Ticket öffnen 
+373 79 600002 
Telegramm Live Chat 
Häufige Fragen 
Deutsch
English 
Русский 
Română 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
bei allen Hosting-Diensten
SSH-Schlüssel für Cloud-Server: Der vollständige Einrichtungs- und Sicherheitsleitfaden
SSH (Secure Shell)-Schlüsselauthentifizierung ist der Goldstandard für die Absicherung des Zugriffs auf Cloud-Server. Ob Sie eine einzelne VPS Hosting-Instanz oder eine ganze Flotte von Dedicated Servers verwalten – der Ersatz passwortbasierter Anmeldungen durch kryptografische Schlüsselpaare reduziert Ihre Angriffsfläche erheblich und optimiert administrative Arbeitsabläufe. Dieser umfassende Leitfaden deckt alles ab, was Sie wissen müssen – von den zugrunde liegenden Mechanismen bis hin zur schrittweisen Konfiguration und Best Practices zur Absicherung.
Was sind SSH-Schlüssel?
SSH-Schlüssel sind asymmetrische kryptografische Schlüsselpaare, die zur Authentifizierung eines Clients gegenüber einem SSH-Server verwendet werden. Im Gegensatz zu einer Benutzername/Passwort-Kombination – die anfällig für Brute-Force-Angriffe, Credential Stuffing und Phishing ist – basieren SSH-Schlüssel auf mathematischen Beziehungen zwischen zwei unterschiedlichen Komponenten:
- Privater Schlüssel: Wird ausschließlich auf Ihrem lokalen Rechner gespeichert. Diese Datei darf niemals geteilt, übertragen oder offengelegt werden. Sie ist der Beweis Ihrer Identität.
- Öffentlicher Schlüssel: Wird auf dem Remote-Server bereitgestellt. Er kann frei geteilt werden, ohne die Sicherheit zu gefährden.
Wenn Sie eine SSH-Verbindung initiieren, prüft der Server, ob Ihr öffentlicher Schlüssel in seiner ~/.ssh/authorized_keys-Datei vorhanden ist. Wenn ja, stellt der Server eine kryptografische Herausforderung aus, die nur der Inhaber des entsprechenden privaten Schlüssels lösen kann. Eine erfolgreiche Antwort gewährt Zugang – kein Passwort erforderlich.
Warum SSH-Schlüssel für Cloud-Server verwenden?
SSH-Schlüsselauthentifizierung bietet konkrete, messbare Vorteile gegenüber herkömmlichen Passwort-Anmeldungen:
| Merkmal | Passwort-Authentifizierung | SSH-Schlüssel-Authentifizierung |
|---|---|---|
| Brute-Force-Resistenz | Niedrig | Extrem hoch |
| Phishing-Anfälligkeit | Hoch | Keine |
| Automatisierungsunterstützung | Schlecht | Ausgezeichnet |
| Passwortlose Anmeldung | Nein | Ja |
| Zugriffsentzug | Erfordert Passwortänderung | Schlüssel aus authorized_keys entfernen |
Hauptvorteile im Detail
Erhöhte Sicherheit
SSH-Schlüssel verwenden 2048-Bit bis 4096-Bit RSA-Verschlüsselung (oder Ed25519 Elliptische-Kurven-Kryptografie), was sie rechnerisch unmöglich zu knacken macht. Es wird kein gemeinsames Geheimnis über das Netzwerk übertragen, wodurch Abfangrisiken vollständig eliminiert werden.
Betriebliche Bequemlichkeit
Nach der Konfiguration ermöglichen SSH-Schlüssel passwortlose Anmeldungen. Für Administratoren, die mehrere Server verwalten – einschließlich Umgebungen mit VPS Control Panels – entfällt die wiederholte Eingabe von Anmeldedaten und die Arbeitsabläufe werden erheblich beschleunigt.
Automatisierungsbereit
CI/CD-Pipelines, Deployment-Skripte, Konfigurationsmanagement-Tools (Ansible, Puppet, Chef) und Backup-Jobs basieren alle auf nicht-interaktiver SSH-Authentifizierung. Schlüsselbasierte Authentifizierung ist die einzige praktische Lösung für diese Anwendungsfälle.
Granulare Zugriffskontrolle
Jeder Benutzer oder Dienst erhält ein eindeutiges Schlüsselpaar. Der Zugriffsentzug für einen bestimmten Benutzer erfordert nichts weiter als das Löschen seines öffentlichen Schlüssels vom Server – keine Passwort-Resets, keine Kontosperrungen.
