Het gebruik van SSH keys voor veilige toegang tot je trading bot
Je hebt eindelijk je Python-strategie draaien. Die backtests op data van Interactive Brokers of Alpaca zagen er veelbelovend uit.
Je bot koopt en verkoopt precies volgens je plan. Nu moet ie online, op een server, 24/7. En dan? Ga je je rootwachtwoord typen elke keer als je inlogt?
Dat voelt niet goed. Het is niet veilig en het is gedoe.
SSH keys zijn de oplossing. Ze zijn de standaard voor een reden. Ze maken je leven makkelijker en je server een stuk veiliger.
Wat zijn SSH keys eigenlijk?
Stel je voor dat je een speciale, onzichtbare sleutel hebt die alleen bij jou past. Een sleutel die je computer automatisch kan laten zien aan een server.
De server kijkt ernaar, herkent hem en zegt: "Jij bent het, kom maar binnen." Je hoeft geen wachtwoord in te typen. Dat is in een notendop een SSH-sleutel. Het is een stukje data dat bestaat uit twee delen: een privé-sleutel en een publieke sleutel.
De privé-sleutel bewaar je heel goed op je eigen computer. Die deel je nooit.
De publieke sleutel zet je op de server. Wanneer je verbinding maakt, gebruiken ze elkaar om te controleren dat jij het bent. Dit heet 'asymmetrische encryptie' en het is veel sterker dan een wachtwoord dat je kunt vergeten of dat iemand kan afkijken. Waarom is dit beter voor een trading bot? Simpel.
Een bot heeft vaak root-toegang nodig om dingen te starten, stoppen of bij te houden. Een wachtwoord is een open deur.
Iemand kan het raden of kraken. Een SSH-sleutel is extreem moeilijk te kraken. Bovendien, als je je wachtwoord vergeet na een lange nacht programmeren, ben je de sjaak. Met een sleutel zit je nooit zonder toegang, zolang je je privé-sleutel veilig houdt.
Hoe maak en gebruik je een SSH-sleutel?
De eerste stap is het genereren van je sleutelpaar op je eigen computer.
Open je terminal (op Mac/Linux) of PowerShell (op Windows). Het commando is simpel.
Je typt: ssh-keygen -t ed25519 -C "je@emailadres.nl". Je kunt ook RSA gebruiken, maar Ed25519 is moderner en sneller. Het systeem vraagt waar je de sleutel wilt opslaan. Druk op Enter voor de standaardlocatie.
Dan vraagt het om een wachtwoord (passphrase) voor je sleutel. Doe dit!
Het is een extra beveiligingslaag. Als iemand je laptop steelt, kunnen ze nog steeds niet zomaar bij je bot. Je hebt nu twee bestanden in je ~/.ssh map. id_ed25519 is je privé-sleutel. id_ed25519.pub is je publieke sleutel.
De publieke sleutel is wat je nu naar je server moet sturen. Je kunt hem kopiëren met een commando: cat ~/.ssh/id_ed25519.pub | pbcopy (Mac) of cat ~/.ssh/id_ed25519.pub | clip (Windows).
Nu zit hij in je klembord. Log in op je server met je oude wachtwoord, voor de laatste keer.
Open het bestand ~/.ssh/authorized_keys met een teksteditor zoals nano. Plak je publieke sleutel erin. Sla het bestand op.
Zorg dat de permissies kloppen: chmod 700 ~/.ssh en chmod 600 ~/.ssh/authorized_keys. Nu test je het.
Open een nieuw terminalvenster en typ ssh jegebruiker@je-server-ip. Als het goed is, vraagt het om je passphrase en ben je direct ingelogd.
Als het niet werkt, heb je waarschijnlijk je privé-sleutel per ongeluk op de server gezet. Doe dat nooit.
Veiligheidsmodellen: van basic tot bank-level
Er zijn verschillende manieren om je toegang in te richten. De goedkoopste is gratis, want je bouwt het zelf.
