S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Protokoll

Secure Shell

Abkürzung: SSH

Kryptografisches Netzwerkprotokoll für sichere Fernzugriffe und Datenübertragung über unsichere Netzwerke.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

SSH ist wie ein sicheres Telefon für Serveradministratoren. Statt direkt am Server zu sitzen, können Admins von jedem Ort der Welt aus mit verschlüsselter Verbindung auf Server zugreifen. Das "S" steht für Secure — alles ist verschlüsselt, niemand kann mithören.

Ausführliche Erklärung

SSH (RFC 4251) ersetzt unsichere Protokolle wie Telnet und rsh. Es bietet: verschlüsselte Verbindungen, starke Authentifizierung (Passwort oder Public-Key), Port-Forwarding (SSH-Tunnel), SCP/SFTP für Dateiübertragung. SSH-Key-Authentifizierung ist sicherer als Passwörter und ermöglicht passwortlosen Zugang. Sicherheitsaspekte: Brute-Force auf Passwort-basiertes SSH (fail2ban), SSH-Key-Management, SSH-Bastion-Hosts, SSH-Config-Härtung (Root-Login deaktivieren, starke Cipher Only).

>Wie funktioniert das?

1

SSH-Client verbindet sich zum Server auf Port 22

2

Server sendet seinen Host-Key (Fingerprint)

3

Client verifiziert den Fingerprint (known_hosts)

4

Authentifizierung: Passwort oder Public-Key-Verfahren (Client beweist Besitz des privaten Schlüssels)

5

Verschlüsselte Shell-Session oder Dateiübertragung beginnt.

?Häufig gestellte Fragen
Antwort

Systemadministratoren, DevOps-Engineers und Entwickler für Remote-Server-Verwaltung, Deployment-Pipelines, Dateiübertragung und als Tunnel für andere Protokolle.

Antwort

SSH-Keys sind kryptografisch stark (RSA 4096 oder Ed25519), können nicht durch Brute-Force geknackt werden, ermöglichen passwortlosen Zugang und können mit Passphrase zusätzlich gesichert werden.

Antwort

Ein Bastion-Host (Jump Server) ist der einzige SSH-erreichbare Server von extern — alle anderen Server sind nur über den Bastion erreichbar. Zentrale Authentifizierung, vollständiges Logging aller SSH-Sessions.

Antwort

Root-Login erlaubt direkte administrative Zugang ohne Audit-Trail wer der Nutzer war. Besser: Mit unprivilegiertem Account einloggen, dann sudo für Root-Aktionen — mit vollständigem Logging.

Antwort

Root-Login deaktivieren (PermitRootLogin no), nur Public-Key-Auth erlauben (PasswordAuthentication no), starke Cipher-Only konfigurieren, Idle-Timeout setzen, fail2ban installieren und SSH auf Nicht-Standard-Port verschieben.

Quick Facts
KategorieProtokoll
AbkürzungSSH
Verwandte Begriffe5
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC