Page 1 of 1
Wie Zugang per SSH organisieren?
Posted: 2004-06-17 13:40
by rootserver
Aus vielen Infoquellen gibt es immer wieder folgende Tipps zu SSH:
-> Zugang möglichst nicht über Root ermöglichen, da sonst potentielle BrutoForce-Gefahr besteht
-> Zugang jedoch auch nicht den Kunden bspw. per Confixx gewähren
-> möglichst wenige Zugänge per SSH etc. bereitstellen (da weniger Angriffsflächen)
Also wäre es wahrscheinlich am Sinnvollsten, für den Root einen neuen Benutzer anzulegen, den SSH-Zugang direkt in der /etc/ssh/sshd_conf für den neuen Benutzer freizugeben und für den Root zu sperren.
Ist das richtig, oder habe ich etwas entscheidendes übersehen bzw. gibt es sinnvollere Möglichkeiten? Benötigt wird nur 1 SSH-Zugang.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 13:54
by static
Hi,
es ist besser einen normalen Benutzer anzulegen, und dann mit 'su' root werden, als einen anderen Benutzer einfach Root-Rechte zu geben. Und dann natürlich jeden Rootlogin von aussen sperren. Weiter sind SSH-Keys einem normalen Passwort vorzuziehen.
.static
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 14:05
by rootserver
Ja, das war eigentlich auch gemeint. Nur wäre statt
"für den Root einen neuen Benutzer anzulegen"
wahrscheinlich
"statt des Roots einen neuen Benutzer anzulegen"
verständlicher gewesen.
Gut. Dazu gibt es ja auch reichtlich Informationen, wie dies ohne Confixx-Probleme realisierbar ist. Werd mich dann mal dran machen.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 15:34
by oxygen
Naja ich halte da eigentlich nicht viel von einfach nur Root Login zu deaktiveren. Besser man deaktiviert den Login per Passwort für alle User.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 15:41
by rootserver
Für wirklich ALLE Benutzer ist dies insofern nicht sinnvoll, da man ja mindestens einen Benutzer mit SSH-Rechten braucht. Wie soll man sonst täglich seinen Server administrieren können. 8O Habe jetzt aber statt Root einen anderen Zugang und nutze dann Su sowie Einschränkung per Sudo.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 15:48
by duergner
Den Zugang per Passwort deaktivieren hat er geschrieben. Es gibt ja noch SSH-Key-Auth.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 15:53
by rootserver
Ah ja, danke für den Hinweis. Das wäre natürlich auch möglich, sowie Einschränkungen nach IP-Adresse (-bereich) etc. Werde da mal ein passendes Konzept erarbeiten.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 16:17
by yt
duergner wrote:Den Zugang per Passwort deaktivieren hat er geschrieben. Es gibt ja noch SSH-Key-Auth.
Allerdings ist das bei oft wechselnden Einsatzorten mit unterschiedlichen PCs nicht gerade von Vorteil. Mit einem Passwort kann man quasi von jedem PC mit Internetzugang auf den Server mal schnell zugreifen.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 16:19
by rootserver
Ja, schon klar. Es gilt so einige Punkte für SSH und darüberhinaus für die eigene Situation abzuwägen, soviel ist mir mittlerweile auch schon klar. Daher kann es eine Shortlist für die optimale und sichere Server-Administration auch nicht unbedingt geben, da die Ansprüche zu verschieden sind.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 16:26
by oxygen
YT wrote:duergner wrote:Den Zugang per Passwort deaktivieren hat er geschrieben. Es gibt ja noch SSH-Key-Auth.
Allerdings ist das bei oft wechselnden Einsatzorten mit unterschiedlichen PCs nicht gerade von Vorteil. Mit einem Passwort kann man quasi von jedem PC mit Internetzugang auf den Server mal schnell zugreifen.
Ich habe meine Keys auf einen USB Stick am Schlüsselbund, damit kann ich auch von überall an meine Server. Ansonsten kann ich mich auf meine Rechner Zuhause einloggen und dann von dort aus weiter zu den Servern.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 19:53
by fossibär
Moin
ich hab auch ein kleines probelm
meine datei /etc/pam.d/su sieht so aus:
Code: Select all
auth required pam_wheel.so group=wheel debug
auth sufficient pam_rootok.so
auth required pam_unix2.so
account required pam_unix2.so
session required pam_unix2.so
jetzt kann ich mich über ssh nur noch mit meinem benutzer anmelden und dann per su zum root wechseln, bis dahin ist ja alles okay.
ich hab jetzt noch einen server laufen der unter anderem benutzernamen läuft.
der wird mittels "su <user> server" gestartet, aber seitdem ich die /etc/pam.d/su geändert habe will der beim booten immer das passwort vom <user> haben, d.h. er bleibt erstmal stehen bis ich das passwort eingegeben habe.
wenn ich das eingebe meint er es währe falsch und der server startet nicht.
das system bootet danach weiter
wie kann ich das mit der passwortabfrage umgehen?
MfG Ingo
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-17 23:52
by dodolin
a) Was sagen die Logs dazu?
b) Wenn der su <user> Befehl von root ausgeführt wird, sollte folgende Zeile
auth sufficient pam_rootok.so
eigentlich bereits ausreichen, damit eben gerade kein Passwort benötigt wird.
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-18 01:02
by fossibär
ich hab da noch nen problem
mit dieser kley auth
wenn ich in putty das file reinlade und mich einloggen möchte, kommt immer so ein fehler das die datei nicht benutzt werden kann
Code: Select all
1. Du erzeugst mit "ssh-keygen -t rsa" oder "ssh-keygen -dsa" einen RSA- bzw DSA-Key (beides SSHv2).
2. Du findest jetzt in $HOME/.ssh zwei Dateien, nämlich "id_rsa" und "id_rsa.pub" bzw. ("id_dsa" und "id_dsa.pub").
3. Du kopierst den Public-Key (also "id_rsa.pub" bzw. "id_dsa.pub") auf den Server, auf den du dich nachher per Key-Authentication einloggen willst).
4. Jetzt fügst du den Public-Key der Liste von autorisierten Keys hinzu, und zwar mit "cat id_rsa.pub >> ~/.ssh/authorized_keys" bzw. "cat id_dsa.pub >> ~/.ssh/authorized_keys".
hab ich alles gemacht, hab den rsa genommen
muss ich in der sshd_config vielleicht irgendwas beachten?
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-18 10:27
by andreask2
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-18 11:03
by andreask2
Re: Wie Zugang per SSH organisieren?
Posted: 2004-06-19 18:24
by fossibär
ja cool hat gefunzt, danke euch