Ticket öffnen 
+373 79 600002 
Telegramm Live Chat 
Häufige Fragen 
Deutsch
English 
Русский 
Română 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Linux 
Sicherheit 
VerwaltungWie Sie sich bei Ihrem Server oder Konto anmelden: SSH, Control Panels und sichere Zugriffsmethoden
Server-Authentifizierung ist der Prozess der Überprüfung Ihrer Identität, um autorisierten Zugang zu einem Remote-System, einem Hosting-Kontrollpanel oder einem Online-Dienst zu erhalten. Die drei dominanten Methoden sind passwortbasiertes SSH, SSH-Schlüsselpaar-Authentifizierung und webbasierter Kontrollpanel-Login — jede mit unterschiedlichen Sicherheitsprofilen, Anwendungsfällen und Fehlerszenarien, die jeder Administrator verstehen muss.
Ob Sie eine einzelne VPS Hosting-Instanz oder eine Flotte von Bare-Metal-Maschinen verwalten — die Beherrschung dieser Login-Methoden bestimmt direkt Ihre operative Sicherheitslage. Dieser Leitfaden behandelt jede Methode ausführlich, einschließlich der technischen Mechanismen hinter jeder Methode, realer Fallstricke, die in der Dokumentation selten erwähnt werden, sowie einer Härtungs-Checkliste, die Sie sofort anwenden können.
SSH-Login: Passwort-Authentifizierung vs. schlüsselbasierte Authentifizierung
SSH (Secure Shell Protocol, RFC 4253) stellt einen verschlüsselten Tunnel zwischen Ihrem Client und dem Remote-Server über TCP-Port 22 standardmäßig her. Bevor Sie eine Authentifizierungsmethode wählen, sollten Sie verstehen, wogegen jede einzelne tatsächlich schützt.
Voraussetzungen für jede SSH-Sitzung
- Ein Remote-Server mit `sshd`, der läuft und Port 22 (oder ein benutzerdefinierter Port) erreichbar ist
- Ein SSH-Client: natives `ssh` unter Linux/macOS, OpenSSH für Windows (in Windows 10/11 integriert) oder PuTTY für ältere Windows-Umgebungen
- Gültige Anmeldedaten: entweder ein Benutzername/Passwort-Paar oder ein konfiguriertes Schlüsselpaar
Anmelden mit Benutzername und Passwort
Öffnen Sie Ihr Terminal und führen Sie aus:
“`bash
ssh username@server_ip_address
“`
Ersetzen Sie `username` durch Ihren Systemkontonamen und `server_ip_address` durch die IPv4-, IPv6- oder vollqualifizierte Domänenname (FQDN) des Servers.
“`bash
ssh deploy@203.0.113.45
“`
Wenn der Server SSH auf einem nicht standardmäßigen Port betreibt (eine gängige Härtungspraxis):
“`bash
ssh -p 2222 deploy@203.0.113.45
“`
Was im Hintergrund passiert: Client und Server handeln eine Cipher-Suite aus (z. B. `chacha20-poly1305` oder `aes256-gcm`), tauschen ephemere Diffie-Hellman-Schlüssel aus und übertragen erst dann Ihr Passwort — verschlüsselt. Das Passwort selbst wird niemals im Klartext übertragen.
Kritischer Fallstrick: Bei Ihrer ersten Verbindung zu einem neuen Server präsentiert SSH einen Host-Key-Fingerabdruck und bittet Sie, diesen zu bestätigen. Geben Sie niemals blind `yes` ein. Überprüfen Sie den Fingerabdruck anhand des Dashboards Ihres Hosting-Anbieters oder eines vertrauenswürdigen Out-of-Band-Kanals. Das Akzeptieren eines gefälschten Fingerabdrucks ist der Einstiegspunkt für einen Man-in-the-Middle-Angriff.
