{"id":409227,"date":"2024-12-31T15:23:28","date_gmt":"2024-12-31T15:23:28","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=script_hub&p=409227"},"modified":"2024-12-31T15:27:06","modified_gmt":"2024-12-31T15:27:06","slug":"disable-permitemptypasswords-in-linux","status":"publish","type":"script_hub","link":"https:\/\/www.ninjaone.com\/de\/script-hub\/disable-permitemptypasswords-in-linux\/","title":{"rendered":"Absicherung des SSH-Zugangs durch Deaktivierung von PermitEmptyPasswords mit einem Bash-Skript\u00a0"},"content":{"rendered":"

<\/p>\n
\n
\n
\n
\n

Die Gew\u00e4hrleistung eines sicheren Zugangs zu Servern hat f\u00fcr IT-Experten und Managed Service Provider (MSPs) h\u00f6chste Priorit\u00e4t. Ein wichtiger Aspekt der Serversicherheit ist die Verwaltung von SSH-Konfigurationen, um unbefugten Zugriff zu verhindern. Eine wichtige Sicherheitsma\u00dfnahme ist die Deaktivierung der Option PermitEmptyPasswords in OpenSSH, die verhindert, dass sich Benutzer mit einem leeren Passwort anmelden k\u00f6nnen. In diesem Beitrag wird ein Bash-Skript vorgestellt, mit dem diese Konfiguration durchgesetzt werden kann, um die Sicherheit von Linux-Systemen zu erh\u00f6hen.<\/p>\n

Kontext<\/p>\n

OpenSSH ist ein weit verbreitetes Protokoll f\u00fcr die sichere Fernverwaltung von Servern. Standardm\u00e4\u00dfig ist die Option PermitEmptyPasswords auf „no“ gesetzt, aber es ist wichtig, diese Einstellung zu \u00fcberpr\u00fcfen und durchzusetzen, um Risiken im Zusammenhang mit falsch konfigurierten oder \u00fcbersehenen Konfigurationen zu minimieren. IT-Fachleute, die mehrere Systeme verwalten, k\u00f6nnten dieses Detail \u00fcbersehen und die Server angreifbar machen. Dieses Skript bietet eine automatisierte L\u00f6sung, die die Einhaltung der Best Practices sicherstellt, indem leere Kennwortanmeldungen ausdr\u00fccklich deaktiviert werden.<\/p>\n

F\u00fcr MSPs und Administratoren, die zahlreiche Server verwalten, vereinfacht dieses Skript die SSH-H\u00e4rtung und bietet eine schnelle und zuverl\u00e4ssige M\u00f6glichkeit, die Sicherheit ohne manuelle Eingriffe zu verbessern.<\/p>\n

