Schlüsselsicherung des SSH Daemons

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Autor Thema: Schlüsselsicherung des SSH Daemons  (Gelesen 1234 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

jikrasmanuel

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 1
Schlüsselsicherung des SSH Daemons
« am: 19.Februar 2009, 22:49:53 »

Da die Standard SSH Konfiguration unsicher ist, bietet es sich an eine Schlüsselauthentifizierung zu integrieren.
Wenn das funktioniert kann die Passwort Autenthifizierung in unserem sshd komplett deaktivieren und den stadard Port ändern.

Schlüsselpaar erzeugen

Zuerst erzeugen wir unter Linux ein Schlüsselpaar:

~# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (.../.ssh/id_rsa): .../.ssh/id_rsa
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in .../.ssh/id_rsa.
Your public key has been saved in .../.ssh/id_rsa.pub.
The key fingerprint is:
***********************************************************


Es sollte unbedingt ein Passwort angeben werden, ansonsten kann man durch den reinen Besitz des Private Keys auf den Server zugreifen!

id_rsa.pub benennen wir um in authorized_keys und id_rsa laden wir uns lokal auf den Computer. Wichtig ist es, id_rsa danach sicher zu löschen! (ggf. wipe installieren mit apt-get install wipe)

~# wipe id_rsa
Okay to WIPE 1 regular file ? (Yes/No) yes
Operation finished.
1 file wiped and 0 special files ignored in 0 directories, 0 symlinks removed but not followed, 0 errors occured.


Den Vorgang wiederholen wir mit allen Usern, die Zugriff auf den sshd haben sollen.

Modes setzen:

chmod 0700 .ssh
chmod 0600 .ssh/authorized_keys


Putty Private Key
Nun laden wir uns puttygen.exe runter. Wir öffnen puttygen.exe und navigieren im Menü zu » Conversion / Import Key «. An dieser Stelle wählen wir den generierten private key aus, den wir uns auf unseren Computer geladen haben. Nun noch ein passendes Kommentar hinzufügen und wir können auf » save private key « klicken.

Diesen Key mit der .ppk Endung brauchen wir zum späteren Login für putty. Diesen Key niemals auf den Server laden!

WinSCP
Bei WinSCP ist puttygen bereits enthalten und unter dem Installationspfad von WinSCP im Ordner PuTTY zu finden.

Login Test
Nun testen wir, ob die Verbindung mit dem erzeugten Schlüssel zustande kommt. Dazu öffnen wir putty.exe und tragen wie gewohnt den Hostnamen ein. Bevor wir nun auf » open « klicken, wechseln wir links in der Baumansicht auf » Connection / SSH / Auth « und geben unter » private key file for authentication « den Pfad zu unserem ppk file an. Nun auf » open « klicken. Wenn der Login erfolgreich war, und ohne Fehlermeldung, können wir die Passwort Autenthifizierung in unserem sshd komplett deaktivieren.

sshd Konfiguration
Nun bearbeiten wir die sshd Konfigurationsdatei

/etc/ssh/sshd_config# Hier ist es sinnvoll einen Port oberhalb von 1024 zu nehmen
Port 22
 
# Unbedingt Protokoll 2 verwenden!
Protocol 2
 
# RSAAuthentication deaktivieren
RSAAuthentication no
 
# PubkeyAuthentication aktivieren
PubkeyAuthentication yes
 
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
 
# Wollen wir nicht
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
 
# Wollen wir erst recht nicht
PasswordAuthentication no
ChallengeResponseAuthentication nosshd neustarten
/etc/init.d/ssh restartHinweis
Die aktuelle SSH Sitzung wird nicht beendet. Um Konfigurationsfehler zu beheben sollte die aktuelle Sitzung offen bleiben, bis alles richtig funktioniert!

^^^^^^^^
Diese Anleitung ist nicht von mir, gefunden habe ich Sie hier http://wachert.com/wiki/linux:sshd-login-sichern


mfg
jikras
Gespeichert


remote-life.de

  • Gast
Re: Schlüsselsicherung des SSH Daemons
« Antwort #1 am: 19.Februar 2009, 23:56:24 »

Dazu noch PermitRootLogin auf no setzen und die MaxStartups-Variable setzen. StrictModes ist meines Wissens automatisch gesetzt, könnte aber nochmal auf yes gesetzt werden, um wirklich sicher zu gehen.
Gespeichert
 

Seite erstellt in 0.063 Sekunden mit 21 Abfragen.