SSH Server / Deamon konfigurieren

Für einen sicheren Betrieb wollen wir den OpenSSH  Sever etwas absichern. Ein Login soll zukünftig nur mit einem gültigen Zertifikat möglich sein und die direkte Anmeldung des privilegierten Benutzers ‚root‚ soll unterbunden werden.

ACHTUNG: Vorher muss auf dem Server ein Benutzer mit gültigen Zertifkat und Mitgliedschaft mit sudo Rechten eingerichtet sein!
Ist dies nicht der Fall, ist eine Anmeldung aus der Ferne nicht mehr möglich! Falls das noch nicht geschehen ist, bitte erst die Artikel ‚Administrativen Hauptbenutzer einrichten‘ und ‚Zertifikatsbasierten Login für einrichten‚.

Wir melden uns als root auf der Shell an und erstellen eine Sicherheitskopie von der  /etc/ssh/sshd_config .

cp /etc/ssh/sshd_config /etc/ssh/sshd_config_org

Nun editieren wir die Datei/etc/ssh/sshd_config. Hier müssen folgende Einträge eingefügt oder entsprechend geändert werden:

PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PubkeyAuthentication yes

Nun müssen wir noch den SSH Server neu starten.

/etc/init.d/ssh restart

Dabei sollte in der Regel die aktuelle aktive SSH-Sitzung von der aus Ihr den Server neu startet erhalten und aktiv bleiben!

Test

Bitte die aktuelle SSH-Sitzung für den Notfall offen halten und in einem zusätzlichen Terminal Fenster folgende Logins ausprobieren:

ssh root@<MEINSERVER>

Dieser Befehl sollte nun die Ausgabe ‚Permission denied (publickey)‚ produzieren und die Anmeldung mit Passwort ist für den Benutzer ‚root‚ nicht mehr möglich.

Gut soweit! Wir wollen nun aber auch wissen ob der zertifikatsbasierte Login mit unserem Hauptbenutzer (im Beispiel: ‚myadm‘) funktioniert. Also melden wir uns mit

ssh -i ~/.ssh/myadm myadm@<MEINSERVER>

Nun wird zunächst das Passwort für den privaten Schlüssel abgefragt und anschließend solltet Ihr automatisch angemeldet werden. Geht dies auch, müssen wir nur noch den Wechsel zum ‚root‘ prüfen. Dazu geben wir

sudo su

ein. Nun wird nach dem Passwort unseres Benutzers gefragt (also z. B. ‚myadm‘)  und anschließend solltet Ihr als root angemeldet sein.

WICHTIG: Sollte bei den Tests irgendetwas nicht funktionieren wie erwartet, geht bitte auf die immer noch offenen Notfall-Sitzung zurück, mach die SSH-Konfiguration rückgängig und startet den SSH Server neu. Anderenfalls besteht die Gefahr dass Ihr Euch von Eurem Server aussperrt!

0 Kommentare zu “SSH Server / Deamon konfigurieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Wenn du zum ersten Mal kommentierst, wird dein Kommentar erst angezeigt, nachdem ihn ein Moderator freigegeben hat. Das kann auch mal einen Tag dauern.