Wie SSH-Schlüsselauthentifizierung funktioniert: Schritt für Schritt
Das Verständnis des Authentifizierungs-Handshakes hilft Ihnen bei der Fehlerbehebung und verdeutlicht, warum diese Methode so sicher ist:
- Verbindungsanfrage: Ihr SSH-Client sendet eine Verbindungsanfrage an den Server und teilt mit, welchen öffentlichen Schlüssel er verwenden möchte.
- Schlüsselsuche: Der Server durchsucht
~/.ssh/authorized_keysnach einem passenden öffentlichen Schlüssel. - Herausforderungsausgabe: Wenn eine Übereinstimmung gefunden wird, generiert der Server eine zufällige Herausforderung und verschlüsselt sie mit Ihrem öffentlichen Schlüssel.
- Herausforderungsantwort: Ihr SSH-Client entschlüsselt die Herausforderung mit Ihrem privaten Schlüssel und sendet eine kryptografische Signatur zurück, die aus den entschlüsselten Daten abgeleitet wurde.
- Verifizierung & Zugang: Der Server verifiziert die Signatur mit dem öffentlichen Schlüssel. Bei Gültigkeit wird der Zugang gewährt – ohne dass ein einziges Passwort übertragen wird.
Dieser gesamte Austausch findet in Millisekunden statt und ist resistent gegen Man-in-the-Middle-Angriffe, wenn die Host-Schlüssel-Verifizierung ordnungsgemäß konfiguriert ist.
So generieren Sie SSH-Schlüssel
Unter Linux oder macOS
Öffnen Sie Ihr Terminal und führen Sie den folgenden Befehl aus:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"Parameter-Erklärung:
-t rsa— Gibt den RSA-Algorithmus an-b 4096— Generiert einen 4096-Bit-Schlüssel (stärker als der 2048-Bit-Standard)-C "your_email@example.com"— Fügt einen identifizierenden Kommentar in den Schlüssel ein
Moderne Alternative — Ed25519 (Empfohlen):
ssh-keygen -t ed25519 -C "your_email@example.com"Ed25519-Schlüssel sind kürzer, schneller und gelten für die meisten modernen Anwendungsfälle als sicherer als RSA-4096.
Während der Schlüsselgenerierung werden Sie aufgefordert:
- Einen Speicherort wählen — Drücken Sie
Enter, um den Standard zu akzeptieren (~/.ssh/id_rsaoder~/.ssh/id_ed25519) - Eine Passphrase festlegen — Dringend empfohlen. Diese verschlüsselt Ihren privaten Schlüssel auf der Festplatte und bietet eine zweite Schutzschicht, falls Ihr Rechner kompromittiert wird
Nach der Generierung haben Sie zwei Dateien:
~/.ssh/id_rsa— Ihr privater Schlüssel (niemals teilen)~/.ssh/id_rsa.pub— Ihr öffentlicher Schlüssel (sicher zu verteilen)
Unter Windows
Windows 10 und Windows 11 enthalten OpenSSH nativ. Öffnen Sie PowerShell oder die Eingabeaufforderung und führen Sie aus:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"Der Prozess ist identisch mit Linux/macOS. Ihre Schlüssel werden unter C:UsersYourUsername.ssh gespeichert.
Alternative: PuTTYgen
Wenn Sie PuTTY als SSH-Client verwenden:
- Öffnen Sie PuTTYgen
- Wählen Sie RSA und setzen Sie die Bit-Anzahl auf 4096
- Klicken Sie auf Generate und bewegen Sie Ihre Maus, um Entropie zu erzeugen
- Speichern Sie den privaten Schlüssel (
.ppk-Format) und kopieren Sie den öffentlichen Schlüsseltext
Ihren öffentlichen SSH-Schlüssel zum Cloud-Server hinzufügen
Sobald Ihr Schlüsselpaar generiert ist, muss der öffentliche Schlüssel auf dem Zielserver installiert werden.
Methode 1: Verwendung von ssh-copy-id (Linux/macOS — Empfohlen)
ssh-copy-id user@your-server-ipDieser Befehl fügt Ihren öffentlichen Schlüssel automatisch zu ~/.ssh/authorized_keys auf dem Remote-Server hinzu. Sie werden einmalig nach Ihrem Passwort gefragt – danach ist passwortbasierter Zugriff nicht mehr erforderlich.