Das Skript zur Optimierung der Hintergrund-Verwaltung<\/p>\n

#!\/usr\/bin\/env bash\r\n\r\n# Description: Explicitly disables PermitEmptyPasswords in OpenSSH.\r\n# By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https:\/\/www.ninjaone.com\/terms-of-use.\r\n# Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. \r\n# Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. \r\n# Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. \r\n# Warranty Disclaimer: The script is provided \u201cas is\u201d and \u201cas available\u201d, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. \r\n# Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. \r\n# Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. \r\n# EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).\r\n#\r\n# PermitEmptyPasswords defaults to no when not specified in the sshd_config file.\r\n# This script will ensure that it is set to no to prevent SSH from accepting empty passwords.\r\n#\r\n# Links: https:\/\/man.openbsd.org\/sshd_config#PermitEmptyPasswords\r\n#\r\n# Release Notes: Initial Release\r\n\r\n# Logs an error message and exits with the specified exit code\r\ndie() {\r\n    local _ret=\"${2:-1}\"\r\n    echo \"$1\" >&2\r\n    exit \"${_ret}\"\r\n}\r\n\r\n# Check that we are running as root\r\nif [[ $EUID -ne 0 ]]; then\r\n    die \"[Error] This script must be run as root.\" 1\r\nfi\r\n\r\n_should_reload=\"false\"\r\n\r\n# Check if the sshd_config file exists\r\nif [[ -f \/etc\/ssh\/sshd_config ]]; then\r\n    # Check if the PermitEmptyPasswords option is already set to no\r\n    if grep -q \"^PermitEmptyPasswords no\" \/etc\/ssh\/sshd_config; then\r\n        echo \"[Info] PermitEmptyPasswords is already set to no.\"\r\n        _should_reload=\"false\"\r\n    elif grep -q \"^PermitEmptyPasswords yes\" \/etc\/ssh\/sshd_config; then\r\n        # First check if the option is not commented out and set to yes\r\n        # Then set the PermitEmptyPasswords option to no\r\n        sed -i 's\/^PermitEmptyPasswords.*\/PermitEmptyPasswords no\/' \/etc\/ssh\/sshd_config\r\n        echo \"[Info] PermitEmptyPasswords set to no.\"\r\n        _should_reload=\"true\"\r\n    elif grep -q \"^#PermitEmptyPasswords\" \/etc\/ssh\/sshd_config; then\r\n        # First check if the option is commented out\r\n        # Then set the PermitEmptyPasswords option to no\r\n        sed -i 's\/^#PermitEmptyPasswords.*\/PermitEmptyPasswords no\/' \/etc\/ssh\/sshd_config\r\n        echo \"[Info] PermitEmptyPasswords set to no, as it was commented out.\"\r\n        _should_reload=\"true\"\r\n    else\r\n        # Append the PermitEmptyPasswords option to the end of the sshd_config file\r\n        # If the past checks have not found the option, appending it will ensure that it is set to no\r\n        echo \"PermitEmptyPasswords no\" >>\/etc\/ssh\/sshd_config\r\n        echo \"[Info] PermitEmptyPasswords set to no at the end of the sshd_config file.\"\r\n        _should_reload=\"true\"\r\n    fi\r\n\r\n    # Check that this system is running systemd-based\r\n    _type=$(\r\n        # Get the type of init system\r\n        file \/sbin\/init 2>\/dev\/null | awk -F\/ '{print $NF}' 2>\/dev\/null\r\n    )\r\n    if [[ \"${_type}\" == \"systemd\" ]] && [ \"$(command -v systemctl)\" ]; then\r\n        echo \"[Info] Reloading ${sshd_service} service...\"\r\n        # Find the sshd service\r\n        sshd_service=$(\r\n            # Get the ssh service, if two are found use the first one. Likely the first one is a symlink to the actual service file.\r\n            systemctl list-unit-files | grep -E \"^(sshd|ssh|openssh-server)\\.service\" | awk -F' ' '{print $1}' | head -n 1\r\n        )\r\n        if [[ -z \"${sshd_service}\" ]]; then\r\n            die \"[Error] sshd service is not available. Please install it and try again.\" 1\r\n        fi\r\n        # Check that ssh service is enabled\r\n        if systemctl is-enabled \"${sshd_service}\" >\/dev\/null; then\r\n            echo \"[Info] ${sshd_service} is enabled.\"\r\n        else\r\n            die \"[Info] ${sshd_service} is not enabled. When enabled and started, PermitEmptyPasswords will be set to no.\" 0\r\n        fi\r\n        # Check that ssh service is running\r\n        if systemctl is-active \"${sshd_service}\" >\/dev\/null; then\r\n            echo \"[Info] ${sshd_service} is running.