Die Gewährleistung eines sicheren Zugangs zu Servern hat für IT-Experten und Managed Service Provider (MSPs) höchste Priorität. Ein wichtiger Aspekt der Serversicherheit ist die Verwaltung von SSH-Konfigurationen, um unbefugten Zugriff zu verhindern. Eine wichtige Sicherheitsmaßnahme ist die Deaktivierung der Option PermitEmptyPasswords in OpenSSH, die verhindert, dass sich Benutzer mit einem leeren Passwort anmelden können. In diesem Beitrag wird ein Bash-Skript vorgestellt, mit dem diese Konfiguration durchgesetzt werden kann, um die Sicherheit von Linux-Systemen zu erhöhen.
Kontext
OpenSSH ist ein weit verbreitetes Protokoll für die sichere Fernverwaltung von Servern. Standardmäßig ist die Option PermitEmptyPasswords auf “no” gesetzt, aber es ist wichtig, diese Einstellung zu überprüfen und durchzusetzen, um Risiken im Zusammenhang mit falsch konfigurierten oder übersehenen Konfigurationen zu minimieren. IT-Fachleute, die mehrere Systeme verwalten, könnten dieses Detail übersehen und die Server angreifbar machen. Dieses Skript bietet eine automatisierte Lösung, die die Einhaltung der Best Practices sicherstellt, indem leere Kennwortanmeldungen ausdrücklich deaktiviert werden.
Für MSPs und Administratoren, die zahlreiche Server verwalten, vereinfacht dieses Skript die SSH-Härtung und bietet eine schnelle und zuverlässige Möglichkeit, die Sicherheit ohne manuelle Eingriffe zu verbessern.
Das Skript zur Optimierung der Hintergrund-Verwaltung
#!/usr/bin/env bash
# Description: Explicitly disables PermitEmptyPasswords in OpenSSH.
# By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
# Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
# Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
# Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
# Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
# Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
# Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
# EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#
# PermitEmptyPasswords defaults to no when not specified in the sshd_config file.
# This script will ensure that it is set to no to prevent SSH from accepting empty passwords.
#
# Links: https://man.openbsd.org/sshd_config#PermitEmptyPasswords
#
# Release Notes: Initial Release
# Logs an error message and exits with the specified exit code
die() {
local _ret="${2:-1}"
echo "$1" >&2
exit "${_ret}"
}
# Check that we are running as root
if [[ $EUID -ne 0 ]]; then
die "[Error] This script must be run as root." 1
fi
_should_reload="false"
# Check if the sshd_config file exists
if [[ -f /etc/ssh/sshd_config ]]; then
# Check if the PermitEmptyPasswords option is already set to no
if grep -q "^PermitEmptyPasswords no" /etc/ssh/sshd_config; then
echo "[Info] PermitEmptyPasswords is already set to no."
_should_reload="false"
elif grep -q "^PermitEmptyPasswords yes" /etc/ssh/sshd_config; then
# First check if the option is not commented out and set to yes
# Then set the PermitEmptyPasswords option to no
sed -i 's/^PermitEmptyPasswords.*/PermitEmptyPasswords no/' /etc/ssh/sshd_config
echo "[Info] PermitEmptyPasswords set to no."
_should_reload="true"
elif grep -q "^#PermitEmptyPasswords" /etc/ssh/sshd_config; then
# First check if the option is commented out
# Then set the PermitEmptyPasswords option to no
sed -i 's/^#PermitEmptyPasswords.*/PermitEmptyPasswords no/' /etc/ssh/sshd_config
echo "[Info] PermitEmptyPasswords set to no, as it was commented out."
_should_reload="true"
else
# Append the PermitEmptyPasswords option to the end of the sshd_config file
# If the past checks have not found the option, appending it will ensure that it is set to no
echo "PermitEmptyPasswords no" >>/etc/ssh/sshd_config
echo "[Info] PermitEmptyPasswords set to no at the end of the sshd_config file."
_should_reload="true"
fi
# Check that this system is running systemd-based
_type=$(
# Get the type of init system
file /sbin/init 2>/dev/null | awk -F/ '{print $NF}' 2>/dev/null
)
if [[ "${_type}" == "systemd" ]] && [ "$(command -v systemctl)" ]; then
echo "[Info] Reloading ${sshd_service} service..."
