[gelöst] SSH zugang mittels Key absichern

Becksta · 7 Juni 2007

Aloa,

ich hab mir jetzt einen Server in meinem LAN aufgesetzt, den ich per u.a. per ssh fernsteuern möchte.
In der Vergangenheit habe ich das immer nach der folgenen Anleitung eingerichtet:

http://www.linux-club.de/viewtopic.php?t=17737

Dazu habe ich folgende Frage:
Kann ich anschließend auch noch über einen WindowsClient mit WinSCP auf den Rechner drauf? Vermutlich muss ich dann dort den Key hinterlegen, oder??

Gibt es noch andere Möglichkeiten, den Zugang per SSH einzugrenzen?
Kann ich z.B. sagen, der angelegte User X auf dem Server darf, der User Y darf nicht??

Greetz
Becksta

Yehudi · 7 Juni 2007

Becksta schrieb:
Aloa,

ich hab mir jetzt einen Server in meinem LAN aufgesetzt, den ich per u.a. per ssh fernsteuern möchte.
In der Vergangenheit habe ich das immer nach der folgenen Anleitung eingerichtet:

http://www.linux-club.de/viewtopic.php?t=17737

Dazu habe ich folgende Frage:
Kann ich anschließend auch noch über einen WindowsClient mit WinSCP auf den Rechner drauf? Vermutlich muss ich dann dort den Key hinterlegen, oder??

Gibt es noch andere Möglichkeiten, den Zugang per SSH einzugrenzen?
Kann ich z.B. sagen, der angelegte User X auf dem Server darf, der User Y darf nicht??

Also User Y = Yehudi
das finde ich gar nicht gut. :-(

Ansonsten schon mal hier geguckt?
http://www.linux-club.de/faq/Mit_putty_und_ssh_key_auf_einen_sicheren_Linux_Server_zugreifen
Mit Windows kenne ich mich ansonsten gar nicht aus.

Becksta · 7 Juni 2007

ups...

dann machen wir halt schnell mal aus user Y einen user X... (Hoffe es gibt keinen mit nem X

)

Das howto werde ich mir mal anschauen.... vielen dank...

Zu dem ersten (oder zweiten) Satz des Links "graphische Oberflächen bergen Sicherheitsrisiken"....

Ich lasse auf dem Server ne kde Session mitlaufen, da ich noch nicht soooo 100% fit bin... auf dem Server läuft ein SSL verschlüsselte Webserver.... von aussen sind sonst nur der ssh, der https und die esel ports zugänglich...

Bezeichnet man das schon als grob fahrlässig, oder geht das noch durch??? ;o)

Greetz
Becksta

Anonymous · 7 Juni 2007

Becksta schrieb:
Bezeichnet man das schon als grob fahrlässig, oder geht das noch durch??? ;o)

Wie wäre es mit:

Extrem hinderlich, es _richtig_ zu lernen.

Und in Anbetracht der Tatsache, daß das wichtigste Tool zu Administration eines SuSE-Systems (Yast) auch ohne GUI läuft auch ziemlich dusslig.

Greetz,

RM

Yehudi · 7 Juni 2007

Rain_Maker schrieb:
Becksta schrieb:

Bezeichnet man das schon als grob fahrlässig, oder geht das noch durch??? ;o)

Zum Vergrößern anklicken....

Wie wäre es mit:

Extrem hinderlich, es _richtig_ zu lernen.

Und in Anbetracht der Tatsache, daß das wichtigste Tool zu Administration eines SuSE-Systems (Yast) auch ohne GUI läuft auch ziemlich dusslig.

Greetz,

RM

Kannst Du Dir mal einen freundlicheren Ton zulegen?

Und zum anderen wäre das SSH ja auch durch einen key abgesichert. YaST wäre so wie ich das aus dem Zusammenhang verstehe nur über SSH verfügbar, und den will ja Becksta absichern.

Anonymous · 7 Juni 2007

Wenn Dir das Wort dusslig zu viel ist, dann lösch den Beitrag doch.

Yehudi schrieb:
Also User Y = Yehudi
das finde ich gar nicht gut. :sad:

Aber dieser Kinderkram ist dann OK?

*Kopfschüttel*

Dachte das wäre ein Support-Forum und nicht "Ringelpietz mit Anfassen".

Aber scheinbar ist hier höfliches Off-Topic Gesülze wichtiger als relevante Infos.

BTW:

Yehudi schrieb:
Und zum anderen wäre das SSH ja auch durch einen key abgesichert. YaST wäre so wie ich das aus dem Zusammenhang verstehe nur über SSH verfügbar, und den will ja Becksta absichern.

