• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Optimale Absicherung des SSH Zugang

B

BuBu2009

Newbie
Hi,

habe meinen Server bis jetzt wie folgt, im SSH Bereich gesichert.

Benutzer Angelegt (Group User)
Login von User über Keyfile ohne PW


Nun fehlt Punkt Root sperren sowie No PW Anmeldung. Dazu wurde wie folgt die config bearbeitet.

Code: 
PasswordAuthentication no
PermitRootLogin no

Wenn ich mich jetzt mit root anmelden möchte fragt er nach einen PW. Nur nimmt er diesen nicht an.......
Vermute mal das PasswordAuthentication no somit funktioniert.
Was mich aber jetzt noch stört ist PermitRootLogin no, er sperrt ja Ofensichtlich nicht den root Zugang.

Wo könnte mein Fehler sein ?

mfg
 
A

AntiSuse

Newbie
"PermitRootLogin no" sperrt den root-Login
"PasswordAuthentication no" verhindert den Login nur mit Passwort, es wird also immer ein Keyfile verlangt

Wenn du nur wenige User hast dann solltest du "AllowUsers" noch setzen.

Ein Key-Login ohne Passwort ist zwar schon relativ sicher, allerdings kann dann jeder rein der den Login kennt und den Schlüssel hat. Ein Passwort sollte also auch bei normalen Usern gesetzt sein.

"AllowUsers <username>" akzeptiert nur Logins von diese(n|m) User(n)
"MaxAuthTries 3" gibt die Anzahl der Fehlversuche an bevor die Connection geschlossen wird
"LoginGraceTime 1m" gibt die Zeit an die für die Passworteingabe erlaubt ist
"Protocol 2" gibt an, dass nur SSH v2 akzeptiert wird
 
OP
B

BuBu2009

Newbie
Sind alles sehr schöne Antworten, und die Links nehme ich mir gleich mal vor !

Meine Frage ist jedoch noch nicht ganz beantwortet. "PermitRootLogin no" ist mir klar, es sollte den root sperren. Nur steht dies auch auf NO, root kommt jedoch immer noch auf den "Server". Passwort nimmt er nicht, da ja Keyfile gewählt ist.

Nur sollte doch root überhaupt nicht drauf kommen, oder bringe ich etwas durcheinander ?

Allow benötige ich nicht, da ich nur meinen Zugang (User) benötige, bzw. nur ich und mein USB Stick im besitzt des Key sind.

Wäre es Sinnvoll den Key noch mit PW zu schützten also Phasparse ?

mfg
 
revealed

revealed

Guru
Ich würde dir noch denyhosts oder ähnliches empfehlen. Je nachdem wie leicht der Rechner im Internet adressierbar ist. Bzw. unabhängig davon überhaupt. fail2ban kann ssh auch vor dictionary attacks schützen.

Aber achte darauf, dass du denyhosts so konfigurierst, dass dein Zugang nicht aus Versehen gesperrt wird. Dagegen hilft dann nur ein Eingriff mit Bildschirm und Tastatur am Rechner selbst. Damit kann man sich auch aussperren.

Gruß,

R
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben