Rechtsdienstleistungen, Datenschutz, sichere EDV-Systeme

ich war hier: SSH

Version [4348]

Dies ist eine alte Version von SSH erstellt von ErdaxoAdmin am 2023-02-08 14:02:37.

 

SSH, OpenSSH usw.

sichere, verschlüsselte Verbindungen mit UNIX

A. Absicherung step-by-step
Folgende Vorgaben sollten umgesetzt werden:
  1. Kein ROOT-Login von außen - nur normaler Benutzer!
  2. Aber auch dieser nur mit Zertifikat!

1. ROOT-Zugang sperren
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren. Nachstehend wird die Vorgehensweise für debian behandelt, wo ein ROOT-Konto grundsätzlich existiert und per su - jederzeit aufgerufen werden kann (Thema SUDO wird also nicht behandelt):
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
adduser [myusername]
# dann Passwörter etc. auch eingeben
----
# Datei "/etc/ssh/sshd_config" bearbeiten:
nano /etc/ssh/sshd_config

# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
# Server neu starten
systemctl reload sshd

2. Anmeldung mit Zertifikaten ermöglichen
Die Anmeldung mit Zertifikat ist zu empfehlen... Auch wenn künftig eine Umstellung auf Teleportiert angestrebt wird, ist grundlegende Sicherheit nur über Zertifikate auch vorübergehend wichtig...
Dafür sind insgesamt folgende Schritte notwendig (alte Variante unten kann eventuell auch helfen):
# auf dem Client-Rechner (Linux oder Mac)
ssh-keygen
# für höchste Sicherheit auch Passphrase angeben / für komfortable bzw. für Zugriff über Skripte ohne

# Schlüssel auf Server kopieren:
ssh-copy-id -i user@server




B. Login ohne Passwort über SSH ermöglichen
Schlüssel generieren:
ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel
(kein Passwort bei Nachfrage eingeben, sonst ist remote-Zugriff nicht möglich)

Über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
... password:

(hier pwd eingeben, weil dies Login ist)

dann geht es weiter:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat >> .ssh/authorized_keys'
... password:

(letztes mal pwd eingeben)

Jetzt funktioniert der login folgendermaßen:
ssh -i /pfad/dateiname-schlüssel name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners



Achtung! Da im RasPI die o. g. Beschreibung nicht funktionierte, hier einige Hinweise aus der Beschreibung bei Thomas Krenn:


ssh-keygen -b 4096
ssh-copy-id -i .ssh/key_rsa.pub user@IP-to-my-Machine


Auf dieser Seite sind keine Kommentare vorhanden
Valid XHTML  |  Valid CSS  |  Powered by WikkaWiki