Um eine bestimmte Schlüsseldatei anzugeben:
ssh-copy-id -i ~/.ssh/id_rsa.pub user@your-server-ipMethode 2: Manuelle Installation (Alle Plattformen)
Verwenden Sie diese Methode, wenn ssh-copy-id nicht verfügbar ist oder wenn Sie präzise Kontrolle benötigen.
Schritt 1: Zeigen Sie Ihren öffentlichen Schlüssel an:
cat ~/.ssh/id_rsa.pubKopieren Sie die gesamte Ausgabe – sie sieht ähnlich aus wie:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQ... your_email@example.comSchritt 2: Verbinden Sie sich mit Ihrem Server über Passwort-Authentifizierung:
ssh user@your-server-ipSchritt 3: Erstellen Sie das .ssh-Verzeichnis, falls es nicht existiert:
mkdir -p ~/.ssh
chmod 700 ~/.sshSchritt 4: Fügen Sie Ihren öffentlichen Schlüssel zur authorized_keys-Datei hinzu:
nano ~/.ssh/authorized_keysFügen Sie den öffentlichen Schlüssel ein, speichern und beenden Sie (Ctrl+X, dann Y, dann Enter).
Schritt 5: Setzen Sie die korrekten Dateiberechtigungen:
chmod 600 ~/.ssh/authorized_keys> Kritisch: Falsche Berechtigungen führen dazu, dass SSH Ihren Schlüssel stillschweigend ablehnt. Das .ssh-Verzeichnis muss 700 sein und authorized_keys muss 600 sein.
Schritt 6: Testen Sie die Verbindung, bevor Sie Ihre aktuelle Sitzung schließen:
ssh -i ~/.ssh/id_rsa user@your-server-ipPasswort-Authentifizierung deaktivieren (Dringend empfohlen)
Sobald die SSH-Schlüsselauthentifizierung bestätigt funktioniert, eliminiert das Deaktivieren von Passwort-Anmeldungen den häufigsten Angriffsvektor gegen SSH-Server. Dies ist ein wesentlicher Härtungsschritt für jede Produktionsumgebung.
Schritt 1: Öffnen Sie die SSH-Daemon-Konfigurationsdatei:
sudo nano /etc/ssh/sshd_configSchritt 2: Suchen und ändern Sie die folgenden Direktiven:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PermitRootLogin prohibit-passwordSchritt 3: Speichern Sie die Datei und starten Sie den SSH-Dienst neu:
sudo systemctl restart sshd> Warnung: Bevor Sie sshd neu starten, überprüfen Sie, ob Ihre SSH-Schlüssel-Anmeldung in einer separaten Terminal-Sitzung funktioniert. Sich selbst von einem Remote-Server auszusperren ist ein ernstes operatives Risiko.
Nach dieser Änderung können sich nur noch Clients verbinden, die einen gültigen, autorisierten SSH-Schlüssel vorweisen.
Erweiterte SSH-Schlüsselverwaltung
Verwaltung mehrerer Benutzer
Um mehreren Benutzern Zugriff auf einen Server zu gewähren, fügen Sie einfach den öffentlichen Schlüssel jedes Benutzers in einer neuen Zeile in der authorized_keys-Datei hinzu:
nano ~/.ssh/authorized_keys
# Add one public key per lineZugriff widerrufen
Um den Zugriff eines bestimmten Benutzers zu widerrufen, öffnen Sie authorized_keys, suchen Sie seinen Schlüssel (erkennbar am Kommentar am Ende) und löschen Sie diese Zeile:
nano ~/.ssh/authorized_keysEin Neustart des Dienstes ist nicht erforderlich – die Änderung tritt sofort in Kraft.
