Verlauf der Änderungen der Seite SSH
Hinzugefügt:
((2)) Zugriff auf bestimmte Adressen begrenzen
Der Zugriff kann über die hosts gesteuert werden (deny|allow)
touch /etc/hosts.{allow,deny}
nano /etc/hosts.deny
# eingeben:
sshd: ALL
-
nano /etc/hosts.allow
sshd: 10.111.0.2
Der Zugriff kann über die hosts gesteuert werden (deny|allow)
touch /etc/hosts.{allow,deny}
nano /etc/hosts.deny
# eingeben:
sshd: ALL
-
nano /etc/hosts.allow
sshd: 10.111.0.2
Hinzugefügt:
PasswordAuthentication no
ChallengeResponseAuthentication no
ChallengeResponseAuthentication no
Hinzugefügt:
1) bei Bedarf: Zugriff auf bestimmte IP-Adressen begrenzen
Hinzugefügt:
ssh-copy-id [-i pfad/id_rsa.pub] user@server
Gelöscht:
Keine Unterschiede
Hinzugefügt:
1) Kein ROOT-Login von außen
1) nur normaler Benutzer!
Jetzt funktioniert der login folgendermaßen:
##ssh username@ip-des-anderen-rechners##
((2)) Anmeldung mit Passwort verhindern
1) nur normaler Benutzer!
Jetzt funktioniert der login folgendermaßen:
##ssh username@ip-des-anderen-rechners##
((2)) Anmeldung mit Passwort verhindern
Gelöscht:
Jetzt funktioniert der login folgendermaßen:
##ssh username@ip-des-anderen-rechners##
Hinzugefügt:
ssh-copy-id -i .ssh/key_rsa.pub user@IP-to-my-Machine##
Gelöscht:
Keine Unterschiede
Hinzugefügt:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat >> .ssh/authorized_keys'
Gelöscht:
Hinzugefügt:
Dafür sind insgesamt folgende Schritte notwendig:
((3)) Einfache Variante (nicht immer möglich)
%%(perl)
((3)) Ältere, meist aber zuverlässigere Variante
%%(perl)
# Schlüssel generieren - wie oben (einfache Variante):
ssh-keygen
# (kein Passwort bei Nachfrage eingeben, wenn remote-Zugriff erwünscht)
# komplexere Variante
ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel
# über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
#... password:
#(hier pwd eingeben, weil dies Login ist)
# dann geht es weiter:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat "">>"" .ssh/authorized_keys'
#... password:##
# (letztes mal pwd eingeben)
##ssh username@ip-des-anderen-rechners##
((3)) Einfache Variante (nicht immer möglich)
%%(perl)
((3)) Ältere, meist aber zuverlässigere Variante
%%(perl)
# Schlüssel generieren - wie oben (einfache Variante):
ssh-keygen
# (kein Passwort bei Nachfrage eingeben, wenn remote-Zugriff erwünscht)
# komplexere Variante
ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel
# über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
#... password:
#(hier pwd eingeben, weil dies Login ist)
# dann geht es weiter:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat "">>"" .ssh/authorized_keys'
#... password:##
# (letztes mal pwd eingeben)
##ssh username@ip-des-anderen-rechners##
Gelöscht:
((1)) Login ohne Passwort über SSH ermöglichen
Schlüssel generieren:
##ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel##
(kein Passwort bei Nachfrage eingeben, sonst ist remote-Zugriff nicht möglich)
Über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
##ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
... password:##
(hier pwd eingeben, weil dies Login ist)
dann geht es weiter:
##cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat "">>"" .ssh/authorized_keys'
... password:##
(letztes mal pwd eingeben)
##ssh -i /pfad/dateiname-schlüssel name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners##
Hinzugefügt:
((2)) Anmeldung mit Zertifikaten ermöglichen
Die Anmeldung mit Zertifikat ist zu empfehlen... Auch wenn künftig eine Umstellung auf Teleportiert angestrebt wird, ist grundlegende Sicherheit nur über Zertifikate auch vorübergehend wichtig...
Dafür sind insgesamt folgende Schritte notwendig (alte Variante unten kann eventuell auch helfen):
# auf dem Client-Rechner (Linux oder Mac)
ssh-keygen
# für höchste Sicherheit auch Passphrase angeben / für komfortable bzw. für Zugriff über Skripte ohne
# Schlüssel auf Server kopieren:
ssh-copy-id -i user@server
Die Anmeldung mit Zertifikat ist zu empfehlen... Auch wenn künftig eine Umstellung auf Teleportiert angestrebt wird, ist grundlegende Sicherheit nur über Zertifikate auch vorübergehend wichtig...
Dafür sind insgesamt folgende Schritte notwendig (alte Variante unten kann eventuell auch helfen):
# auf dem Client-Rechner (Linux oder Mac)
ssh-keygen
# für höchste Sicherheit auch Passphrase angeben / für komfortable bzw. für Zugriff über Skripte ohne
# Schlüssel auf Server kopieren:
ssh-copy-id -i user@server
Hinzugefügt:
# Server neu starten
systemctl reload sshd
%%
systemctl reload sshd
%%
Gelöscht:
Hinzugefügt:
nano /etc/ssh/sshd_config
# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
Hinzugefügt:
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren. Nachstehend wird die Vorgehensweise für //debian// behandelt, wo ein ROOT-Konto grundsätzlich existiert und per ##su -## jederzeit aufgerufen werden kann (Thema SUDO wird also nicht behandelt):
# Datei "/etc/ssh/sshd_config" bearbeiten:
# Datei "/etc/ssh/sshd_config" bearbeiten:
Gelöscht:
Hinzugefügt:
%%(perl)
Gelöscht:
Hinzugefügt:
adduser [myusername]
# dann Passwörter etc. auch eingeben
# dann Passwörter etc. auch eingeben
Hinzugefügt:
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
Gelöscht:
Hinzugefügt:
1) Kein ROOT-Login von außen - nur normaler Benutzer!
1) Aber auch dieser nur mit Zertifikat!
((2)) ROOT-Zugang sperren
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
%%(bash)
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
%%
1) Aber auch dieser nur mit Zertifikat!
((2)) ROOT-Zugang sperren
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
%%(bash)
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
%%
Gelöscht:
1) sdfsdf
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
Hinzugefügt:
1) sdfsf
1) sdfsdf
1) sdfsdf
Gelöscht:
- sdfsdf
Hinzugefügt:
((1)) Absicherung //step-by-step//
Folgende Vorgaben sollten umgesetzt werden:
- sdfsf
- sdfsdf
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
((1)) Login ohne Passwort über SSH ermöglichen
Folgende Vorgaben sollten umgesetzt werden:
- sdfsf
- sdfsdf
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
((1)) Login ohne Passwort über SSH ermöglichen