Fernwartung mit SSH

☰ Menü

SSH-Server absichern

 

Die Grundsicherung

Sie können sich nun mit einem Benutzerkonto und dem zugehörigen Passwort am SSH-Server anmelden. Sie sollten jetzt bereits herausgefunden haben, wie Sie

Sollten Sie einen privaten SSH-Server über einen DynDNS-Dienst ins Internet stellen, reichen diese Einstellungen vielleicht aus, aber Ihr Rechner bleibt angreifbar, z.B. durch Brut-Force-Attacken oder Passwortdiebstahl. Auch das Ändern des SSH-Port verbessert die Sicherheit kaum. Auf jeden Fall sollten Sie die root-Anmeldung abschalten.

 

Private-Public-Key-Verschlüsselung

Ein deutliches Plus an Sicherheit gewinnen Sie, wenn Sie den SSH-Server auf PPK (Private-/Public-Key-Authentication) umstellen und anschließend die Anmeldung per Benutzerkonto und Passworteingabe abschalten. Sie benötigen ein Schlüsselpaar, bestehend aus Ihrem geheimen, evtl. passwortgeschützten privaten Schlüssel und dem zugehörigen öffentlichen Schlüssel. Der öffentliche Schlüssel wird auf dem Server in der Datei .ssh/authorized_keys des Benutzerprofils gespeichert, z.B.: /home/sshuser/.ssh/authorized_keys. Falls der versteckte Ordner .ssh noch nicht existiert, müssen Sie diesen erst noch per GUI oder Konsolenbefehl mkdir .ssh erstellen. Die Datei authorized_keys kann mehrere öffentliche Schlüssel enthalten. Achten Sie darauf, dass bestehende Schlüssel nicht überschreiben, sondern dass Sie Ihren Schlüssel an die Datei anhängen, z.B. mit dem Konsolenbefehl: cat mypubkey >> .ssh/authorized_keys. Mit cat mypubkey wird der Inhalt der Datei angezeigt, durch den Zusatz >> .ssh/authorized_keys wird die Ausgabe auf das Ende der Datei .ssh/authorized_keys umgeleitet. Wenn Sie alles richtig gemacht haben, sollten Sie sich jetzt bereits per PPK am SSH-Server anmelden können. Nach erfolgreichem Test sollten Sie nun die Anmeldung per Benutzername und Passwort abschalten.
Dazu setzen Sie die Option ChallengeResponseAuthentication in der SSH-Konfiguration auf no, falls diese aktiviert ist. Außerdem ersetzen Sie die Option #PasswordAuthentication yes durch PasswordAuthentication no und laden die Konfiguration des SSH-Servers neu. Vergessen Sie nicht, das Kommentarzeichen # zu entfernen! Wenn Sie es richtig gemacht haben, können Sie sich jetzt nur noch per PPK anmelden.

Das folgende Video zeigt, wie PPK mit den Programmen Putty, Puttygen und WinSCP von einem Windowsrechner erzeugt wird.

 

Aufgaben 3

  1. Laden Sie die Programme Putty, Puttygen und WinSCP aus dem Fundus und setzen Sie PPK-Authentifizierung praktisch um!
  2. Begründen Sie: Inwiefern ist PPK sicherer als die Anmeldung mit Benutzername und Passwort?
  3. Dokumentieren Sie jeden Schritt ausführlich!

 

Hilfen / Quellenangaben

www.online-tutorials.net/security/tutorials-69.html
www.openssh.com/manual.html
wiki.archlinux.de/title/SSH
www.unixlore.net/articles/five-minutes-to-more-secure-ssh.html

 

W. Hermanns, © 2017