Version [4347]
Dies ist eine alte Version von SSH erstellt von ErdaxoAdmin am 2023-02-08 13:14:35.
SSH, OpenSSH usw.
sichere, verschlüsselte Verbindungen mit UNIX
A. Absicherung step-by-step
Folgende Vorgaben sollten umgesetzt werden:
- Kein ROOT-Login von außen - nur normaler Benutzer!
- Aber auch dieser nur mit Zertifikat!
1. ROOT-Zugang sperren
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren. Nachstehend wird die Vorgehensweise für debian behandelt, wo ein ROOT-Konto grundsätzlich existiert und per su - jederzeit aufgerufen werden kann (Thema SUDO wird also nicht behandelt):
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren. Nachstehend wird die Vorgehensweise für debian behandelt, wo ein ROOT-Konto grundsätzlich existiert und per su - jederzeit aufgerufen werden kann (Thema SUDO wird also nicht behandelt):
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
adduser [myusername]
# dann Passwörter etc. auch eingeben
----
# Datei "/etc/ssh/sshd_config" bearbeiten:
nano /etc/ssh/sshd_config
# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
# Server neu starten
systemctl reload sshd
adduser [myusername]
# dann Passwörter etc. auch eingeben
----
# Datei "/etc/ssh/sshd_config" bearbeiten:
nano /etc/ssh/sshd_config
# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
# Server neu starten
systemctl reload sshd
B. Login ohne Passwort über SSH ermöglichen
Schlüssel generieren:
ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel
(kein Passwort bei Nachfrage eingeben, sonst ist remote-Zugriff nicht möglich)
Über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
... password:
(hier pwd eingeben, weil dies Login ist)
dann geht es weiter:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat >> .ssh/authorized_keys'
... password:
(letztes mal pwd eingeben)
Jetzt funktioniert der login folgendermaßen:
ssh -i /pfad/dateiname-schlüssel name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners
Achtung! Da im RasPI die o. g. Beschreibung nicht funktionierte, hier einige Hinweise aus der Beschreibung bei Thomas Krenn:
ssh-keygen -b 4096
ssh-copy-id -i .ssh/key_rsa.pub user@IP-to-my-Machine
Diese Seite wurde noch nicht kommentiert.