Hey,
Also ich setze bei meinen Servern jeder Art auf folgendes Setup direkt nach dem ersten Login per SSH:
Hardware Firewall + iptables/ufw aktivieren und nur noch nötige ports + wireguard zulassen.
- Sudo ist eh schon installiert
Ja war wieder angeberei von mir haha ist eh schon drauf .. zumindest wenn der Anbieter die ISOs gepflegt hat. Hatte auch schon bei „kleineren“ Anbietern teilweise so das tatsächlich ohne Sudo daher Kam .. und wiederum hatten auch 2 3 Anbieter minimal ISOs angeboten wo auf einmal ein apache2 mit installiert wurde.
Root-Login deaktivieren und nur key-login erlauben. Zur "rauschvermeidung" in den Logs kann man den Port ändern, das hält viele Bots ab - bringt aber keine Sicherheit.
Keys bitte auf ED-Basis und keine RSA und schon garkeine DSA-Keys nutzen.
Außerdem habe ich den Key-Exchange-Algorithmus und die Message Authentication Codes eingeschränkt:
KexAlgorithms curve25519-sha256
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
Ist aber nicht nötig, da ssh die sowieso immer mit dem höchsten Verfügbaren aushandelt.
Key-Exchange-Algorithmus ..
Was genau ist das? Und wie trägt das genau zur Sicherheit bei? Ja Port ändern bringt nichts daher habe ich das auch schon lange aufgegeben. Abhalten bzw sauber halten tut fail2ban mit den restrictions.
Port ändern bringt nichts
Doch, ruhe in den logfiles. 
Was genau ist das?
Das ist der Algorithmus, der verwendet wird, um die Schlüssel zwischen Server und Client ausztauschen.
Doch, ruhe in den logfiles.
Ja meinte das Änderung des Ports nichts bringt aus dem eben erwähnten haha 
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
