Am Dienstag 18 Dezember 2007 schrieb Christian Knorr: > Hallo Liste, > in meinem Intranet habe ich folgende Marotte eingeführt: > root ist überall der Zugang per ssh gesperrt. > Stattdessen logge ich mich über ein Script ein: > > $ cat /usr/local/bin/ssh-server.sh > $ #!/bin/bash > $ ssh 192.168.178.30 -l chris Hallo! Ich habe das zwar auf meinen Notebooks auch so gemacht, doch sonderlich viel Sicherheitsgewinn bringt das meines Erachtens nicht. Na, gut, man muss zwei Passwörter knacken statt einem... OK... Doch aus meiner Sicht wesentlich sicherer ist, die passwortlosen SSH-Logins soweit wie möglich komplett auszuschalten. Sofern Benutzer mit Passwort einloggen können dürfen (etwa weil für POP3 / IMAP mit reallen POSIX-Benutzern erforderlich, sofern keine virtuellen Accounts eingesetzt werden): PermitRootLogin without-password D.h. ein Root-Login ist nur noch via SSH-Key möglich. Auf meinen Laptops stattdessen gleich: PasswordAuthentication no Das heisst, ohne SSH-Key, deren öffentlicher Teil in der authorized_keys drin ist, geht halt mal gar nix. Ich bilde mir ein, dass es eine Zeit lang nur wirklich sicher ging, wenn "UsePAM no" gesetzt war. In SUSE war da in der sshd_config gar ein entsprechender Hinweis. Mittlerweile gehts jedoch zumindest hier auch bei gleichzeitigem "UsePAM yes". Da hat sich evtl. etwas an der PAM-Konfiguration geändert. Aber das lässt sich ja auch einfach testen. Wenn SSH mich, nachdem ich das SSH-Schlüssel-Passwort nicht eingebe gar nicht mehr nach einem normalen Passwort fragt, bevor es den Zugriff ablehnt, funktioniert es wie gewünscht. martin@shambala> ssh martin@shambala Enter passphrase for key '/home/martin/.ssh/id_rsa': Permission denied (publickey). Wichtig dabei: Vorher mit ssh-copy-id oder manuell den öffentlichen Teil eines SSH-Schlüssels der authorized_keys hinzufügen. Sonst kommt man halt via SSH gar nicht mehr drauf ;). Um Skript-Kiddies fernzuhalten, macht es auch Sinn, den SSH-Port zu ändern. Das ist jedoch letztlich nicht mehr als Security by Obscurity und aus meiner Sicht keine Alternative zur weitest möglichen Einschränkung von passwort-basierten SSH-Zugängen. Wichtig bei SSH-Schlüsseln ist natürlich, ausschließlich SSH-Schlüssel zu verwenden, die mit einer sicheren Passphrase verschlüsselt sind. Ciao, -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.