Je draait je Python bot op een VPS vanaf €5 per maand bij providers zoals DigitalOcean, Linode of Vultr. Je beheert je eigen server, je eigen SSH-sleutels en je eigen firewall.
Dit vereist wat technische kennis, maar je hebt volledige controle en het kost je niets extra. De risico's liggen bij jou: als je iets verkeerd configureert, is je bot kwetsbaar. Een stapje verder zijn managed oplossingen voor trading bots. Denk aan services als 3Commas of Cryptohopper.
Deze platforms draaien je strategie in de cloud. Je geeft ze geen server-toegang, maar API-sleutels van je broker (Binance, Kraken, etc.).
Zij regelen de infrastructuur en de beveiliging. De kosten liggen hier tussen de €29 en €99 per maand. Je betaalt voor gemak en veiligheid.
Je hoeft je geen zorgen te maken over server updates of SSH-configuratie. Het nadeel is dat je strategie op hun systemen draait en je afhankelijk bent van hun platform.
De meest geavanceerde en veilige optie voor serieuze algoritmische traders is een eigen, geharde server waarbij je je trading server beveiligt tegen brute-force.
Dit gaat verder dan alleen een SSH-sleutel. Je kunt je server zo instellen dat alleen specifieke IP-adressen mogen inloggen. Als je alleen vanuit huis werkt, blokkeer je de rest. Dit heet IP-whitelisting.
Een andere optie is Two-Factor Authentication (2FA) voor SSH. Een tool als Google Authenticator of Duo zorgt dat je na je sleutel ook een 6-cijferige code moet intoetsen.
Dit kost je niets extra, behalve wat configuratietijd. Het maakt het bijna onmogelijk voor een aanvaller om binnen te komen, zelfs als ze je laptop zouden stelen met je onbeveiligde sleutel erop.
Praktische tips voor je trading bot omgeving
Zodra je SSH-sleutel werkt, is de allerbelangrijkste stap: schakel wachtwoord-login uit.
Je wilt niet dat er nog een andere manier is om in te loggen. Dit doe je door je SSH-configuratiebestand aan te passen.
Zoek naar de regel PasswordAuthentication en zet deze op no. Zet ook PermitRootLogin op no. Je moet dan altijd een specifieke gebruiker gebruiken om in te loggen.
Test dit voordat je het opslaat! Zorg dat je altijd een back-up van je privé-sleutel hebt op een veilige plek, en leer meer over het veilig opslaan van API keys, bijvoorbeeld op een USB-stick die je in een kluis bewaart.
Ben je hem kwijt? Dan ben je je toegang tot de server kwijt. Houd je server en je bot schoon. Maak een aparte gebruiker aan voor je bot en gebruik Tmux om je bot-sessies actief te houden, met beperkte rechten.
Je bot heeft waarschijnlijk geen root-toegang nodig. Gebruik sudo alleen wanneer het echt moet.
Zorg dat je Python-omgeving geïsoleerd is met virtual environments (venv). Houd je packages up-to-date met pip list --outdated. Een oude versie van een library kan een beveiligingslek hebben.
Denk ook na over je firewall. Tools als UFW (Uncomplicated Firewall) op Ubuntu zijn supermakkelijk.
Met een paar commando's blokkeer je alle poorten behalve die voor SSH en misschien de API-verbindingen naar je broker. Tot slot, wees voorbereid op problemen. Zorg dat je een plan B hebt.
Wat als je server vastloopt en je niet kunt inloggen? Sommige providers zoals DigitalOcean hebben een 'console'-toegang in hun webinterface.
Daarmee kun je rechtstreeks toegang krijgen, zelfs als SSH het niet doet. Test je herstelplan. Weet je hoe je een backup van je bot terugzet?
Weet je hoe je een nieuwe server in 10 minuten opzet? Een goede trader denkt na over risicomanagement voor zijn trades, en een goede DevOps-trader doet dat ook voor zijn infrastructuur. Een veilige SSH-setup is de basis van alles.