Anmelden mit SSH-Schlüsselpaaren
SSH-Schlüssel-Authentifizierung ersetzt das Passwort durch eine kryptografische Herausforderung. Der Server hält Ihren öffentlichen Schlüssel; Sie halten den privaten Schlüssel. Die Authentifizierung gelingt nur, wenn Ihr Client den Besitz des privaten Schlüssels nachweisen kann, ohne ihn jemals zu übertragen.
Schritt 1 — Schlüsselpaar generieren:
“`bash
ssh-keygen -t ed25519 -C "your_email@example.com"
“`
Bevorzugen Sie Ed25519 gegenüber RSA-4096 für neue Deployments. Ed25519-Schlüssel sind kürzer, schneller zu verifizieren und bieten gleichwertige oder überlegene Sicherheit. Verwenden Sie RSA-4096 nur, wenn das Remote-System Ed25519 nicht unterstützt (selten bei modernen Distributionen).
“`bash
RSA fallback for legacy systems
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
“`
Speichern Sie den Schlüssel im Standardpfad (`~/.ssh/id_ed25519`) und legen Sie eine starke Passphrase fest. Die Passphrase verschlüsselt Ihren privaten Schlüssel auf der Festplatte — wenn Ihre Workstation kompromittiert wird, kann ein Angreifer einen verschlüsselten Schlüssel ohne die Passphrase immer noch nicht verwenden.
Schritt 2 — Den öffentlichen Schlüssel auf dem Server bereitstellen:
“`bash
ssh-copy-id -i ~/.ssh/id_ed25519.pub username@server_ip_address
“`
Dies fügt Ihren öffentlichen Schlüssel an `~/.ssh/authorized_keys` auf dem Server mit korrekten Berechtigungen (`600`) an. Wenn `ssh-copy-id` nicht verfügbar ist:
“`bash
cat ~/.ssh/id_ed25519.pub | ssh username@server_ip_address
"mkdir -p ~/.ssh && chmod 700 ~/.ssh &&
cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"
“`
Schritt 3 — Verbinden:
“`bash
ssh username@server_ip_address
“`
Es erscheint keine Passwortabfrage. Wenn Sie eine Passphrase festgelegt haben, kann Ihr lokaler SSH-Agent diese zwischenspeichern:
“`bash
eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519
“`
Sonderfall — mehrere Schlüssel: Verwenden Sie `~/.ssh/config`, um bestimmten Hosts spezifische Schlüssel zuzuweisen und Authentifizierungsfehler zu vermeiden, wenn der Server nach zu vielen Versuchen den falschen Schlüssel ablehnt:
“`
Host prod-server
HostName 203.0.113.45
User deploy
IdentityFile ~/.ssh/id_ed25519_prod
Port 2222
“`
SSH-Passwort vs. Schlüssel-Authentifizierung: Direkter Vergleich
| Attribut | Passwort-Authentifizierung | SSH-Schlüssel-Authentifizierung |
|---|---|---|
| — | — | — |
| Brute-Force-Resistenz | Niedrig — anfällig für automatisierte Angriffe | Sehr hoch — rechnerisch nicht durchführbar per Brute-Force |
| Risiko der Anmeldedaten-Offenlegung | Hoch bei wiederverwendetem oder schwachem Passwort | Minimal — privater Schlüssel verlässt den Client nie |
| Automatisierungskompatibilität | Schlecht — erfordert interaktive Eingabe | Ausgezeichnet — unterstützt nicht-interaktive Skripte und CI/CD |
| Einrichtungskomplexität | Keine | Gering — einmalige Schlüsselgenerierung und -bereitstellung |
| Wiederherstellung bei Verlust | Passwort-Reset über den Anbieter | Vorkonfigurierter Backup-Schlüssel oder Konsolenzugang erforderlich |
| Empfohlen für Produktion | Nein | Ja |
| 2FA-Kompatibilität | Ja | Ja (mit `AuthenticationMethods publickey,keyboard-interactive`) |
Für jede produktive Dedicated Server-Umgebung deaktivieren Sie die Passwort-Authentifizierung vollständig nach der Bereitstellung von Schlüsseln:
“`bash
/etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin prohibit-password
“`
Daemon neu laden: `systemctl reload sshd`
Anmelden bei webbasierten Kontrollpanels
Webbasierte Kontrollpanels — cPanel, Plesk, DirectAdmin, Webmin und benutzerdefinierte Anbieter-Dashboards — stellen die Serververwaltung über eine Browser-Oberfläche bereit. Sie sind die primäre Schnittstelle für Benutzer, die Hosting ohne direkten Shell-Zugang verwalten.
