SSH sichern
Vorhanden sein muss:
- Unixoides Server-Betriebssystem
- Unixiodes Client-Betriebssystem
- SSH-Server
- SSH-Client
- Benutzer dem wir SSH erlauben wollen (spaeter ssh_user genannt) *
Zunaechst erstellen wir am Client das RSA-Schluesselpaar (alternativ kann man auch analog hierzu DSA verwenden):
client$ ssh-keygen -t rsa
Der folgende Dialog erfragt Speicherort (Default: ~/.ssh/) und Passphrase (Kennwort).
Nach dem Erstellen des privaten und oeffentlichen Keys koennen wir nun den oeffentlichen Schluessel auf den Server kopieren:
client$ cat ~/.ssh/*.pub | ssh user@host 'umask 077; cat >>.ssh/authorized_keys'
Die Schluessel sind fertig, nun koennen wir SSH fertig konfigurieren. Hierzu editieren wir das Config-File (Default: /etc/ssh/sshd_config). Den Editor hierfuer kann man natuerlich frei waehlen, fuer Kleinigkeiten nutze ich gerne nano oder pico, empfehlenswert ist auch vi bzw vim.
srv: root$ nano /etc/ssh/sshd_config
Geaendert werden folgende Einstellungen:
- Port
beliebig >= 49152 - AllowUsers
ssh_user - AuthorizedKeysFile
%h/.ssh/authorized_keys - ChallengeResponseAuthentication
no - PasswordAuthentication
no - UsePAM
yes
Folgende Punkte muessen gesucht (In nano strg+w; in VI/VIM /) und bearbeitet bzw hinzugefuegt werden:
srv: root$ nano /etc/ssh/sshd_config
Nach einem SSH-Server-Neustart kann man bereits sein gesichertes Werk benutzen.
Eine weitere Moeglichkeit zum Sichern ist ein SSL-VPN-Tunnel á la OpenVPN und den SSH-Server nur auf eine interne LAN-IP listen zu lassen (ListenAddress W.X.Y.Z). Eine Anleitung hierzu findest du hier auf Szenenews.
* - Ein Benutzer laesst sich leicht per adduser NAME hinzufuegen.