\"\r\n            if [[ \"${_should_reload}\" == \"true\" ]]; then\r\n                # Reload sshd.service\r\n                if systemctl reload \"${sshd_service}\"; then\r\n                    echo \"[Info] sshd service configuration reloaded.\"\r\n                else\r\n                    die \"[Error] Failed to reload ${sshd_service}. Please try again.\" 1\r\n                fi\r\n            else\r\n                echo \"[Info] sshd service configuration will not be reloaded as there is no need to do so.\"\r\n            fi\r\n        else\r\n            echo \"[Info] ${sshd_service} is not running.\"\r\n        fi\r\n    else\r\n        echo \"[Info] Restarting sshd service...\"\r\n        # Check that the service command is available\r\n        if ! [ \"$(command -v service)\" ]; then\r\n            die \"[Error] The service command is not available. Is this an initd type system (e.g. SysV)? Please try again.\" 1\r\n        fi\r\n        # Find the sshd service\r\n        sshd_service=$(\r\n            # Get the list of services\r\n            service --status-all | awk -F' ' '{print $NF}' | grep sshd\r\n        )\r\n        if [[ -z \"${sshd_service}\" ]]; then\r\n            die \"[Error] sshd service is not available. Please install it and try again.\" 1\r\n        fi\r\n        if [[ \"${_should_reload}\" == \"true\" ]]; then\r\n            # Restart sshd service\r\n            if service \"${sshd_service}\" restart; then\r\n                echo \"[Info] sshd service restarted.\"\r\n            else\r\n                die \"[Error] Failed to restart sshd service. Please try again.\" 1\r\n            fi\r\n        else\r\n            echo \"[Info] sshd service configuration will not be restarted as there is no need to do so.\"\r\n        fi\r\n    fi\r\nelse\r\n    die \"[Error] The sshd_config file does not exist.\" 1\r\nfi<\/pre>\n
 <\/p>\n\n
Sparen Sie Zeit mit \u00fcber 300+ Skripten aus dem NinjaOne Dojo.<\/p>\n
\u2192 Erhalten Sie noch heute Zugang<\/a>.<\/p>\n<\/div>\n
Detailansicht<\/p>\n
Dieses Bash-Skript automatisiert den Prozess der expliziten Einstellung von PermitEmptyPasswords auf „no“ in der SSH-Konfigurationsdatei (\/etc\/ssh\/sshd_config). Im Folgenden wird Schritt f\u00fcr Schritt beschrieben, wie das Skript funktioniert:<\/p>\n
1. Pr\u00fcfung auf Root-Rechte<\/p>\n
Das Skript beginnt mit der \u00dcberpr\u00fcfung, ob es als Root-Benutzer ausgef\u00fchrt wird, da die \u00c4nderung von SSH-Konfigurationen erh\u00f6hte Rechte erfordert. Wenn nicht, bricht es mit einem Fehler ab.<\/p>\n
bash<\/p>\n
Code kopieren<\/p>\n
if [[ $EUID -ne 0 ]]]; then
\ndie „[Fehler] Dieses Skript muss als root ausgef\u00fchrt werden.“ 1
\nfi<\/p>\n
2. Identifizieren Sie die Konfigurationsdatei<\/p>\n
Das Skript pr\u00fcft die Existenz von \/etc\/ssh\/sshd_config. Fehlt diese Datei, wird es mit einem Fehler beendet, da das Skript ohne die SSH-Konfigurationsdatei nicht fortfahren kann.<\/p>\n
3. \u00c4ndern der Einstellung PermitEmptyPasswords<\/p>\n
Das Skript pr\u00fcft die Datei auf die Richtlinie PermitEmptyPasswords:<\/p>\n
Wenn die Richtlinie auf „nein“ gesetzt ist, werden keine \u00c4nderungen vorgenommen.
\nWenn es auf „ja“ gesetzt ist, wird es durch „nein“ ersetzt
\nWenn es auskommentiert ist, hebt das Skript die Kommentierung auf und setzt es auf „nein“
\nFehlt die Richtlinie vollst\u00e4ndig, wird PermitEmptyPasswords no an die Datei angeh\u00e4ngt.
\n4. SSH-Dienst neu laden<\/p>\n
Das Skript ermittelt das Init-System des Systems (systemd oder init.d), um den SSH-Dienst entsprechend neu zu laden oder zu starten. Dadurch wird sichergestellt, dass die \u00c4nderungen ohne Unterbrechung der laufenden SSH-Sitzungen \u00fcbernommen werden.<\/p>\n
5. Fehlerbehandlung:<\/p>\n
Eine umfassende Fehlerbehandlung stellt sicher, dass das Skript ordnungsgem\u00e4\u00df beendet wird, wenn es auf Probleme wie fehlende Befehle, deaktivierte Dienste oder nicht unterst\u00fctzte Init-Systeme st\u00f6\u00dft.<\/p>\n
Potenzielle Anwendungsf\u00e4lle
\nHypothetisches Szenario<\/p>\n
