Für einen sicheren Betrieb wollen wir den OpenSSH Sever etwas absichern. Ein Login soll zukünftig nur mit einem gültigen Zertifikat möglich sein und die direkte Anmeldung des privilegierten Benutzers ‚root‚ soll unterbunden werden.
ACHTUNG: Vorher muss auf dem Server ein Benutzer mit gültigen Zertifkat und Mitgliedschaft mit sudo Rechten eingerichtet sein!
Ist dies nicht der Fall, ist eine Anmeldung aus der Ferne nicht mehr möglich! Falls das noch nicht geschehen ist, bitte erst die Artikel ‚Administrativen Hauptbenutzer einrichten‘ und ‚Zertifikatsbasierten Login für einrichten‚.
Wir melden uns als root auf der Shell an und erstellen eine Sicherheitskopie von der /etc/ssh/sshd_config .
cp /etc/ssh/sshd_config /etc/ssh/sshd_config_org
Nun editieren wir die Datei/etc/ssh/sshd_config. Hier müssen folgende Einträge eingefügt oder entsprechend geändert werden:
PermitRootLogin no PasswordAuthentication no ChallengeResponseAuthentication no UsePAM yes AuthorizedKeysFile %h/.ssh/authorized_keys
PubkeyAuthentication yes
Nun müssen wir noch den SSH Server neu starten.
/etc/init.d/ssh restart
Dabei sollte in der Regel die aktuelle aktive SSH-Sitzung von der aus Ihr den Server neu startet erhalten und aktiv bleiben!
Test
Bitte die aktuelle SSH-Sitzung für den Notfall offen halten und in einem zusätzlichen Terminal Fenster folgende Logins ausprobieren:
ssh root@<MEINSERVER>
Dieser Befehl sollte nun die Ausgabe ‚Permission denied (publickey)‚ produzieren und die Anmeldung mit Passwort ist für den Benutzer ‚root‚ nicht mehr möglich.
Gut soweit! Wir wollen nun aber auch wissen ob der zertifikatsbasierte Login mit unserem Hauptbenutzer (im Beispiel: ‚myadm‘) funktioniert. Also melden wir uns mit
ssh -i ~/.ssh/myadm myadm@<MEINSERVER>
Nun wird zunächst das Passwort für den privaten Schlüssel abgefragt und anschließend solltet Ihr automatisch angemeldet werden. Geht dies auch, müssen wir nur noch den Wechsel zum ‚root‘ prüfen. Dazu geben wir
sudo su
ein. Nun wird nach dem Passwort unseres Benutzers gefragt (also z. B. ‚myadm‘) und anschließend solltet Ihr als root angemeldet sein.
WICHTIG: Sollte bei den Tests irgendetwas nicht funktionieren wie erwartet, geht bitte auf die immer noch offenen Notfall-Sitzung zurück, mach die SSH-Konfiguration rückgängig und startet den SSH Server neu. Anderenfalls besteht die Gefahr dass Ihr Euch von Eurem Server aussperrt!
0 Kommentare zu “SSH Server / Deamon konfigurieren”