ssh Anmeldung nur mit RSA-Key

09. Juni 2011   admin   1 Kommentar
fehlt wasgeht sogutsehr guthat geholfen (No Ratings Yet)
Loading ... Loading ...
Werbung




puttygenbtn

Absicherung des Servers durch Anmeldung vis SSH und RSA Key

ssh erlaubt es einem Administrator, sich über Netz mit einem Passwort an dem Server anzumelden. Da die meisten Administratoren sich nicht dazu durchringen können, sich schwer knackbare Passwörter zu vergeben, da sie doch des öfteren vergessen werden, oder einfach nur schwer zu tippen sind, werden einfache Passwörter benutzt. Gerade für den Benutzer root kann dies schwerwiegende Folgen haben. Man sollte zwar nicht als root arbeiten und sich auch nicht einloggen, aber dennoch gibt es auch andere Möglichkeiten, diesen Port abzusichern.

In Verbindung mit dem Consolenprogramm PuTTY kann man ein Linux-System so absichern, dass sich nur noch ein Client mit einem gültigen Key anmelden kann. Dies hat noch den schönen Nebeneffekt, dass man sich auch keine Passwörter mehr merken muss.

PuTTY und PuTTYgen

puttygen RSA Key GeneratorMan benötigt das Client Programm PuTTY und den Keygenerator PuTTYgen (www.chiark.greenend.org.uk/~sgtatham/putty/download.html). Diese Programme sind kostenlos im Internet verfügbar.
RSA Schlüssel generieren

Nach dem Start des Programmes PuTTYgen muss auf den Button Generate geklickt werden. Danach wird der Schlüssel generiert, indem man im PuTTYgen-Fenster die Maus bewegt, bis der Balken die volle Länge erreicht hat. Danach wird der Schlüssel berechnet und angegeben. Kopieren Sie nun den Teil, der unter Public key for pasting into OpenSSH authorized_keys file: in die Zwischenablage (markieren Sie den Teil und drücken Sie Strg + C). Danach klicken Sie auf den Button Save private key. Speichern Sie die Datei auf die lokale Festplatte. Dies ist die Gegendatei, mit der Sie sich später an dem Server identifizieren.

Installieren der authorized_keys

Öffnen Sie nun eine Session zu Ihrem Linux-Server. Gehen Sie in das Home-Verzeichnis des Anwenders, der sich mit diesem Schlüssel anmelden soll. Dort legen Sie, falls nicht vorhanden, das Verzeichnis

.ssh

an. Wechseln Sie in dieses Verzeichnis und erstellen die Datei

authorized_keys

, z.B. mit dem Programm vi. Dort kopieren Sie nun den Teil des Schlüssels aus der Zwischenablage rein (Falls Sie PuTTY benutzen, reicht ein Klich auf die rechte Maustaste). Speichern Sie diese Datei nun ab. Sie können die Session nun beenden.

PuTTY konfigurieren

Starten Sie den PuTTY Client. Tragen Sie Ihren Servernamen bei Hostnamen ein und klicken SSH an. Klicken Sie links auf Connection und tragen bei Auto-login name: den Usernamen des Anwenders ein, der sich mit dem Schlüssel anmelden soll (der Username, von dem Sie im Home-Verzeichnis die authorized_keys erstellt haben). Klicken Sie nun im Baum weiter unten auf Auth[ (Connection ? SSH ? Auth). Tragen Sie nun bei Private key file for authentication den Pfad und Dateinamen des Keyfiles auf Ihrer lokalen Festplatte ein, welches Sie mit dem Tool PuTTYgen gespeichert haben (oder klicke auf Durchsuchen und geben den Pfad so an). Danach klicken Sie wieder auf Session, geben bei Save Sessions der Session noch einen Namen und speichern dies mit einem Klick auf Save ab.

Testen Sie nun die Verbindung. Ein Doppeltklick auf die eben gespeicherte Session sollte eine PuTTY-Session zu Ihrem Server öffnen, bei der Sie keinen Usernamen und kein Passwort mehr angeben sollten, Sie sollten direkt auf die Shell-Ebene gelangen. Falls dies nicht der Fall ist, prüfen Sie, ob in der Datei /etc/ssh/sshd_config die Option PubkeyAuthentication auf yes steht. Prüfen Sie die Funktion nochmals. Bevor Sie weiter der Anleitung folgen, muss das Anmelden ohne Passwort möglich sein.

Passwortanmeldungen verbieten

Als letzter Schritt muss nun die Anmeldung über Passwort deaktiviert werden. Dies geschieht auf dem Linux-Server in der Datei /etc/ssh/sshd_config. Folgende Einstellungen müssen Sie wie folgt ändern:

PubkeyAuthentication yes
PasswordAuthentication no
UsePAM no
X11Forwarding no

Nun muss der SSH-Server neu gestartet werden:

rcsshd restart

Ab sofort sollten von außen Versuche, die sich nur mit Passwort anmelden möchten, sofort die Meldung Permission denied kommen.

Vorsicht

Das Keyfile, welches lokal auf der Festplatte liegt, ist die Zugangsberechtigung auf Ihren Server. Ohne diese Datei wird kein Zugriff über ssh mehr möglich sein! Sichern Sie diese Datei auf mindestens einem anderen Medium (USB-Stick, CD-R) vor Verlust. Falls Sie bei Verlust keine serielle Remote-Console haben oder direkt an den Server kommen, bliebe schlimmstenfalls nur noch eine Neuinstallation als Zugriffsweg übrig.

bisherige Suchbegriffe:

  • rsa key erstellen
  • Authorized Key
  • root nur noch mit schlüssel login
  • rsa-key login ssh
  • administrator mit rsa anmelden
  • ssh anmelden
  • sever einrichten rsa
  • rsa schlüssel erstellen
  • rsa schlüssel berechnen
  • rsa key übernehmen
Posted in: Security   Tags: , , ,


Werbung


Eine Kommentar zu: ssh Anmeldung nur mit RSA-Key

  1. Mit scp Daten zwischen 2 Servern kopieren sagt:
    22. Februar 2012 um 08:27

    [...] von vielen Administratoren benutzt, ist das RSA Key Verfahren. Dieses Login erübrigt die Eingabe eines Passwortes, da zuvor eine RSA Key Datei erzeugt wurde. [...]

    Antworten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>