Ein IT-Administrator, der eine Reihe von Servern verwaltet, stellt fest, dass ein Server SSH-Zugang mit leeren Passw\u00f6rtern erlaubt. Die manuelle \u00dcberpr\u00fcfung und \u00c4nderung von Konfigurationsdateien auf allen Servern w\u00e4re sehr zeitaufw\u00e4ndig. Durch die Bereitstellung dieses Skripts \u00fcber Automatisierungstools wie Ansible oder direkt \u00fcber SSH stellt der Administrator sicher, dass alle Server die Einstellung PermitEmptyPasswords no konsequent und effizient durchsetzen.<\/p>\n
Vergleiche
\nManuelle Konfiguration<\/p>\n
Die manuelle Bearbeitung der Datei sshd_config und der Neustart des SSH-Dienstes ist einfach, aber fehleranf\u00e4llig und ineffizient bei mehreren Servern.<\/p>\n
Zentralisierte Konfigurationswerkzeuge<\/p>\n
Konfigurationsmanagement-Tools wie Puppet oder Chef k\u00f6nnen SSH-Einstellungen in der gesamten Infrastruktur durchsetzen. Diese Tools m\u00fcssen jedoch eingerichtet werden und sind komplexer als dieses leichtgewichtige Skript f\u00fcr kleine Implementierungen.<\/p>\n
Das Skript bietet einen Mittelweg – einfach, zielgerichtet und effektiv f\u00fcr die sofortige Umsetzung.<\/p>\n
FAQs
\nWas geschieht, wenn PermitEmptyPasswords nicht in der Konfigurationsdatei angegeben ist?
\nDas Skript f\u00fcgt PermitEmptyPasswords no an die Datei an, wodurch Anmeldungen mit leerem Passwort explizit deaktiviert werden.
\nKann dieses Skript den SSH-Zugang unterbrechen?
\nNein, es wird nur eine bestimmte Richtlinie ge\u00e4ndert und der SSH-Dienst neu geladen\/gestartet, ohne dass aktive Sitzungen unterbrochen werden.
\nIst dieses Skript mit allen Linux-Distributionen kompatibel?
\nEs wurde f\u00fcr Distributionen entwickelt, die OpenSSH verwenden und unterst\u00fctzt sowohl systemd- als auch init.d-Systeme.
\nMuss ich den SSH-Dienst manuell neu starten?
\nNein, das Skript \u00fcbernimmt bei Bedarf das Neuladen oder Neustarten von Diensten.
\nFolgen<\/p>\n
Indem es PermitEmptyPasswords no erzwingt, mindert dieses Skript ein kritisches Sicherheitsrisiko. Falsch konfigurierte SSH-Einstellungen k\u00f6nnen Server f\u00fcr Brute-Force-Angriffe und unbefugten Zugriff anf\u00e4llig machen. Dieses Skript gew\u00e4hrleistet die Einhaltung bew\u00e4hrter Sicherheitspraktiken, reduziert die Angriffsfl\u00e4che und sch\u00fctzt sensible Systeme.<\/p>\n
Empfehlungen
\nTest vor dem Einsatz:\u00a0F\u00fchren Sie das Skript in einer Testumgebung aus, um sein Verhalten zu \u00fcberpr\u00fcfen.
\nAutomatisieren Sie die Implementierung:\u00a0Verwenden Sie Tools wie Ansible, um dieses Skript auf mehreren Servern einzusetzen.
\nProtokolle \u00fcberwachen:\u00a0\u00dcberpr\u00fcfen Sie die SSH-Protokolle, um sicherzustellen, dass die Konfigurations\u00e4nderungen wirksam sind.
\nDokumentieren Sie \u00c4nderungen:\u00a0F\u00fchren Sie Aufzeichnungen \u00fcber angewandte Konfigurationen zu Pr\u00fcfzwecken.
\nAbschlie\u00dfende \u00dcberlegungen<\/p>\n
Die Aufrechterhaltung einer sicheren SSH-Umgebung ist f\u00fcr den IT-Betrieb unerl\u00e4sslich. Skripte wie dieses vereinfachen den Prozess der Durchsetzung kritischer Sicherheitsma\u00dfnahmen, gew\u00e4hrleisten die Einhaltung von Vorschriften und sch\u00fctzen Systeme vor unbefugtem Zugriff. IT-Experten, die gro\u00dfe Infrastrukturen verwalten, k\u00f6nnen durch den Einsatz von Automatisierungstools wie NinjaOne die betriebliche Effizienz steigern, indem sie zentralisierte Management- und \u00dcberwachungsl\u00f6sungen anbieten, die auf ihre Bed\u00fcrfnisse zugeschnitten sind.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/form>\n
<\/main><\/p>\n","protected":false},"author":35,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":""},"operating_system":[4211],"use_cases":[4382],"class_list":["post-409227","script_hub","type-script_hub","status-publish","hentry","script_hub_category-linux","use_cases-sperren-und-authentifizierung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/script_hub\/409227","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/script_hub"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/script_hub"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/comments?post=409227"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=409227"}],"wp:term":[{"taxonomy":"script_hub_category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/operating_system?post=409227"},{"taxonomy":"use_cases","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/use_cases?post=409227"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}