Standard-Anmeldeverfahren
- Öffnen Sie einen Browser und navigieren Sie zur Panel-URL. Gängige Standardwerte:
- cPanel: `https://yourdomain.com:2083` (SSL) oder `http://yourdomain.com:2082`
- Plesk: `https://yourdomain.com:8443`
- Webmin: `https://yourdomain.com:10000`
- DirectAdmin: `https://yourdomain.com:2222`
- Geben Sie den Benutzernamen und das Passwort ein, die von Ihrem Hosting-Anbieter bereitgestellt oder während der Server-Bereitstellung festgelegt wurden.
- Wenn Zwei-Faktor-Authentifizierung (2FA) aktiviert ist, geben Sie den TOTP-Code aus Ihrer Authenticator-App ein (Google Authenticator, Aegis oder Authy).
Zwei-Faktor-Authentifizierung bei Kontrollpanels
2FA fügt eine zeitbasierte Einmalpasswort-Schicht (TOTP) hinzu, die gestohlene Anmeldedaten ungültig macht. Selbst wenn ein Angreifer Ihr cPanel-Passwort durch eine Phishing-Kampagne oder einen Datenbankabfluss von Anmeldedaten erhält, kann er sich ohne den rotierenden 6-stelligen Code nicht anmelden.
Einrichtung in cPanel:
- Navigieren Sie zu Sicherheit > Zwei-Faktor-Authentifizierung
- Scannen Sie den QR-Code mit Ihrer Authenticator-App
- Verifizieren Sie mit einem Testcode und speichern Sie Backup-Codes an einem sicheren Ort (Passwort-Manager, nicht auf einem Klebezettel)
Kritischer operativer Hinweis: Speichern Sie Ihre Backup-Codes offline. Wenn Sie den Zugang zu Ihrem Authenticator-Gerät verlieren und keine Backup-Codes haben, erfordert die Wiederherstellung die Kontaktaufnahme mit Ihrem Hosting-Anbieter und die Durchführung einer Identitätsverifizierung — ein Prozess, der während eines Vorfalls Stunden dauern kann.
Wenn Sie einen VPS mit cPanel verwenden, stellen Sie sicher, dass 2FA auf WHM-Ebene für alle Reseller- und Benutzerkonten erzwungen wird, nicht nur für den Root-Administrator.
Browser-Sicherheit für den Kontrollpanel-Zugang
- Überprüfen Sie immer das HTTPS-Schloss und ob der Common Name des Zertifikats mit Ihrer Domain übereinstimmt. Ein gültiges SSL-Zertifikat auf Ihrem Kontrollpanel verhindert das Abfangen von Anmeldedaten in nicht vertrauenswürdigen Netzwerken.
- Vermeiden Sie die Anmeldung bei Kontrollpanels über öffentliches WLAN ohne VPN.
- Verwenden Sie ein dediziertes Browser-Profil oder eine private Browsing-Sitzung für administrative Logins, um das Durchsickern von Sitzungstoken durch Erweiterungen zu verhindern.
Anmelden bei Online-Konten und E-Mail-Diensten
Bei webbasierten Diensten — E-Mail-Plattformen, Cloud-Dashboards, Abrechnungsportalen — ist der Authentifizierungsablauf standardisiert, aber die Sicherheitsimplikationen variieren erheblich.
