Wenn für einen Remote-Zugang die SSH-Authentifizierung mittels Schlüsselpaar eingerichtet ist, stellt die Deaktivierung der Passwortanmeldung einen wichtigen Schritt zur Systemhärtung dar. Ziel ist es, Angriffsflächen wie Brute-Force- oder Credential-Stuffing-Angriffe zu reduzieren, indem ausschließlich die deutlich sicherere Public-Key-Authentifizierung zugelassen wird.
Während eine globale Deaktivierung der Passwortauthentifizierung für alle Benutzer möglich ist, besteht in vielen Szenarien die Anforderung, diese Einschränkung gezielt nur für bestimmte Benutzerkonten umzusetzen. Dies ist insbesondere bei technischen Accounts oder Diensten sinnvoll, die ausschließlich für automatisierte Zugriffe oder dedizierte Administrationszwecke verwendet werden.
Dazu wird in der SSH-Server Konfigurationsdatei /etc/ssh/sshd_config am Ende mittels einer Match-Direktive ein benutzerspezifischer Konfigurationsblock eingefügt:
Match User pronto
PasswordAuthentication no
PubkeyAuthentication yes
Benutzernamen sind case-sensitive und müssen exakt übereinstimmen!
Starten Sie anschließend des SSH-Dienst neu:
$ sudo systemctl restart sshBevor Sie die bestehende Verbindung abbauen, testen Sie den Zugang aus einer anderen Shell heraus!
