Warum SSH-Absicherung so wichtig ist
SSH (Secure Shell) ist das Herzstück jedes Servers.
Über diesen Zugang steuerst du dein System, installierst Pakete, verwaltest Dateien und führst Updates aus.
Doch genau dieser Zugang ist auch eines der beliebtesten Ziele für Angreifer.
Sobald ein Server öffentlich im Internet steht, scannen Bots ununterbrochen IP-Adressen auf offene Ports – besonders auf Port 22, dem Standardport für SSH.
Mit den richtigen Einstellungen machst du ihnen das Leben extrem schwer – und schützt deinen Server dauerhaft.
Schritt 1: Den Standardport ändern
Öffne die SSH-Konfigurationsdatei:
sudo nano /etc/ssh/sshd_config
Suche die Zeile:
#Port 22
Entferne das # und ändere den Wert, z. B. auf:
Port 2222
Warum?
Angreifer scannen meist nur Port 22. Wenn du SSH auf einen anderen Port legst, „verschwindest“ du für viele automatisierte Attacken.
Starte den SSH-Dienst neu:
sudo systemctl restart ssh
Schritt 2 – Root-Login deaktivieren
In derselben Datei:
PermitRootLogin no
Dadurch kann sich niemand mehr direkt als Root anmelden.
Erstelle stattdessen einen Benutzer mit Sudo-Rechten:
adduser admin
usermod -aG sudo admin
Anmelden kannst du dich dann mit:
ssh admin@deine-ip -p 2222
Schritt 3 – SSH-Keys statt Passwort
Erstelle auf deinem lokalen Rechner ein Schlüsselpaar:
ssh-keygen -t ed25519
Der Public Key wird in ~/.ssh/id_ed25519.pub gespeichert.
Kopiere ihn auf den Server:
ssh-copy-id -p 2222 admin@deine-ip
Dann in der Konfiguration:
PasswordAuthentication no
Jetzt funktioniert nur noch der private Schlüssel – kein Passwort.
Schritt 4 – Firewall anpassen
Falls du UFW nutzt:
sudo ufw allow 2222/tcp
sudo ufw enable
So stellst du sicher, dass dein neuer SSH-Port nicht blockiert wird.
Bonus: Extra-Sicherheit mit Fail2Ban
Schaue dir hier für gerne unser anderes Tutorial an! Dieses findest du hier.
Fazit
Mit diesen vier Schritten ist dein SSH-Zugang sicher, schnell und stabil.
Kein Port 22 mehr, kein Root-Login, kein Passwort – nur du mit deinem Schlüssel.
Damit eliminierst du 95 % aller Standardangriffe.
