March 7, 2026

SSH Baseline: Ciphers, KEX, FIDO2, Certificates und Bastion Integration

Eine sichere SSH-Baseline bildet das Fundament für den Schutz von Linux-Servern und Netzwerkgeräten. Moderne Infrastrukturen erfordern nicht nur starke Verschlüsselung und Key-Exchange-Mechanismen, sondern auch die Integration von Hardware-Sicherheitsmodulen, Zertifikaten und zentralen Bastion Hosts, um den Zugriff kontrolliert und nachvollziehbar zu gestalten.

SSH Protocol Version und Grundkonfiguration

Die aktuelle Empfehlung ist, ausschließlich SSH Protocol Version 2 zu verwenden. Version 1 ist unsicher und sollte in allen Serverkonfigurationen deaktiviert werden.

# /etc/ssh/sshd_config
Protocol 2
PermitRootLogin no

Wichtige Grundparameter

  • PermitRootLogin no: Root-Zugang nur über sudo erlauben
  • PasswordAuthentication no: Passwort-Logins deaktivieren, Key-Based Auth verwenden
  • PermitEmptyPasswords no: Leere Passwörter verbieten

Starke Verschlüsselung: Ciphers, MACs und KEX

Für die Absicherung der SSH-Verbindungen ist die Wahl von Ciphers, Message Authentication Codes (MACs) und Key Exchange (KEX)-Methoden entscheidend.

Empfohlene Cipher Suites

  • AEAD: chacha20-poly1305@openssh.com
  • AES: aes256-gcm@openssh.com, aes128-gcm@openssh.com

MAC und Key Exchange

  • MAC: hmac-sha2-512-etm@openssh.com, hmac-sha2-256-etm@openssh.com
  • KEX: curve25519-sha256@libssh.org, ecdh-sha2-nistp521
# /etc/ssh/sshd_config
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521

FIDO2 / Hardware Security Key Integration

Die Nutzung von FIDO2-Sicherheitsmodulen (YubiKey, SoloKey) erhöht die Sicherheit, da private Schlüssel nicht aus dem Hardware-Token extrahiert werden können.

Client-Seite

# Key auf Token generieren
ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk

Server-Seite

# /etc/ssh/sshd_config
PubkeyAuthentication yes
AuthenticationMethods publickey

Zertifikatsbasierte SSH-Authentifizierung

SSH-Zertifikate ermöglichen zentrale Vertrauensanker und erleichtern die Verwaltung von Nutzerzugängen.

CA erzeugen und signieren

# CA Key generieren
ssh-keygen -f /etc/ssh/ssh_ca -t ed25519

Nutzer-Key signieren


ssh-keygen -s /etc/ssh/ssh_ca -I user01 -n username -V +52w user01.pub

Server-Konfiguration

# /etc/ssh/sshd_config
TrustedUserCAKeys /etc/ssh/ssh_ca.pub

Bastion Host Integration

Ein zentraler SSH-Bastion Host ermöglicht die zentrale Zugangskontrolle und Auditierung für alle Server in einem Netzwerksegment.

Jump-Host Konfiguration

# ~/.ssh/config
Host internal-*
  ProxyJump bastion.example.com
  ForwardAgent yes

Audit und Logging

  • Alle Verbindungen über den Bastion Host protokollieren
  • Command Logging mit auditd oder sudo log
  • Time-stamped Session Recording bei sensiblen Systemen

Zusammenfassung der Best Practices

  • SSH v2 verwenden, Root-Login deaktivieren
  • Starke Ciphers, MACs und KEX-Algorithmen einsetzen
  • FIDO2 oder Hardware Tokens für private Schlüssel nutzen
  • Zertifikatsbasierte Authentifizierung für zentralen Vertrauensanker
  • Bastion Host für zentrale Zugangskontrolle und Auditierung einsetzen
  • Regelmäßige Updates und Compliance Checks durchführen

Eine sauber definierte SSH-Baseline mit starken Algorithmen, Hardware-Integration, Zertifikaten und Bastion Host Einbindung gewährleistet maximale Sicherheit, einfache Auditierbarkeit und zentralisierte Verwaltung in professionellen Linux-Umgebungen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host