Hat man die von SSH standardmäßig genutzte Portadresse 22 im Router freigeschaltet, wird man schnell feststellen, das man jede Menge “Besucher” hat, welche – meist vollautomatisiert – versuchen, Zugang zum Pi zu bekommen. Wie man sowas feststellt schreibe ich bei Gelegenheit in einem anderen Beitrag.

Eine sehr einfache und effektive Maßnahme ist, den SSH Port auf eine andere “Hausnummer” zu legen oder für die Routerfreischaltung eine zusätzliche Portnummer einzutragen. Ich habe bei mir letzteres gemacht.

Dazu erst einmal die SSH Konfiguration in den Editor laden:

dort die Zeile

suchen und darunter einfach

schreiben. Das sieht dann so aus:

Diese Vorgehensweise hat den Vorteil, dass man in seinem eigenen Netzwerk nichts ändern muss, lediglich Zugriffe aus dem Internet (z.B. via Putty oder WinSCP) müssen die neue Portadresse benutzen. Wer nur eine SSH Portadresse haben will, der kann die Original Portzeile mit einem # auskommentieren.
Voraussetzung ist natürlich, dass diese Portadresse im Router freigeschaltet ist. Für eine Fritzbox ist das im Beitrag Dynamische IP Adresse mit Bordmitteln beschreiben.

Welche Portadresse kann ich überhaupt nehmen?

Im Prinzip jede Portadresse, die noch frei ist bzw. die nicht benutzt wird. Dazu gibt es eine Übersicht in Wikipedia. Dort eine noch nicht belegte Portnummer auswählen. Natürlich kann man auch einen bereits belegten Port nehmen, in diesem Beispiel liegt auf Port 2000 ein Produkt namens “Cisco SCCP (Skinny)”. Da ich das nicht benutze, kann ich auch diese Portadresse nehmen.

Nachdem ihr die sshd_config Datei abgeändert habt, wieder mit Strg+X speichern und den Editor beenden.

Bei mir sind die “wilden” Zugriffe von mehreren hundert pro Tag auf nahezu null zurück gegangen.

Geht noch mehr?

ja klar, zum Beispiel findet ihr eine sehr aufschlussreiche Anleitung zum Absichern eures Pi bei Jan Karres. Welche Hinweise ihr davon umsetzt, bleibt euch überlassen. Die dort beschriebene Fail2Ban Lösung würde ich in jedem Fall einbauen.