SSH login von außerhalb ermöglichen und absichern

[harvey]

Ich habe dich schon zwei mal darauf hingewiesen, dass du dich umgehend um die Absicherung deines sshd kümmern solltest und dass es hier im Forum genügend Beiträge und Anleitungen dazu gibt. [...]
Leider bist du mit keinem einzigen Wort darauf eingegangen. OK, es ist dein Rechner, und du bist höchstwahrscheinlich erwachsen.

Ich danke dir für das Lesen meiner Beitrage.

Sorry, aber Du musst mir schon ein bisschen Zeit geben, die Details zur Absicherung des sshd mit asymmetrischen keys zu lesen und zu verstehen. Die Vorsichtsmaßnahme, die ich bis jetzt getroffen habe, ist den Rechner erst mal wieder nach außen ganz dicht zu machen, bis ich soweit bin. Zum Glück brauche ich den SSH-Zugang nur sehr selten und bin ja bislang auch ganz ohne ausgekommen. Wenn ich dann nach der Wiki-Lektüre Fragen zum sshd habe, melde ich mich dann schon.

(In der Zwischenzeit schadet es aber wohl auch nichts, wenn ich schon mal so ein kleines Paket, wie denyhosts installiere.)

 

[stka]

Du solltest Denyhosts IMMER von der Webseite holen, nicht ein altes RPM Paket aus irgendeinem Repository einspielen. Vor allen solltest du dir vieeeeeeel Zeit nehmen und zu verstehen was du dort machst. Bei suse findest du die Eindringlingsversuche, so weit ich noch weiß, in der /var/log/messages.

 

[Anonymous]

Hier hast du auch noch Lesestoff: http://www.linupedia.org/opensuse/Wie_sichere_ich_meinen_ssh_Server

 

[coogor]

Guter Thread, ich klink mich mal ein: ICh habe ssh bereits laufen und alle (bis auf ein paar bekannte) Rechner geblockt.

Ich will auf Public-Key-Vefahren umstellen, aber das klappt nicht: Key ist erstellt, will ihn auf die maschine kopieren:

axel@z60m:~> ssh-copy-id axel@mydomain.dyndns.org
Warning: Permanently added the RSA host key for IP address 'xxxxxxx' to the list of known hosts.
Password:
Now try logging into the machine, with "ssh 'axel@mydomain.dyndns.org'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

Ergebnis:
The agent has no identities.

Melde ich mich auf dem Zielrechner per ssh an:

axel@southpole:~> ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-RAjnw6029/agent.6029; export SSH_AUTH_SOCK;
SSH_AGENT_PID=6030; export SSH_AGENT_PID;
echo Agent pid 6030;
axel@southpole:~> ssh-add -l
Could not open a connection to your authentication agent.

..so scheint der ssh-Agent zu laufen, aber ich krieg trotzdem keinen Key rein. Woran liegts?

EDIT: Wieder zu schnell getippt. manuelles übertragen des keys, dann gehts auch: http://www.linupedia.org/opensuse/Einrichten_von_public_keys_mit_ssh

 

[coogor]

Noch ne Anmerkung: Einträge in hosts.allow und hosts.deny müssen wohl entfernt werden, sonst funktioniert das Ganze immer noch nicht. Man hätte sonst das Login nur von den zugelassenen hosts und zuätzlich mit RSA-Key

 

[harvey]

Noch ne Anmerkung: Einträge in hosts.allow und hosts.deny müssen wohl entfernt werden, sonst funktioniert das Ganze immer noch nicht. Man hätte sonst das Login nur von den zugelassenen hosts und zuätzlich mit RSA-Key

Das kommt ganz darauf an, was man will. In meinem Fall wäre es genau das richtige, da ich ja nur von genau einem bestimmten host auf den server zugreifen will. Dann braucht der wohl auch noch eine dyndns, damit er identifiziert werden kann?

Leider bin ich wegen vieler anderer Dinge immer noch nicht dazu gekommen, mich wieder mit dem SSH-Zugang zu beschäftigen, gelesen habe ich aber die Wikis und denke mal, dass das reibungslos läuft. Irgendwann setze ich dann einfach mal das gelöst-Bapperl.

 

[coogor]

Das kommt ganz darauf an, was man will. In meinem Fall wäre es genau das richtige, da ich ja nur von genau einem bestimmten host auf den server zugreifen will. Dann braucht der wohl auch noch eine dyndns, damit er identifiziert werden kann?

Genau. Oder Du läßt die gesamte 2nd level Domain offen, falls Du immer aus dem gleichen Netz (t-offline, arcor,....) zugreifst. Was dann aber die Möglichkeit von Scans aus diesem Netz ermöglichen würde.