Re: ssh-Zugang weiter verschärfen

To: debian-user-german@lists.debian.org
Subject: Re: ssh-Zugang weiter verschärfen
From: Christian Knorr <chris@knorrc.de>
Date: Wed, 19 Dec 2007 07:50:20 +0100
Message-id: <200712190750.20538.chris@knorrc.de>
In-reply-to: <200712182337.55722.Martin@lichtvoll.de>
References: <200712180906.20226.chris@knorrc.de> <200712182337.55722.Martin@lichtvoll.de>

Am Dienstag 18 Dezember 2007 23:37:42 schrieb Martin Steigerwald:
> Hallo!
>
> Ich habe das zwar auf meinen Notebooks auch so gemacht, doch sonderlich
> viel Sicherheitsgewinn bringt das meines Erachtens nicht. Na, gut, man
> muss zwei Passwörter knacken statt einem... OK...
>
> Doch aus meiner Sicht wesentlich sicherer ist, die passwortlosen
> SSH-Logins soweit wie möglich komplett auszuschalten. Sofern Benutzer mit
> Passwort einloggen können dürfen (etwa weil für POP3 / IMAP mit reallen
> POSIX-Benutzern erforderlich, sofern keine virtuellen Accounts eingesetzt
> werden):
>
> PermitRootLogin without-password
>
> D.h. ein Root-Login ist nur noch via SSH-Key möglich.
>
> Auf meinen Laptops stattdessen gleich:
>
> PasswordAuthentication no
>
> Das heisst, ohne SSH-Key, deren öffentlicher Teil in der authorized_keys
> drin ist, geht halt mal gar nix.
>
> Ich bilde mir ein, dass es eine Zeit lang nur wirklich sicher ging,
> wenn "UsePAM no" gesetzt war. In SUSE war da in der sshd_config gar ein
> entsprechender Hinweis. Mittlerweile gehts jedoch zumindest hier auch bei
> gleichzeitigem "UsePAM yes". Da hat sich evtl. etwas an der
> PAM-Konfiguration geändert.
>
> Aber das lässt sich ja auch einfach testen. Wenn SSH mich, nachdem ich das
> SSH-Schlüssel-Passwort nicht eingebe gar nicht mehr nach einem normalen
> Passwort fragt, bevor es den Zugriff ablehnt, funktioniert es wie
> gewünscht.
>
> martin@shambala> ssh martin@shambala
> Enter passphrase for key '/home/martin/.ssh/id_rsa':
> Permission denied (publickey).
>
> Wichtig dabei: Vorher mit ssh-copy-id oder manuell den öffentlichen Teil
> eines SSH-Schlüssels der authorized_keys hinzufügen. Sonst kommt man halt
> via SSH gar nicht mehr drauf ;).
>
> Um Skript-Kiddies fernzuhalten, macht es auch Sinn, den SSH-Port zu
> ändern. Das ist jedoch letztlich nicht mehr als Security by Obscurity und
> aus meiner Sicht keine Alternative zur weitest möglichen Einschränkung
> von passwort-basierten SSH-Zugängen.
>
> Wichtig bei SSH-Schlüsseln ist natürlich, ausschließlich SSH-Schlüssel zu
> verwenden, die mit einer sicheren Passphrase verschlüsselt sind.
>
> Ciao,
Das klingt alles ganz gut, guck ich mir mal an und teste,
solange der Server seinen Regelbetrieb noch nicht aufgenommen hat.

Danke :-)
MfG, Chris.....

P.S. eine Sache zu dem ssh-Port:
Beim IP-Cop ist der nicht auf 22. Da ich eh mit einem kleinen Script arbeite 
macht das zwar keinen Unterschied, aber ich kam mit mc nicht mehr drauf.
Ich konnte mc nicht beibringen einen anderen Port zu benutzen :-(
Oder geht's doch?

Reply to:

Follow-Ups:
- Re: ssh-Zugang weiter verschärfen
  - From: Martin Steigerwald <Martin@lichtvoll.de>

References:
- ssh-Zugang weiter verschärfen
  - From: Christian Knorr <chris@knorrc.de>
- Re: ssh-Zugang weiter verschärfen
  - From: Martin Steigerwald <Martin@lichtvoll.de>

Prev by Date: Re: ssh-Zugang weiter verschärfen
Next by Date: Re: ssh-Zugang weiter verschärfen
Previous by thread: Re: ssh-Zugang weiter verschärfen
Next by thread: Re: ssh-Zugang weiter verschärfen
Index(es):
- Date
- Thread