SSH-beveiliging

Gebruik gerust SSH maar beveilig je PC tegen aanvallers van buitenaf.

Mijn PC is van buitenaf altijd bereikbaar via SSH. Dit is onder meer nodig voor de Dropbox-niet-meer-nodig-functie.

Ik heb wel de poort van SSH verandert door op de router een andere poort dan 22 open te zetten en die dan te forwarden naar poort 22 van de thuis-PC:

Voorkom inloggen als root
En daarnaast voorkom ik dat ze met de gebruikersnaam root kunnen inloggen. Je kunt alleen maar inloggen als je mijn persoonlijke gebruikersnaam weet en het wachtwoord dat daarbij hoort. Het wachtwoord is absurd complex en lang. Je kunt het niet intypen want dan ben je een uur bezig (ik gebruik Espanso als ik het thuis in moet typen). Edit de SSH-config:

sudo nano /etc/ssh/sshd_config

En zorg dat in dat bestand PermitRootLogin no aan staat (haal het #-je weg). Standaard in Linux Mint stond die regel met # uitgecommentarieerd.

Zet AllowUsers
Voeg de entry AllowUsers toe aan het sshd_config-bestand met jouw usernaam:

AllowUsers=pietje

Zo kunnen ze niet als een andere (systeem- of normale) gebruiker inloggen.

Installeer en gebruik ook fail2ban:
Maak een kopie van het standaard configuratiebestand:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Open jail.local en zoek naar de sectie [sshd], vul dit in:

[sshd]

enabled = true

maxretry = 5

bantime = 3600

findtime = 600

maxretry: Aantal pogingen voordat een IP wordt geblokkeerd.
bantime: Tijd (in seconden) dat een IP geblokkeerd blijft.
findtime: Tijdvenster (in seconden) waarin de mislukte pogingen worden geteld.

Herstarten:

sudo systemctl restart fail2ban

Om geblokkeerde IP's te zien:

sudo fail2ban-client status sshd