden Sie die passwortbasierte Anmeldung mit dem sudo-Benutzerpasswort.
ssh sammy@your_server_ipWenn Sie die schlüsselbasierte Anmeldemethode verwenden, geben Sie folgenden Befehl ein, um sich als sudo-Benutzer am Server anzumelden:
ssh -i your_private_key sammy@your_server_ipFlagge -ich Verweist auf die Identitätsdatei, aus der Ihr privater Schlüssel zur Authentifizierung gelesen wird.
Überprüfen Sie anschließend die Datei auth.log mit folgendem Befehl:
cd /var/log/
sudo cat auth.logGeben Sie Ihr Passwort ein, falls Sie dazu aufgefordert werden.
Sie erhalten eine Ausgabe, die in etwa so aussieht:
Output
May 29 18:46:32 ubuntu sshd[3886]: Disconnected from invalid user cally 43.155.90.144 port 47454 [preauth]
May 29 18:51:56 ubuntu sshd[3890]: Received disconnect from 195.38.129.16 port 10017:11: Bye Bye [preauth]
May 29 18:51:56 ubuntu sshd[3890]: Disconnected from authenticating user root 195.38.129.16 port 10017 [preauth]
May 29 18:52:24 ubuntu sshd[3892]: Received disconnect from 178.128.234.248 port 58660:11: Bye Bye [preauth]
May 29 18:52:24 ubuntu sshd[3892]: Disconnected from authenticating user root 178.128.234.248 port 58660 [preauth]
May 29 18:52:34 ubuntu sshd[3894]: Received disconnect from 43.134.106.128 port 33854:11: Bye Bye [preauth]
May 29 18:52:34 ubuntu sshd[3894]: Disconnected from authenticating user root 43.134.106.128 port 33854 [preauth]
May 29 18:53:07 ubuntu sshd[3896]: Invalid user projects from 176.183.60.72 port 42070
May 29 18:53:07 ubuntu sshd[3896]: Received disconnect from 176.183.60.72 port 42070:11: Bye Bye [preauth]
May 29 18:53:07 ubuntu sshd[3896]: Disconnected from invalid user projects 176.183.60.72 port 42070 [preauth]
May 29 18:57:27 ubuntu sshd[3900]: Received disconnect from 92.255.85.135 port 20436:11: Bye Bye [preauth]
May 29 18:57:27 ubuntu sshd[3900]: Disconnected from authenticating user root 92.255.85.135 port 20436 [preauth]
May 29 19:06:40 ubuntu sshd[3903]: Invalid user default from 27.71.207.190 port 57513
May 29 19:06:41 ubuntu sshd[3903]: Connection closed by invalid user default 27.71.207.190 port 57513 [preauth]
...Nach dem Einloggen und Überprüfen Ihres Authentifizierungsprotokolls stellen Sie möglicherweise eine hohe Anzahl unautorisierter Anfragen an Ihren Server fest. Dies könnte darauf hindeuten, dass Sie den Root-Login deaktivieren und Ihre Schlüssel und Passwörter regelmäßig ändern sollten.
Schritt 2 – Root-Login deaktivieren
In diesem Schritt öffnen Sie die Datei sshd_config, um die Anmeldung als Root zu deaktivieren, und starten dann den sshd-Dienst neu, um die Konfiguration nach den Änderungen einzulesen.
Die Datei sshd_config enthält SSH-Konfigurationsdateien, in denen die vom sshd-Dienst verwendeten Parameter gespeichert sind. Der sshd-Dienst ist für die Verwaltung von SSH-Verbindungen zuständig. Sie müssen den sshd-Dienst neu starten, damit die Konfigurationsänderungen wirksam werden.
sudo nano /etc/ssh/sshd_configDurchsuchen Sie die Datei und suchen Sie nach der Zeile „PermitRootLogin“:
Output
...
#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
...Dann der Betrag PermitRootLogin aus Ja Zu NEIN Ändern:
Output
...
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
...Speichern und schließen Sie die Datei und starten Sie anschließend den SSHD-Dienst neu, um die Konfigurationsänderungen anzuwenden:
sudo systemctl restart sshdSchritt 3 – Root-Login-Test
Nachdem Sie die Root-Anmeldung deaktiviert haben, versuchen Sie, sich per SSH als Root-Benutzer anzumelden. Verwenden Sie dazu die folgenden Befehle:
ssh root@your_server_ipDie Anmeldung als Root führt zu einer Fehlermeldung wie dieser:
root@your_server_ip: Permission denied (publickey).Um wieder Zugriff auf den Server zu erhalten, verwenden Sie die Anmeldeinformationen eines Benutzers ohne Root-Rechte, aber mit sudo-Berechtigungen, um sich anzumelden:
ssh sammy@your_server_ipErgebnis
In diesem Artikel haben Sie sshd so konfiguriert, dass die Root-Anmeldung in Ubuntu deaktiviert wird. Sie wissen nun, wie Sie die Root-Anmeldung auf Ihren Linux-basierten Systemen deaktivieren und dadurch die Sicherheit Ihrer Systeme erhöhen.