# Find the sshd service
sshd_service=$(
# Get the ssh service, if two are found use the first one. Likely the first one is a symlink to the actual service file.
systemctl list-unit-files | grep -E "^(sshd|ssh|openssh-server)\.service" | awk -F' ' '{print $1}' | head -n 1
)
if [[ -z "${sshd_service}" ]]; then
die "[Error] sshd service is not available. Please install it and try again." 1
fi
# Check that ssh service is enabled
if systemctl is-enabled "${sshd_service}" >/dev/null; then
echo "[Info] ${sshd_service} is enabled."
else
die "[Info] ${sshd_service} is not enabled. When enabled and started, PermitEmptyPasswords will be set to no." 0
fi
# Check that ssh service is running
if systemctl is-active "${sshd_service}" >/dev/null; then
echo "[Info] ${sshd_service} is running."
if [[ "${_should_reload}" == "true" ]]; then
# Reload sshd.service
if systemctl reload "${sshd_service}"; then
echo "[Info] sshd service configuration reloaded."
else
die "[Error] Failed to reload ${sshd_service}. Please try again." 1
fi
else
echo "[Info] sshd service configuration will not be reloaded as there is no need to do so."
fi
else
echo "[Info] ${sshd_service} is not running."
fi
else
echo "[Info] Restarting sshd service..."
# Check that the service command is available
if ! [ "$(command -v service)" ]; then
die "[Error] The service command is not available. Is this an initd type system (e.g. SysV)? Please try again." 1
fi
# Find the sshd service
sshd_service=$(
# Get the list of services
service --status-all | awk -F' ' '{print $NF}' | grep sshd
)
if [[ -z "${sshd_service}" ]]; then
die "[Error] sshd service is not available. Please install it and try again." 1
fi
if [[ "${_should_reload}" == "true" ]]; then
# Restart sshd service
if service "${sshd_service}" restart; then
echo "[Info] sshd service restarted."
else
die "[Error] Failed to restart sshd service. Please try again." 1
fi
else
echo "[Info] sshd service configuration will not be restarted as there is no need to do so."
fi
fi
else
die "[Error] The sshd_config file does not exist." 1
fi
Sparen Sie Zeit mit über 300+ Skripten aus dem NinjaOne Dojo.
→ Erhalten Sie noch heute Zugang.
Detailansicht
Dieses Bash-Skript automatisiert den Prozess der expliziten Einstellung von PermitEmptyPasswords auf “no” in der SSH-Konfigurationsdatei (/etc/ssh/sshd_config). Im Folgenden wird Schritt für Schritt beschrieben, wie das Skript funktioniert:
1. Prüfung auf Root-Rechte
Das Skript beginnt mit der Überprüfung, ob es als Root-Benutzer ausgeführt wird, da die Änderung von SSH-Konfigurationen erhöhte Rechte erfordert. Wenn nicht, bricht es mit einem Fehler ab.
bash
Code kopieren
if [[ $EUID -ne 0 ]]]; then
die “[Fehler] Dieses Skript muss als root ausgeführt werden.” 1
fi
2. Identifizieren Sie die Konfigurationsdatei
Das Skript prüft die Existenz von /etc/ssh/sshd_config. Fehlt diese Datei, wird es mit einem Fehler beendet, da das Skript ohne die SSH-Konfigurationsdatei nicht fortfahren kann.
3. Ändern der Einstellung PermitEmptyPasswords
Das Skript prüft die Datei auf die Richtlinie PermitEmptyPasswords:
Wenn die Richtlinie auf “nein” gesetzt ist, werden keine Änderungen vorgenommen.
Wenn es auf “ja” gesetzt ist, wird es durch “nein” ersetzt
Wenn es auskommentiert ist, hebt das Skript die Kommentierung auf und setzt es auf “nein”
Fehlt die Richtlinie vollständig, wird PermitEmptyPasswords no an die Datei angehängt.
4. SSH-Dienst neu laden
Das Skript ermittelt das Init-System des Systems (systemd oder init.d), um den SSH-Dienst entsprechend neu zu laden oder zu starten. Dadurch wird sichergestellt, dass die Änderungen ohne Unterbrechung der laufenden SSH-Sitzungen übernommen werden.
