README.de.md

March 7, 2026 · View on GitHub

ssh-audit-kit

SSH-Sicherheitsaudit, Haertung und Berichterstellung in einem einzigen Shell-Skript.
Ein Skript. Ein Befehl. Volle Transparenz.

English | 한국어 | 日本語 | Deutsch | Français | Español | Português | Italiano

License Bash Deps Single File


Was ist ssh-audit-kit?

ssh-audit-kit analysiert Ihre SSH-Konfiguration, Angriffsprotokolle, Abwehrsysteme und Algorithmusstaerke -- und erstellt dann einen bewerteten Bericht (A+ bis F) mit umsetzbaren Empfehlungen. Wenn Sie bereit sind, wendet ein einziger Befehl die Haertung mit automatischer Sicherung und Rollback an.

Funktionen

  • sshd-Konfigurationsanalyse -- analysiert die Hauptkonfiguration + Drop-in-Dateien, erkennt Konflikte und Ueberschreibungen
  • Angriffsprotokoll-Analyse -- fehlgeschlagene Versuche, haeufigste IPs, versuchte Benutzernamen, Zeitmuster (letzte 7 Tage)
  • fail2ban-Status -- Jail-Aktivitaet, gesperrte IPs, Konfiguration
  • ssh-audit-Integration -- Algorithmusstaerke, Erkennung schwacher Chiffren
  • OpenSSH-CVE-Pruefung -- CVE-2024-6387 (regreSSHion), CVE-2023-48795 (Terrapin)
  • Sicherheitsbewertung -- 100-Punkte-Skala ueber 5 Kategorien, Benotung von A+ bis F
  • Automatische Haertung -- sichere Ein-Befehl-Haertung mit Sicherung und Rollback
  • JSON-Ausgabe -- maschinenlesbarer Bericht fuer Automatisierung

Schnellstart

curl -fsSL https://raw.githubusercontent.com/deep-on/ssh-audit-kit/main/ssh-audit-kit.sh -o ssh-audit-kit
chmod +x ssh-audit-kit

./ssh-audit-kit check          # security checks (read-only)
./ssh-audit-kit report         # scored report
./ssh-audit-kit report --json  # JSON output
sudo ./ssh-audit-kit harden    # apply hardening

Berichtbeispiel

╔══════════════════════════════════════════════════╗
║           ssh-audit-kit  v1.0.0                  ║
║           SSH Security Report                    ║
╚══════════════════════════════════════════════════╝

System: Ubuntu 22.04 | OpenSSH 8.9p1

── Authentication Security ─────────────── [28/30]
  ✔ PasswordAuthentication no
  ✔ PermitRootLogin no
  ✔ PubkeyAuthentication yes
  ✔ MaxAuthTries 3
  △ KbdInteractiveAuthentication not explicitly set

── Network Security ────────────────────── [20/20]
  ✔ Non-standard port (51022)
  ✔ AllowTcpForwarding no
  ✔ X11Forwarding no
  ✔ Compression no

── Algorithm Strength ──────────────────── [20/20]
  ✔ No weak algorithms detected
  ✔ ssh-audit: 0 fail, 0 warn

── Defense System ──────────────────────── [15/15]
  ✔ fail2ban active (sshd jail enabled)
  ✔ MaxStartups 10:30:100
  ✔ MaxAuthTries 3

── Logging & Monitoring ────────────────── [13/15]
  ✔ LogLevel VERBOSE
  △ No remote logging configured

══════════════════════════════════════════════════
  Score: 96/100    Grade: A+
  "Excellent SSH security configuration"
══════════════════════════════════════════════════

Bewertungssystem

KategorieMaxWas geprueft wird
Authentifizierung30Schluesselauthentifizierung, Root-Login, leere Passwoerter, Zugriffsbeschraenkungen
Netzwerk20Port, Weiterleitung, Komprimierung
Algorithmusstaerke20Schwache Chiffren/MACs/KEX via ssh-audit
Abwehr15fail2ban, MaxStartups, Client-Alive-Einstellungen
Protokollierung15LogLevel, Protokollzugriff, Angriffsanalyse
NotePunkteBeschreibung
A+95-100Ausgezeichnet
A85-94Stark
B70-84Gut, einige Verbesserungen empfohlen
C50-69Maessig, Verbesserungen erforderlich
D30-49Schwach, sofortiges Handeln erforderlich
F0-29Kritisch, dringendes Handeln erforderlich

Haertung

ssh-audit-kit harden schreibt nach /etc/ssh/sshd_config.d/hardening.conf (die Hauptkonfiguration wird nie veraendert):

  • Deaktiviert Passwort-Authentifizierung, Root-Login, Weiterleitung, Komprimierung
  • Setzt strenge Sitzungslimits und Client-Alive-Timeouts
  • Validiert mit sshd -t vor der Anwendung
  • Automatisches Rollback bei Validierungsfehler
  • Zeitgestempelte Sicherungen vor jeder Aenderung

Voraussetzungen

  • Bash 4.0+
  • OpenSSH-Server (sshd)
  • Optional: ssh-audit -- fuer Algorithmusanalyse
  • Optional: fail2ban -- fuer Abwehrstatus

Unterstuetzte Systeme

  • Ubuntu 20.04 / 22.04 / 24.04
  • Debian 11 / 12
  • RHEL / CentOS / Rocky / Alma 8 / 9

Lizenz

MIT