Standard-Web-Login-Ablauf
- Navigieren Sie zur Login-Seite des Dienstes (als Lesezeichen speichern — folgen Sie niemals per E-Mail gesendeten Links zu Login-Seiten)
- Geben Sie Ihren Benutzernamen, Ihre E-Mail-Adresse oder Ihren Kontobezeichner ein
- Geben Sie Ihr Passwort ein
- Schließen Sie alle 2FA-Herausforderungen ab (TOTP, Hardware-Schlüssel oder SMS — in absteigender Sicherheitsreihenfolge)
Für Organisationen, die E-Mail-Hosting-Dienste nutzen, stellen Sie sicher, dass der Webmail-Zugang (Roundcube, Horde, SquirrelMail) ausschließlich über HTTPS bereitgestellt wird und dass Konten starke Passwortrichtlinien auf Serverebene erzwingen.
Passwort-Hygiene: Was „stark” wirklich bedeutet
Ein vom Passwort-Manager generierter, zufälliger 20-Zeichen-String ist kategorisch stärker als jedes menschlich merkbare Passwort. Die NIST SP 800-63B-Richtlinien (aktualisiert 2024) empfehlen ausdrücklich:
- Länge vor Komplexität: Eine zufällige 20-Zeichen-Passphrase überwindet Brute-Force-Angriffe, die komplexe, aber kurze Passwörter in Minuten knacken
- Keine obligatorische periodische Rotation, es sei denn, eine Kompromittierung wird vermutet — erzwungene Rotation führt zu vorhersehbaren Mustern (`Password1!` → `Password2!`)
- Abgleich mit Breach-Datenbanken: Dienste wie HaveIBeenPwned pflegen Listen mit Milliarden kompromittierter Passwörter; nutzen Sie deren API oder einen Passwort-Manager mit Breach-Monitoring
Häufige Login-Fehler und deren Diagnose
SSH-Verbindung verweigert
`ssh: connect to host 203.0.113.45 port 22: Connection refused`
Diagnosepfad:
- Überprüfen Sie, ob `sshd` läuft: `systemctl status sshd`
- Firewall-Regeln prüfen: `ufw status` oder `iptables -L -n | grep 22`
- Bestätigen Sie den korrekten Port — der Server verwendet möglicherweise einen nicht standardmäßigen SSH-Port
- Prüfen Sie, ob `fail2ban` oder `sshguard` Ihre IP nach wiederholten fehlgeschlagenen Versuchen gesperrt hat: `fail2ban-client status sshd`
Zugriff verweigert (Public Key)
`Permission denied (publickey).`
Häufige Ursachen:
- Falscher Schlüssel angegeben — verwenden Sie `ssh -v` für ausführliche Ausgabe, um zu sehen, welcher Schlüssel angeboten wird
- Falsche Berechtigungen für `~/.ssh/authorized_keys` (muss `600` sein) oder `~/.ssh/`-Verzeichnis (muss `700` sein)
- Die `authorized_keys`-Datei enthält den Schlüssel auf mehreren Zeilen (Zeilenumbruch-Korruption beim Kopieren und Einfügen)
- `sshd_config` hat `AuthorizedKeysFile`, das auf einen nicht standardmäßigen Pfad zeigt
Kontosperrung
Wiederholte fehlgeschlagene Logins lösen Sperrmechanismen auf mehreren Ebenen aus: auf Anwendungsebene (cPanel, Plesk), auf Betriebssystemebene (PAMs `pam_faillock`) und auf Firewall-Ebene (`fail2ban`). Kontaktieren Sie den Support Ihres Hosting-Anbieters zur IP-Entsperrung, oder wenn Sie Konsolen-/KVM-Zugang haben, entsperren Sie Ihre IP direkt:
“`bash
fail2ban-client set sshd unbanip YOUR_IP_ADDRESS
“`
Abgelaufener oder widerrufener SSH-Schlüssel