5. Fehlerbehandlung:
Eine umfassende Fehlerbehandlung stellt sicher, dass das Skript ordnungsgemäß beendet wird, wenn es auf Probleme wie fehlende Befehle, deaktivierte Dienste oder nicht unterstützte Init-Systeme stößt.
Potenzielle Anwendungsfälle
Hypothetisches Szenario
Ein IT-Administrator, der eine Reihe von Servern verwaltet, stellt fest, dass ein Server SSH-Zugang mit leeren Passwörtern erlaubt. Die manuelle Überprüfung und Änderung von Konfigurationsdateien auf allen Servern wäre sehr zeitaufwändig. Durch die Bereitstellung dieses Skripts über Automatisierungstools wie Ansible oder direkt über SSH stellt der Administrator sicher, dass alle Server die Einstellung PermitEmptyPasswords no konsequent und effizient durchsetzen.
Vergleiche
Manuelle Konfiguration
Die manuelle Bearbeitung der Datei sshd_config und der Neustart des SSH-Dienstes ist einfach, aber fehleranfällig und ineffizient bei mehreren Servern.
Zentralisierte Konfigurationswerkzeuge
Konfigurationsmanagement-Tools wie Puppet oder Chef können SSH-Einstellungen in der gesamten Infrastruktur durchsetzen. Diese Tools müssen jedoch eingerichtet werden und sind komplexer als dieses leichtgewichtige Skript für kleine Implementierungen.
Das Skript bietet einen Mittelweg – einfach, zielgerichtet und effektiv für die sofortige Umsetzung.
FAQs
Was geschieht, wenn PermitEmptyPasswords nicht in der Konfigurationsdatei angegeben ist?
Das Skript fügt PermitEmptyPasswords no an die Datei an, wodurch Anmeldungen mit leerem Passwort explizit deaktiviert werden.
Kann dieses Skript den SSH-Zugang unterbrechen?
Nein, es wird nur eine bestimmte Richtlinie geändert und der SSH-Dienst neu geladen/gestartet, ohne dass aktive Sitzungen unterbrochen werden.
Ist dieses Skript mit allen Linux-Distributionen kompatibel?
Es wurde für Distributionen entwickelt, die OpenSSH verwenden und unterstützt sowohl systemd- als auch init.d-Systeme.
Muss ich den SSH-Dienst manuell neu starten?
Nein, das Skript übernimmt bei Bedarf das Neuladen oder Neustarten von Diensten.
Folgen
Indem es PermitEmptyPasswords no erzwingt, mindert dieses Skript ein kritisches Sicherheitsrisiko. Falsch konfigurierte SSH-Einstellungen können Server für Brute-Force-Angriffe und unbefugten Zugriff anfällig machen. Dieses Skript gewährleistet die Einhaltung bewährter Sicherheitspraktiken, reduziert die Angriffsfläche und schützt sensible Systeme.
Empfehlungen
Test vor dem Einsatz: Führen Sie das Skript in einer Testumgebung aus, um sein Verhalten zu überprüfen.
Automatisieren Sie die Implementierung: Verwenden Sie Tools wie Ansible, um dieses Skript auf mehreren Servern einzusetzen.
Protokolle überwachen: Überprüfen Sie die SSH-Protokolle, um sicherzustellen, dass die Konfigurationsänderungen wirksam sind.
Dokumentieren Sie Änderungen: Führen Sie Aufzeichnungen über angewandte Konfigurationen zu Prüfzwecken.
Abschließende Überlegungen
Die Aufrechterhaltung einer sicheren SSH-Umgebung ist für den IT-Betrieb unerlässlich. Skripte wie dieses vereinfachen den Prozess der Durchsetzung kritischer Sicherheitsmaßnahmen, gewährleisten die Einhaltung von Vorschriften und schützen Systeme vor unbefugtem Zugriff. IT-Experten, die große Infrastrukturen verwalten, können durch den Einsatz von Automatisierungstools wie NinjaOne die betriebliche Effizienz steigern, indem sie zentralisierte Management- und Überwachungslösungen anbieten, die auf ihre Bedürfnisse zugeschnitten sind.
Team Ninja