Revision history for SSH
Additions:
((2)) Zugriff auf bestimmte Adressen begrenzen
Der Zugriff kann über die hosts gesteuert werden (deny|allow)
touch /etc/hosts.{allow,deny}
nano /etc/hosts.deny
# eingeben:
sshd: ALL
-
nano /etc/hosts.allow
sshd: 10.111.0.2
Der Zugriff kann über die hosts gesteuert werden (deny|allow)
touch /etc/hosts.{allow,deny}
nano /etc/hosts.deny
# eingeben:
sshd: ALL
-
nano /etc/hosts.allow
sshd: 10.111.0.2
Additions:
PasswordAuthentication no
ChallengeResponseAuthentication no
ChallengeResponseAuthentication no
Additions:
1) bei Bedarf: Zugriff auf bestimmte IP-Adressen begrenzen
Additions:
ssh-copy-id [-i pfad/id_rsa.pub] user@server
Deletions:
No Differences
Additions:
1) Kein ROOT-Login von außen
1) nur normaler Benutzer!
Jetzt funktioniert der login folgendermaßen:
##ssh username@ip-des-anderen-rechners##
((2)) Anmeldung mit Passwort verhindern
1) nur normaler Benutzer!
Jetzt funktioniert der login folgendermaßen:
##ssh username@ip-des-anderen-rechners##
((2)) Anmeldung mit Passwort verhindern
Deletions:
Jetzt funktioniert der login folgendermaßen:
##ssh username@ip-des-anderen-rechners##
Additions:
ssh-copy-id -i .ssh/key_rsa.pub user@IP-to-my-Machine##
Deletions:
No Differences
Additions:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat >> .ssh/authorized_keys'
Deletions:
Additions:
Dafür sind insgesamt folgende Schritte notwendig:
((3)) Einfache Variante (nicht immer möglich)
%%(perl)
((3)) Ältere, meist aber zuverlässigere Variante
%%(perl)
# Schlüssel generieren - wie oben (einfache Variante):
ssh-keygen
# (kein Passwort bei Nachfrage eingeben, wenn remote-Zugriff erwünscht)
# komplexere Variante
ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel
# über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
#... password:
#(hier pwd eingeben, weil dies Login ist)
# dann geht es weiter:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat "">>"" .ssh/authorized_keys'
#... password:##
# (letztes mal pwd eingeben)
##ssh username@ip-des-anderen-rechners##
((3)) Einfache Variante (nicht immer möglich)
%%(perl)
((3)) Ältere, meist aber zuverlässigere Variante
%%(perl)
# Schlüssel generieren - wie oben (einfache Variante):
ssh-keygen
# (kein Passwort bei Nachfrage eingeben, wenn remote-Zugriff erwünscht)
# komplexere Variante
ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel
# über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
#... password:
#(hier pwd eingeben, weil dies Login ist)
# dann geht es weiter:
cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat "">>"" .ssh/authorized_keys'
#... password:##
# (letztes mal pwd eingeben)
##ssh username@ip-des-anderen-rechners##
Deletions:
((1)) Login ohne Passwort über SSH ermöglichen
Schlüssel generieren:
##ssh-keygen -t dsa -b 1024 -f /pfad/dateiname-schlüssel##
(kein Passwort bei Nachfrage eingeben, sonst ist remote-Zugriff nicht möglich)
Über Fernzugriff Schlüssel auf dem zweiten Rechner installieren
##ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners mkdir -p .ssh
... password:##
(hier pwd eingeben, weil dies Login ist)
dann geht es weiter:
##cat /pfad/dateiname-schlüssel.pub | ssh name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners 'cat "">>"" .ssh/authorized_keys'
... password:##
(letztes mal pwd eingeben)
##ssh -i /pfad/dateiname-schlüssel name-des-benutzers-auf-dem-entfernten-rechner@ip-des-anderen-rechners##
Additions:
((2)) Anmeldung mit Zertifikaten ermöglichen
Die Anmeldung mit Zertifikat ist zu empfehlen... Auch wenn künftig eine Umstellung auf Teleportiert angestrebt wird, ist grundlegende Sicherheit nur über Zertifikate auch vorübergehend wichtig...
Dafür sind insgesamt folgende Schritte notwendig (alte Variante unten kann eventuell auch helfen):
# auf dem Client-Rechner (Linux oder Mac)
ssh-keygen
# für höchste Sicherheit auch Passphrase angeben / für komfortable bzw. für Zugriff über Skripte ohne
# Schlüssel auf Server kopieren:
ssh-copy-id -i user@server
Die Anmeldung mit Zertifikat ist zu empfehlen... Auch wenn künftig eine Umstellung auf Teleportiert angestrebt wird, ist grundlegende Sicherheit nur über Zertifikate auch vorübergehend wichtig...
Dafür sind insgesamt folgende Schritte notwendig (alte Variante unten kann eventuell auch helfen):
# auf dem Client-Rechner (Linux oder Mac)
ssh-keygen
# für höchste Sicherheit auch Passphrase angeben / für komfortable bzw. für Zugriff über Skripte ohne
# Schlüssel auf Server kopieren:
ssh-copy-id -i user@server
Additions:
# Server neu starten
systemctl reload sshd
%%
systemctl reload sshd
%%
Deletions:
Additions:
nano /etc/ssh/sshd_config
# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
# => darin muss folgende Zeile enthalten sein:
PermitRootLogin no
Additions:
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren. Nachstehend wird die Vorgehensweise für //debian// behandelt, wo ein ROOT-Konto grundsätzlich existiert und per ##su -## jederzeit aufgerufen werden kann (Thema SUDO wird also nicht behandelt):
# Datei "/etc/ssh/sshd_config" bearbeiten:
# Datei "/etc/ssh/sshd_config" bearbeiten:
Deletions:
Additions:
%%(perl)
Deletions:
Additions:
adduser [myusername]
# dann Passwörter etc. auch eingeben
# dann Passwörter etc. auch eingeben
Additions:
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
Deletions:
Additions:
1) Kein ROOT-Login von außen - nur normaler Benutzer!
1) Aber auch dieser nur mit Zertifikat!
((2)) ROOT-Zugang sperren
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
%%(bash)
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
%%
1) Aber auch dieser nur mit Zertifikat!
((2)) ROOT-Zugang sperren
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
%%(bash)
# Benutzer hinzufügen und ihm Möglichkeit der Anmeldung einräumen
%%
Deletions:
1) sdfsdf
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
Additions:
1) sdfsf
1) sdfsdf
1) sdfsdf
Deletions:
- sdfsdf
Additions:
((1)) Absicherung //step-by-step//
Folgende Vorgaben sollten umgesetzt werden:
- sdfsf
- sdfsdf
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
((1)) Login ohne Passwort über SSH ermöglichen
Folgende Vorgaben sollten umgesetzt werden:
- sdfsf
- sdfsdf
Grundlegendes Prinzip ist, den ROOT-Zugang per SSH von außen zu blockieren
((1)) Login ohne Passwort über SSH ermöglichen
