Mit beidem?lin schrieb:hallo und guten Abend
wie kann ich am einfachsten SSH enablen
via YAST oder
via Kommandozeile?
Yast macht auch nichts anderes als den Dienst in den Start-Scripten einzutragen./dev/null schrieb:aber ob das Ergebnis auch gleich gut (=> sicher) ist?
In der Datei /etc/ssh/sshd_config ist dieser Eintrag bereits vorhanden, alle anderen aus deiner Liste sind auskommentiert./dev/null schrieb:- PasswordAuthentication no (das ist die eigentliche wichtige Änderung, welche uns die gewollte Sicherheit bringt!)
Entschuldige, das verstehe ich jetzt von dir nicht richtig:/dev/null schrieb:Erwähnenswert, und deshalb das ToDo, ist, dass man heutzutage keinen sshd mehr mit direktem root-Zugriff und nur mit Passwort-Authentisierung betreiben sollte.
Ich habe nur die Frage beantwortet, nicht mehr und nicht weniger.wie kann ich am einfachsten SSH enablen
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
Ich sehe hinsichtlich der Erhöhung der Sicherheit keinen Sinn darin, nur deswegen den ssh-Port zu verbiegen. Mitunter kommt ja so was als "guter Ratschlag". Es kann sogar zu Problemen führen, wenn auf manchen ssh-Clients oder sshd-Servern bestimmter Geräte (wo man nicht so einfach die config ändern kann) der Port fest einprogrammiert ist. So manches Sync-Programm erwartet einfach diesen Port.Welchen Port empfielst du für ssh? 22? ...
Genau das ist bei mir der Fall. Ich mache das so:... Aber was, wenn nun mehrere Rechner hinter einem Router lauschen?
Sowohl als auch.Entschuldige, das verstehe ich jetzt von dir nicht richtig:
/dev/null schrieb:[*]Den sshd unbedingt härten. Dazu per Konsole:
- mit ssh-keygen ein zeitgemäßes (ich nehme 4K) Schlüsselpaar für den ssh-Nutzer (auf dem Client) erzeugen
- den public.key danach beim Nutzerkonto auf dem Server nach ~/.ssh/authorized_keys einfügen
- testen, ob jetzt eine ssh-Verbindung ohne Benutzerpasswort (also per Key) funktioniert (erst dann weitermachen!)
- /etc/ssh/sshd_config auf sshd_konfig_original kopieren (für Rückkehr im Fehlerfall ...) und die sshd_config editieren
- ServerKeyBits 2048 (default: 1028, muss nicht, ich nutze und empfehle es aber)
- LoginGraceTime 1m (da wir uns per PubkeyAuthentication einloggen reicht das völlig aus)
- PermitRootLogin no (immer per user einloggen, dann wenn nötig zum root werden)
- MaxAuthTries 2 (nur zwei Fehlversuche, wir nutzen ja PubkeyAuthentication)
- PubkeyAuthentication yes (nur kontrollieren, ist Standard, haben wir ja eigentlich schon oben getestet mit der Anmeldung per key)
- PasswordAuthentication no (das ist die eigentliche wichtige Änderung, welche uns die gewollte Sicherheit bringt!)[/list]
Und es kommt garantiert:
Ich persönlich lehne ein Verbiegen des Ports auf dem der sshd lauscht (22), ab.
Das ist IMHO lediglich Security through obscurity. Sicherheit wird nicht durch "Verstecken", sondern durch geeignete kryptogrfische Maßnahmen erreicht. Das einzige, was durch einen anderen Port erreicht wird, ist das das Log etwas kleiner wird. Der Spielmatz wird ausgesperrt - aber nur dieser.
Wers brauch kann ja fail2ban nutzen.
MfG Peter
Dieser Wert steht bei openSUSE 12.3 auch schon auf no./dev/null schrieb:Also in meiner, zugegebenermaßen nicht mehr ganz frischen Muster-config aus dem Jahr 2012 steht:
Code:# To disable tunneled clear text passwords, change to no here! PasswordAuthentication yes
Ja gut, danke, aber wenn du schon die Zahl 188 in den Raum stellst, könntest du noch ihre Bedeutung für IPsec-VPN erläutern,für den Rechner 192.168.188.201. (Die .188. ist wegen des VPN-Routings!)
Ja gut, danke, aber wenn du schon die Zahl 188 in den Raum stellst, könntest du noch ihre Bedeutung für IPsec-VPN erläutern,
url www2.myhost.org:7799
port 525
ssh/sftp=20 7799:127.0.0.1:7799
linux-70ce:/home/martin # ssh -p525 -L 7799:127.0.0.1:7799 vhost@www2.myhost.org
The authenticity of host '[www2.myhost.org]:525 ([xxx.yy.zz.www]:525)' can't be established.
ECDSA key fingerprint is 33:1e:c5:d7:22:11:7c:aa:46:be:83:dc:eb:ee:13:00.
Are you sure you want to continue connecting (yes/no)? y
Please type 'yes' or 'no': yes
Warning: Permanently added '[www2.myhost.org]:525,[xxx.yy.zz.www]:525' (ECDSA) to the list of known hosts.
Permission denied (publickey).
linux-70ce:/home/martin # ssh -p525 -L 7799:127.0.0.1:7799 vhost@www2.myhost.org
Permission denied (publickey).
ssh -L localport:host:hostport user@ssh_server -N
Quelle: http://www.linuxhorizon.ro/ssh-tunnel.html-L - port forwarding parameters (see below)
localport - local port (chose a port that is not in use by other service)
host - server that has the port (hostport) that you want to forward
hostport - remote port
-N - do not execute a remote command, (you will not have the shell, see below)
user - user that have ssh access to the ssh server (computer)
ssh_server - the ssh server that will be used for forwarding/tunneling
Hmm - Vermutlich sind die Minuszeichen das Problem.dslb-167-006-031-008.174.007.pools.vodafone-ip.de.