Version [4352]
Dies ist eine alte Version von SSH erstellt von ErdaxoAdmin am 2023-02-08 14:37:48.
SSH, OpenSSH usw.
sichere, verschlüsselte Verbindungen mit UNIX
A. Absicherung step-by-step
Folgende Vorgaben sollten umgesetzt werden:
- Kein ROOT-Login von außen - nur normaler Benutzer!
- Aber auch dieser nur mit Zertifikat!
1. ROOT-Zugang sperren
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren. Nachstehend wird die Vorgehensweise für debian behandelt, wo ein ROOT-Konto grundsätzlich existiert und per su - jederzeit aufgerufen werden kann (Thema SUDO wird also nicht behandelt):
2. Anmeldung mit Zertifikaten ermöglichen
Die Anmeldung mit Zertifikat ist zu empfehlen... Auch wenn künftig eine Umstellung auf Teleportiert angestrebt wird, ist grundlegende Sicherheit nur über Zertifikate auch vorübergehend wichtig...
Dafür sind insgesamt folgende Schritte notwendig:
Jetzt funktioniert der login folgendermaßen:Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren. Nachstehend wird die Vorgehensweise für debian behandelt, wo ein ROOT-Konto grundsätzlich existiert und per su - jederzeit aufgerufen werden kann (Thema SUDO wird also nicht behandelt):
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
adduser [myusername]
# dann Passwörter etc. auch eingeben
----
# Datei "/etc/ssh/sshd_config" bearbeiten:
nano /etc/ssh/sshd_config
# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
# Server neu starten
systemctl reload sshd
adduser [myusername]
# dann Passwörter etc. auch eingeben
----
# Datei "/etc/ssh/sshd_config" bearbeiten:
nano /etc/ssh/sshd_config
# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
# Server neu starten
systemctl reload sshd
2. Anmeldung mit Zertifikaten ermöglichen
Die Anmeldung mit Zertifikat ist zu empfehlen... Auch wenn künftig eine Umstellung auf Teleportiert angestrebt wird, ist grundlegende Sicherheit nur über Zertifikate auch vorübergehend wichtig...
Dafür sind insgesamt folgende Schritte notwendig:
a. Einfache Variante (nicht immer möglich)
b. Ältere, meist aber zuverlässigere Variante
# auf dem Client-Rechner (Linux oder Mac)
ssh-keygen
# für höchste Sicherheit auch Passphrase angeben / für komfortable bzw. für Zugriff über Skripte ohne
# Schlüssel auf Server kopieren:
ssh-copy-id -i user@server
ssh-keygen
# für höchste Sicherheit auch Passphrase angeben / für komfortable bzw. für Zugriff über Skripte ohne
# Schlüssel auf Server kopieren:
ssh-copy-id -i user@server
b. Ältere, meist aber zuverlässigere Variante
# Schlüssel generieren - wie oben (einfache Variante):
ssh-keygen
# (kein Passwort bei Nachfrage eingeben, wenn remote-Zugriff erwünscht)
# komplexere Variante
ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel
# über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
#... password:
#(hier pwd eingeben, weil dies Login ist)
# dann geht es weiter:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat >> .ssh/authorized_keys'
#... password:##
# (letztes mal pwd eingeben)
ssh-keygen
# (kein Passwort bei Nachfrage eingeben, wenn remote-Zugriff erwünscht)
# komplexere Variante
ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel
# über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
#... password:
#(hier pwd eingeben, weil dies Login ist)
# dann geht es weiter:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat >> .ssh/authorized_keys'
#... password:##
# (letztes mal pwd eingeben)
ssh username@ip-des-anderen-rechners
Achtung! Da im RasPI die o. g. Beschreibung nicht funktionierte, hier einige Hinweise aus der Beschreibung bei Thomas Krenn:
ssh-keygen -b 4096
ssh-copy-id -i .ssh/key_rsa.pub user@IP-to-my-Machine
Auf dieser Seite sind keine Kommentare vorhanden