Sichere sshd Verschlüsselung in Debian Wheezy

Bessere Verschlüsselungsalgorithmen für den SSH-Server in Version 6.0p1-4+deb7u2 unter Debian Wheezy nutzen.

Ich könnte nun einen längeren Absatz für das hie und da der Sicherheit, der Zeit nach Snowden, sowie den bösen Menschen mit den Schlapphüten und dem Internetgrundrauschen schreiben. Ich gehe davon aus, dass man dies nun oft genug gelesen hat und sich aus dem Grund auch um eine neue Einstellung seines Servers bemüht.

Das ist nicht als Resignation zu werten, ganz im Gegenteil ;)

Regenerierung

Folgendes in die Datei /etc/ssh/sshd_config eintragen

# Neue Verschlüsselungsalgorithmen
Ciphers aes256-ctr
MACs hmac-sha2-512

Alte Schlüssel löschen

rm -v /etc/ssh/ssh_host_*

Neue Schlüssel erstellen und den Server automatisch neu starten. Die momentan genutzte Sitzung geht dabei nicht verloren

dpkg-reconfigure openssh-server

Natürlich gelten diese Einstellungen auch für die SSH-Server auf anderen Linuces oder Unices, nur die Generierung der Schlüssel erfolgt anders.

[UPDATE]

FrankMatthieß Vorschlag KeyexchangeSSHd auf den neuen Stand bringen
Wie Frank Matthieß richtig bemerkte, wäre es doch gleich ein gutes den Keyexchange auch auf den letzten Stand zu bringen.

Somit verweise ich hier auf den Artikel Secure Secure Shell von stribika, muss aber darauf Hinweise, dass Debian in der momentanen Version diese nicht unterstützt ;)

 

Fazit

Ich würde mich an  die Vorschläge zu den Verschlüsselungseinstellungen halten.
Für den SSHD würde ich ein X-Forwarding nicht erlauben, erlaubte User/Gruppen des Dienstes mit AllowUsers definieren, Nutzerschlüssel erstellen, sowie root den Login verbieten, den Port ändern, OTP nutzen, auf Port 22 einen Honeypot setzen etc…

Die momentan in meinen Augen einzig gute Anlaufstelle ist ein von der Community gepflegtes GIT, welches auch noch Konfigurationsdateien zu Apache2, gnupg, iis, lighthttp, nginx und postfix enthält.

Voraussetzung sollte aber sein, dass man sich in dem Moment auch bewusst ist, was man dort definiert, denn schnell kann ein Schuss nach hinten los gehen und das vermeintliche sichern eines Servers kehrt sich in das Gegenteil um.