SSH-Schlüssel haben standardmäßig kein eingebautes Ablaufdatum, können aber effektiv widerrufen werden, indem sie aus `authorized_keys` entfernt werden. Wenn Ihr Schlüssel plötzlich nicht mehr funktioniert:
- Überprüfen Sie, ob der öffentliche Schlüssel noch in `~/.ssh/authorized_keys` auf dem Server vorhanden ist
- Prüfen Sie, ob die `sshd_config` des Servers aktualisiert wurde, um `AllowUsers` oder `AllowGroups` einzuschränken
- Bestätigen Sie, dass der Schlüssel nicht durch ein automatisiertes Secrets-Management-System rotiert wurde (Vault, AWS Secrets Manager)
Sicherheits-Härtungs-Checkliste für den Server-Login
Wenden Sie diese Maßnahmen auf jeden von Ihnen verwalteten Server an:
- Root-SSH-Login deaktivieren (`PermitRootLogin no` oder `prohibit-password`)
- Passwort-Authentifizierung deaktivieren nach der Bereitstellung von SSH-Schlüsseln
- Standard-SSH-Port ändern, um automatisierten Scanner-Lärm zu reduzieren (Security through Obscurity, kein Ersatz für echte Härtung)
- `fail2ban` einsetzen mit aggressiven Schwellenwerten für SSH- und Kontrollpanel-Login-Endpunkte
- 2FA erzwingen auf allen webbasierten Kontrollpanels
- `authorized_keys` regelmäßig prüfen — Schlüssel ehemaliger Mitarbeiter oder außer Betrieb genommener Systeme entfernen
- SSH-Zertifikate verwenden (über eine interne CA) anstelle von reinen Schlüsseln für Teams mit mehr als 5 Administratoren — Zertifikate unterstützen nativ Ablauf und Widerruf
- `/var/log/auth.log` überwachen (Debian/Ubuntu) oder `/var/log/secure` (RHEL/CentOS) auf anomale Login-Muster
- SSH-Zugang nach IP einschränken mit `AllowUsers user@trusted_ip` in `sshd_config` oder Firewall-Regeln
Wenn Sie Hosting-Optionen evaluieren und eine Plattform wünschen, die alle diese Härtungsmaßnahmen von Haus aus unterstützt, prüfen Sie die verfügbaren VPS-Kontrollpanels, um eine Oberfläche zu finden, die dem Workflow Ihres Teams entspricht.
Entscheidungsmatrix: Welche Login-Methode sollten Sie verwenden?
| Szenario | Empfohlene Methode | Hinweise |
|---|---|---|
| — | — | — |
| Einzelner Entwickler, persönlicher VPS | SSH-Schlüssel (Ed25519) + Passphrase | Passwort-Auth nach Einrichtung deaktivieren |
| Team von Admins, Produktionsserver | SSH-Zertifikate über interne CA | Ermöglicht Ablauf und zentralisierten Widerruf |
| Nicht-technischer Benutzer, Shared Hosting | cPanel/Plesk mit 2FA | Sicherstellen, dass SSL auf der Panel-URL gültig ist |
| Automatisierte Deployment-Pipeline | SSH-Schlüssel (ohne Passphrase) + eingeschränkte Shell | Dedizierten Deploy-Schlüssel mit minimalen Berechtigungen verwenden |
| Notfall-Konsolenzugang | Anbieter KVM/IPMI-Konsole | SSH bei Aussperrung vollständig umgehen |
| E-Mail- und Webdienst-Konten | Passwort-Manager + TOTP 2FA | Hardware-Schlüssel (YubiKey) für Konten mit höchstem Wert |
Praktische Kernaussagen
- Verwenden Sie niemals Passwort-Authentifizierung auf einem öffentlich zugänglichen SSH-Server. Das Volumen automatisierter Brute-Force-Angriffe gegen Port 22 macht es unabhängig von der Passwortstärke zu einem Risiko.
