SSH Server 2048 Bit oder höher?
Hallo,
im Moment stellt sich die Frage wo viel Bit der Key auf den SSH Servern sein sollte. Vor gut einem Jahr sprach man davon, dass 2048 Bit reichen. Ist das immernoch so? Klar, ein größerer Schlüssel wäre nicht falsch, aber dann steigt auch der Aufwand für die Verschlüsselung. Eine konkrete Empfehlung konnte ich auf die Schnelle beim BSI nicht finden.
Danke im Voraus
im Moment stellt sich die Frage wo viel Bit der Key auf den SSH Servern sein sollte. Vor gut einem Jahr sprach man davon, dass 2048 Bit reichen. Ist das immernoch so? Klar, ein größerer Schlüssel wäre nicht falsch, aber dann steigt auch der Aufwand für die Verschlüsselung. Eine konkrete Empfehlung konnte ich auf die Schnelle beim BSI nicht finden.
Danke im Voraus
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370819
Url: https://administrator.de/forum/ssh-server-2048-bit-oder-hoeher-370819.html
Ausgedruckt am: 29.04.2025 um 23:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
naja Theoretisch steigt die Login Dauer.
Wenn du die einzige Person bist, die auf die Schnittstelle zugreift kannst du das Thema locker vernachlässigen.
Ich würde dennoch keinen SSH Server irgendwo öffentlich zugänglich stellen.
Gruß
Spirit
naja Theoretisch steigt die Login Dauer.
Wenn du die einzige Person bist, die auf die Schnittstelle zugreift kannst du das Thema locker vernachlässigen.
Ich würde dennoch keinen SSH Server irgendwo öffentlich zugänglich stellen.
Gruß
Spirit
1
Moin,
Warum nicht? Key Auth aktivieren und ggf. eigene Usergrup für SSH Login anlegen und natürlich "PasswordAuthentication no" setzen. siehe auch OpenSSH Public Key Authentifizierung unter Ubuntu
-teddy
Zitat von @Spirit-of-Eli:
Ich würde dennoch keinen SSH Server irgendwo öffentlich zugänglich stellen.
Ich würde dennoch keinen SSH Server irgendwo öffentlich zugänglich stellen.
Warum nicht? Key Auth aktivieren und ggf. eigene Usergrup für SSH Login anlegen und natürlich "PasswordAuthentication no" setzen. siehe auch OpenSSH Public Key Authentifizierung unter Ubuntu
-teddy
1
...und den SSH Port zusätzlich zur Key Auth auf einen der Ephemeral Ports (49152 bis 65535) wie z.B. 52022 ändern.
Ggf. noch Fail2ban zusätzlich drauf, das ist dann schon recht wasserdicht.
Ggf. noch Fail2ban zusätzlich drauf, das ist dann schon recht wasserdicht.
Ich würde dennoch keinen SSH Server irgendwo öffentlich zugänglich stellen.
Theoretisch ja, ist aber Utopie wenn man z.B. einen öffentlichen Cloud-, Web- oder Mailserver usw. administrativ erreichen will oder muß.1
@aqui Recht hast du ja, ich mache das trotzdem total ungern.
Ich stelle auch schon ungern VPN Ports ohne IDS/IPS ins Netz.
Ich stelle auch schon ungern VPN Ports ohne IDS/IPS ins Netz.
1
Danke für Eure Antworten.
Die Frage hat sich dann doch für mich geklärt. Laut BSI sind 2048 Bit Schlüssellänge noch zeitgemäß und bis 2024 akzeptabel.
Der SSH-Server ist nur mit KeyAuth zu erreichen und Fail2Ban ist auch dahinter. Direkter Rootlogin verweigert. Das mit dem Port verstehe ich aber nicht als eine Sicherheitsmaßnahme. Eher so wie "Security through obscurity". Ein Angreifer wird nicht nur den Standart abklappern sondern einen ordentlichen Portscan machen. Dann fliegt der SSH-Port auch auf.
Die Frage hat sich dann doch für mich geklärt. Laut BSI sind 2048 Bit Schlüssellänge noch zeitgemäß und bis 2024 akzeptabel.
Der SSH-Server ist nur mit KeyAuth zu erreichen und Fail2Ban ist auch dahinter. Direkter Rootlogin verweigert. Das mit dem Port verstehe ich aber nicht als eine Sicherheitsmaßnahme. Eher so wie "Security through obscurity". Ein Angreifer wird nicht nur den Standart abklappern sondern einen ordentlichen Portscan machen. Dann fliegt der SSH-Port auch auf.
1
Wenn du den Port änderst kommst du zumindest um Standard Scans herum.
Bei mir prasseln Täglich Scans gegen MySQL und SIP Ports, alles automatisiert.
Bei mir prasseln Täglich Scans gegen MySQL und SIP Ports, alles automatisiert.
