LIVE Intel Feed21.639 exponierte Instanzen128.457 Checks93.4% Auth-Bypass RisikoUpdate: Feb 2026Keine Speicherung deiner Eingaben
ClawGuru
Institutional Ops Intelligence
NotfallPro Kits
Runbook

SSH Hardening auf Traefik

Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Traefik).

Was ist das hier?

Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Traefik).

Priorität
Wenn Production betroffen ist: Containment zuerst (Stop the bleeding), dann Root Cause.

Schnell‑Triage (5 Minuten)

  • Was ist exponiert (Ports, Admin, Webhooks, Origins, Buckets)?
  • Sind gerade Anomalien sichtbar (Spikes, 4xx/5xx, Login‑Fehler, Bot‑Traffic)?
  • Sind Secrets/Keys kompromittiert (Repo, CI, Logs, Chat)?
Ziel
SSH Hardening: Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge.

Konfiguration (sshd_config)

# /etc/ssh/sshd_config (Essentials)
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
MaxAuthTries 3
LoginGraceTime 30
AllowUsers deploy admin
# Optional:
# AllowGroups ssh-users
Pro-Tipp
SSH am besten nur via VPN/Tailscale/WireGuard – dann ist das Internet als Angriffsfläche raus.

Fix‑Schritte (Copy/Paste‑fähig)

  • Sofort: SSH nur über Private Access/VPN oder Allowlist (keine 0.0.0.0/0).
  • Key-only: PasswordAuthentication no; PubkeyAuthentication yes.
  • RootLogin: PermitRootLogin no; Admin via sudo, unique users.
  • Rate limiting: fail2ban oder sshd MaxAuthTries + firewall limits.
  • Verifikation: neuer SSH Login, dann alte Pfade testen (müssen scheitern).

Verifikation

curl -I https://deine-domain.tld
curl -sS https://deine-domain.tld/health || true

Prävention / Guardrails

  • Least privilege
  • Logs + Alerts
  • Rollback/Deploy-Disziplin

Warnungen

  • Änderungen klein halten, verifizieren, dann weiter.
Steps
  1. Sofort: SSH nur über Private Access/VPN oder Allowlist (keine 0.0.0.0/0).
  2. Key-only: PasswordAuthentication no; PubkeyAuthentication yes.
  3. RootLogin: PermitRootLogin no; Admin via sudo, unique users.
  4. Rate limiting: fail2ban oder sshd MaxAuthTries + firewall limits.
  5. Verifikation: neuer SSH Login, dann alte Pfade testen (müssen scheitern).
Re-Check starten →Copilot Runbook Builder →
provider:traefiktopic:ssh-hardeningtraefikrunbookops
Related Runbooks
Firewall Baseline auf Hetzner
Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Hetzner).
Öffnen →
SSH Hardening auf Hetzner
Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Hetzner).
Öffnen →
WebSocket Origin Hardening auf Hetzner
Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Hetzner).
Öffnen →
Reverse Proxy Baseline auf Hetzner
TLS, headers, caching, upstream health, timeouts. (Operator Guide für Hetzner).
Öffnen →
Rate Limit Baseline auf Hetzner
Edge + App Limits gegen Abuse und Cost-Spikes. (Operator Guide für Hetzner).
Öffnen →
DDoS First Response auf Hetzner
Blocken, absorbieren, recovern – ohne Panik. (Operator Guide für Hetzner).
Öffnen →
Hinweis: Diese Inhalte sind für Ops/Security gedacht. Keine „Namen-Datenbank“, keine Anschuldigungen – nur Runbooks, Tools und verifizierbare Checks.
CheckCopilotPro KitsVault