Verwendung einer SSH-Konfigurationsdatei für mehrere Server
Wenn Sie mehrere Server verwalten, vereinfacht eine SSH-Konfigurationsdatei (~/.ssh/config) die Verbindungen:
Host alexhost-vps
HostName your-server-ip
User root
IdentityFile ~/.ssh/id_rsa_alexhost
Port 22
Host alexhost-dedicated
HostName your-dedicated-ip
User admin
IdentityFile ~/.ssh/id_rsa_dedicatedMit dieser Konfiguration ist die Verbindung so einfach wie:
ssh alexhost-vpsVerwendung von ssh-agent für die Passphrasen-Verwaltung
Wenn Ihr privater Schlüssel durch eine Passphrase geschützt ist, speichert ssh-agent diese im Arbeitsspeicher, sodass Sie sie nur einmal pro Sitzung eingeben müssen:
eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_rsaBest Practices für SSH-Schlüsselsicherheit
| Best Practice | Warum es wichtig ist |
|---|---|
| Ed25519 oder RSA-4096 verwenden | Maximale kryptografische Stärke |
| Immer eine Passphrase setzen | Schützt den privaten Schlüssel, wenn Ihr Rechner kompromittiert wird |
| Niemals den privaten Schlüssel teilen | Das Teilen untergräbt das Sicherheitsmodell vollständig |
| Schlüssel regelmäßig rotieren | Begrenzt das Expositionsfenster, wenn ein Schlüssel unbemerkt kompromittiert wird |
| Eindeutige Schlüssel pro Server verwenden | Die Kompromittierung eines Schlüssels gefährdet nicht alle Server |
| Root-Passwort-Anmeldung deaktivieren | Eliminiert das Angriffsziel mit den höchsten Privilegien |
authorized_keys überwachen | Unbefugte Schlüsselhinzufügungen erkennen |
SSH-Schlüssel und AlexHost-Dienste
SSH-Schlüsselauthentifizierung wird für alle AlexHost-Serverprodukte unterstützt. Ob Sie eine leichtgewichtige Anwendung auf Shared Web Hosting bereitstellen, mit einem vollständig verwalteten VPS mit cPanel skalieren oder rechenintensive Workloads auf GPU Hosting ausführen – SSH-schlüsselbasierter Zugriff bietet die Sicherheitsgrundlage, die Ihre Infrastruktur benötigt.
Für vollständige Serversicherheit sollten Sie SSH-Härtung mit einem SSL-Zertifikat kombinieren, um den gesamten webbasierten Datenverkehr zu verschlüsseln – und so End-to-End-Schutz sowohl für Ihre Serververwaltung als auch für Ihre Benutzer zu gewährleisten.
Häufig gestellte Fragen
Kann ich mehrere SSH-Schlüssel auf demselben Server verwenden?
Ja. Jeder öffentliche Schlüssel belegt eine Zeile in authorized_keys. Es gibt keine praktische Begrenzung der Anzahl autorisierter Schlüssel.
Was passiert, wenn ich meinen privaten Schlüssel verliere?
Sie verlieren den Zugang über dieses Schlüsselpaar. Wenn die Passwort-Authentifizierung deaktiviert ist und Sie keine andere Zugriffsmethode haben, müssen Sie möglicherweise den Out-of-Band-Konsolenzugang Ihres Hosting-Anbieters (wie das VPS-Kontrollpanel von AlexHost) nutzen, um wieder Zugang zu erhalten und einen neuen Schlüssel hinzuzufügen.
Ist Ed25519 besser als RSA?
Für die meisten modernen Anwendungsfälle ja. Ed25519 bietet gleichwertige oder überlegene Sicherheit mit kürzeren Schlüsseln und schnelleren Operationen. RSA-4096 bleibt akzeptabel, wird aber von vielen Sicherheitsexperten als veraltet angesehen.
Sollte ich denselben SSH-Schlüssel für alle Server verwenden?
Nein. Die Verwendung eindeutiger Schlüsselpaare pro Server begrenzt den Schadensradius – wenn ein privater Schlüssel kompromittiert wird, ist nur dieser Server gefährdet.
Fazit
SSH-Schlüsselauthentifizierung ist nicht nur eine Best Practice – sie ist die grundlegende Sicherheitsanforderung für jede ernsthafte Cloud-Server-Bereitstellung. Durch den Ersatz anfälliger Passwort-Anmeldungen durch kryptografische Schlüsselpaare eliminieren Sie ganze Kategorien von Angriffen, einschließlich Brute-Force, Credential Stuffing und Passwort-Abfangen.
Der Einrichtungsprozess erfordert eine bescheidene einmalige Investition: Generieren Sie ein Schlüsselpaar, stellen Sie den öffentlichen Schlüssel auf Ihrem Server bereit, deaktivieren Sie die Passwort-Authentifizierung und implementieren Sie die in diesem Leitfaden beschriebenen Verwaltungspraktiken. Die Rendite dieser Investition ist eine erheblich sicherere, besser verwaltbare und automatisierungsfreundlichere Serverinfrastruktur.
Beginnen Sie noch heute mit der Absicherung Ihrer Server mit AlexHosts Hosting-Lösungen – von Einsteiger-VPS Hosting bis hin zu hochleistungsfähigen Dedicated Servers – alle von Anfang an auf moderne Sicherheitsstandards ausgelegt.
