Wie Zugang per SSH organisieren?

[rootserver]

Aus vielen Infoquellen gibt es immer wieder folgende Tipps zu SSH:

-> Zugang möglichst nicht über Root ermöglichen, da sonst potentielle BrutoForce-Gefahr besteht
-> Zugang jedoch auch nicht den Kunden bspw. per Confixx gewähren
-> möglichst wenige Zugänge per SSH etc. bereitstellen (da weniger Angriffsflächen)

Also wäre es wahrscheinlich am Sinnvollsten, für den Root einen neuen Benutzer anzulegen, den SSH-Zugang direkt in der /etc/ssh/sshd_conf für den neuen Benutzer freizugeben und für den Root zu sperren.

Ist das richtig, oder habe ich etwas entscheidendes übersehen bzw. gibt es sinnvollere Möglichkeiten? Benötigt wird nur 1 SSH-Zugang.

[static]

Hi,
es ist besser einen normalen Benutzer anzulegen, und dann mit 'su' root werden, als einen anderen Benutzer einfach Root-Rechte zu geben. Und dann natürlich jeden Rootlogin von aussen sperren. Weiter sind SSH-Keys einem normalen Passwort vorzuziehen.

.static

[rootserver]

Ja, das war eigentlich auch gemeint. Nur wäre statt
"für den Root einen neuen Benutzer anzulegen"
wahrscheinlich
"statt des Roots einen neuen Benutzer anzulegen"
verständlicher gewesen.

Gut. Dazu gibt es ja auch reichtlich Informationen, wie dies ohne Confixx-Probleme realisierbar ist. Werd mich dann mal dran machen.

[oxygen]

Naja ich halte da eigentlich nicht viel von einfach nur Root Login zu deaktiveren. Besser man deaktiviert den Login per Passwort für alle User.

[rootserver]

Für wirklich ALLE Benutzer ist dies insofern nicht sinnvoll, da man ja mindestens einen Benutzer mit SSH-Rechten braucht. Wie soll man sonst täglich seinen Server administrieren können. 8O Habe jetzt aber statt Root einen anderen Zugang und nutze dann Su sowie Einschränkung per Sudo.

[duergner]

Den Zugang per Passwort deaktivieren hat er geschrieben. Es gibt ja noch SSH-Key-Auth.

[rootserver]

Ah ja, danke für den Hinweis. Das wäre natürlich auch möglich, sowie Einschränkungen nach IP-Adresse (-bereich) etc. Werde da mal ein passendes Konzept erarbeiten.

[yt]

Den Zugang per Passwort deaktivieren hat er geschrieben. Es gibt ja noch SSH-Key-Auth.

Allerdings ist das bei oft wechselnden Einsatzorten mit unterschiedlichen PCs nicht gerade von Vorteil. Mit einem Passwort kann man quasi von jedem PC mit Internetzugang auf den Server mal schnell zugreifen.

[rootserver]

Ja, schon klar. Es gilt so einige Punkte für SSH und darüberhinaus für die eigene Situation abzuwägen, soviel ist mir mittlerweile auch schon klar. Daher kann es eine Shortlist für die optimale und sichere Server-Administration auch nicht unbedingt geben, da die Ansprüche zu verschieden sind.

[oxygen]

Den Zugang per Passwort deaktivieren hat er geschrieben. Es gibt ja noch SSH-Key-Auth.

Allerdings ist das bei oft wechselnden Einsatzorten mit unterschiedlichen PCs nicht gerade von Vorteil. Mit einem Passwort kann man quasi von jedem PC mit Internetzugang auf den Server mal schnell zugreifen.

Ich habe meine Keys auf einen USB Stick am Schlüsselbund, damit kann ich auch von überall an meine Server. Ansonsten kann ich mich auf meine Rechner Zuhause einloggen und dann von dort aus weiter zu den Servern.

[fossibär]

Moin
ich hab auch ein kleines probelm
meine datei /etc/pam.d/su sieht so aus:

Code: Select all

auth	required	pam_wheel.so	group=wheel debug
auth	sufficient	pam_rootok.so
auth	required	pam_unix2.so
account	required	pam_unix2.so
session	required	pam_unix2.so

jetzt kann ich mich über ssh nur noch mit meinem benutzer anmelden und dann per su zum root wechseln, bis dahin ist ja alles okay.

ich hab jetzt noch einen server laufen der unter anderem benutzernamen läuft.
der wird mittels "su <user> server" gestartet, aber seitdem ich die /etc/pam.d/su geändert habe will der beim booten immer das passwort vom <user> haben, d.h. er bleibt erstmal stehen bis ich das passwort eingegeben habe.
wenn ich das eingebe meint er es währe falsch und der server startet nicht.
das system bootet danach weiter
wie kann ich das mit der passwortabfrage umgehen?

MfG Ingo

[dodolin]

a) Was sagen die Logs dazu?
b) Wenn der su <user> Befehl von root ausgeführt wird, sollte folgende Zeile

auth sufficient pam_rootok.so

eigentlich bereits ausreichen, damit eben gerade kein Passwort benötigt wird.

[fossibär]

ich hab da noch nen problem

mit dieser kley auth

wenn ich in putty das file reinlade und mich einloggen möchte, kommt immer so ein fehler das die datei nicht benutzt werden kann

Code: Select all

1. Du erzeugst mit "ssh-keygen -t rsa" oder "ssh-keygen -dsa" einen RSA- bzw DSA-Key (beides SSHv2). 
2. Du findest jetzt in $HOME/.ssh zwei Dateien, nämlich "id_rsa" und "id_rsa.pub" bzw. ("id_dsa" und "id_dsa.pub"). 
3. Du kopierst den Public-Key (also "id_rsa.pub" bzw. "id_dsa.pub") auf den Server, auf den du dich nachher per Key-Authentication einloggen willst). 
4. Jetzt fügst du den Public-Key der Liste von autorisierten Keys hinzu, und zwar mit "cat id_rsa.pub >> ~/.ssh/authorized_keys" bzw. "cat id_dsa.pub >> ~/.ssh/authorized_keys". 

hab ich alles gemacht, hab den rsa genommen

muss ich in der sshd_config vielleicht irgendwas beachten?

[andreask2]

http://www.chiark.greenend.org.uk/~sgta ... tml#QA.2.2

puttygen -> http://www.chiark.greenend.org.uk/~sgta ... nload.html

Ist zwar etwas OT, aber da steht auch was zm Thema: http://www.xwolf.de/artikel/cvstutor/cvstutor1.shtml

[andreask2]

Das hilft sicher: http://www.redslider.net/putty-openssh-keypairs.html

[fossibär]

ja cool hat gefunzt, danke euch