- Ed25519 ist die aktuelle Best Practice für neue SSH-Schlüsselgenerierung. RSA-4096 ist nur für Legacy-Kompatibilität akzeptabel.
- Die `~/.ssh/config`-Datei wird zu wenig genutzt. Das Definieren von Host-Aliasen, Ports und Schlüsselpfaden dort beseitigt die häufigsten SSH-Verbindungsfehler.
- 2FA auf Kontrollpanels ist nicht verhandelbar für jeden Server, der Produktionsdaten oder Kundenkonten hostet.
- Host-Key-Fingerabdrücke bei der ersten Verbindung verifizieren. Ihr Hosting-Anbieter sollte diese in seinem Dashboard veröffentlichen.
- Backup-Codes für 2FA müssen offline gespeichert werden — der Verlust des Zugangs zu Ihrem Authenticator ohne Backup-Codes bedeutet einen vollständigen Identitätsverifizierungsprozess bei Ihrem Anbieter.
- Zugang regelmäßig prüfen. Veraltete Schlüssel entfernen, inaktive Konten deaktivieren und Login-Protokolle mindestens monatlich überprüfen.
Häufig gestellte Fragen
Was ist die sicherste Methode, sich bei einem Remote-Server anzumelden?
SSH-Schlüsselpaar-Authentifizierung mit Ed25519-Schlüsseln, kombiniert mit einer starken Passphrase auf dem privaten Schlüssel und `PasswordAuthentication no` in `sshd_config`. Für Teams fügen SSH-Zertifikate, die von einer internen CA ausgestellt werden, Ablauf- und Widerrufsfähigkeiten hinzu, die statischen Schlüsselpaaren fehlen.
Warum sagt SSH „Permission denied (publickey)”, obwohl ich meinen Schlüssel kopiert habe?
Die häufigsten Ursachen sind falsche Dateiberechtigungen (`~/.ssh/` muss `700` sein, `authorized_keys` muss `600` sein), der falsche Schlüssel wird vom Client angeboten, oder Zeilenumbruch-Korruption in der `authorized_keys`-Datei durch Kopieren und Einfügen. Führen Sie `ssh -vvv user@host` aus, um genau zu sehen, welcher Schlüssel versucht wird und warum er abgelehnt wird.
Kann ich SSH-Schlüssel und 2FA gleichzeitig verwenden?
Ja. Setzen Sie `AuthenticationMethods publickey,keyboard-interactive` in `sshd_config` und konfigurieren Sie ein PAM-basiertes TOTP-Modul (wie `libpam-google-authenticator`). Der Benutzer muss einen gültigen Schlüssel vorlegen und dann die TOTP-Herausforderung bestehen — beide Faktoren sind erforderlich.
Was soll ich tun, wenn ich nach dem Deaktivieren der Passwort-Authentifizierung von meinem Server ausgesperrt bin?
Greifen Sie über die Out-of-Band-Konsole Ihres Hosting-Anbieters auf den Server zu (KVM, IPMI oder VNC). Von dort aus können Sie Ihren öffentlichen Schlüssel erneut zu `authorized_keys` hinzufügen, `sshd_config` korrigieren oder die Passwort-Authentifizierung vorübergehend wieder aktivieren, um den Zugang wiederzuerlangen.
Wie verhindere ich Brute-Force-Angriffe auf meinen SSH-Port?
Installieren und konfigurieren Sie `fail2ban`, um IPs nach einer definierten Anzahl fehlgeschlagener Authentifizierungsversuche zu sperren. Schränken Sie außerdem den SSH-Zugang auf bekannte IP-Adressen mithilfe von Firewall-Regeln ein (`ufw allow from trusted_ip to any port 22`), und erwägen Sie, SSH auf einen nicht standardmäßigen Port zu verschieben, um den Großteil des automatisierten Scanner-Traffics zu eliminieren.