Und was hat das mit dem unnötig laufenden X zu tun?

nbkr · 7 Juni 2007

WinSCP und Putty können auch mit Schlüsseln umgehen, Du musst den privaten Teil des Schlüssels bei diesen Programmen hinterlegen, dann sollte dem nichts mehr im Wege stehen.

Yehudi · 7 Juni 2007

Rain_Maker schrieb:
Wenn Dir das Wort dusslig zu viel ist, dann lösch den Beitrag doch.

Yehudi schrieb:

Also User Y = Yehudi
das finde ich gar nicht gut. :sad:

Zum Vergrößern anklicken....

Aber dieser Kinderkram ist dann OK?

*Kopfschüttel*

Dachte das wäre ein Support-Forum und nicht "Ringelpietz mit Anfassen".

Aber scheinbar ist hier höfliches Off-Topic Gesülze wichtiger als relevante Infos.

Dazu siehe hier:
http://www.linux-club.de/faq/LinuxClub:Hilfe/Humor
Von mir hat der User einen Link zur Info bekommen.
Wo waren Deine relevanten Infos? Man kann alles mögliche über SSH starten, installieren, desinstallieren und stoppen, nicht nur mit YaST. Da es hier um Absicherung geht, setze ich mal vorraus, dass der User weiß was er mit SSH alles anstellen kann.

Und nebenbei, seit wann bin ich in diesem Forum Mod? Du müsstest doch eigentlich selber als mod von einem anderen Forum wissen. ;-)

Anonymous · 7 Juni 2007

*LOL*

Als diese Art von "Humor" passend zum Alter war, gabs noch täglich eine Tüte Milch im Kindergarten.

Heimlicher Teletubbie-Fan?

Die relevanten Infos waren, daß X auf einem Server dusslig ist, vor allem, wenn man Yast als wichtigstes Admin-Tool auch über die Kommandozeile starten kann.

Und daß dieses falsche Verhalten daran hinderlich ist, die _richtige_ Administration eines Servers zu erlernen.

Yehudi schrieb:
Und nebenbei, seit wann bin ich in diesem Forum Mod?

Gegenfrage:

Und warum spielst Du dann den Mod in einem Forum, daß Dich nichts angeht?

Und seit wann bin ich "Mod" in gewissem anderem Forum?

Wenn man schon Korinthen kacken will, dann sollte man das auch richtig tun und die Augen aufmachen, bevor man irgendwelchen Unsinn schreibt.

Das sollte man doch als jemand, der mal lesen gelernt hat wissen, oder?

Ende der Durchsage.

(Und jetzt darfst Du heulend zu Mami rennen.)

framp · 7 Juni 2007

Becksta schrieb:
Zu dem ersten (oder zweiten) Satz des Links "graphische Oberflächen bergen Sicherheitsrisiken"....

Den Link finde ich zwar nicht - aber es ist ein no-no auf einem Server ein X/KDE am Laufen zu haben :!: Zu Deiner Frage: Ja - es ist grob fahrlässig und Du solltest das X/KDE schnellstens abstellen :!: .

Kann ich anschließend auch noch über einen WindowsClient mit WinSCP auf den Rechner drauf? Vermutlich muss ich dann dort den Key hinterlegen, oder??

Du kannst entweder den ssh key bei putty importieren oder den mit putty generierten key bei ssh benutzen. D.h. Du kannst sowohl mit ssh/scp als auch putty auf den rechner.

Becksta · 7 Juni 2007

na,

hab ich ja was losgetreten.... wow :shock:
macht euch bitter wieder locker.. ich hab mich nicht angepisst gefühlt...
fand den ton ok....

ich nehm die entsprechenden infos erstmal auf und schaue dann, was ich daraus machen kann....

vielen dank, allen Beteilligten für die Infos.... hehe

Jetzt erstmal: locker bleiben... *g*

Greetz
Becksta

stummel · 7 Juni 2007

Hallo Becksta,

laß dich von diesen Konsolenjunkies nicht verrückt machen. Nutze die Tools und die Oberfläche mit der du dein Ziel am besten erreichst, und gut ist.

Wenn ich das schon wieder lese, KDE hat auf einem Server nichts zu suchen. Leute, wir reden hier von einem Eselserver im Heimnetz, und nicht vom Sicherheitssystem des Nachrichtendienstes.

Habt ihr Angst das euch einer nen Schwulenporno in eure Erotiksammlung unterschiebt?

Ich muß immer über diese langhaarigen Jünglinge schmunzeln, die stundenlang hunderte von Zeilen auswendig mit dem vi in eine conf hämmern, und am Ende das Teil nie zum laufen kriegen, weil sich irgendwo wieder ein Futsack eingeschlichen hat.

Aber bitte, jeder nach seiner Fasson.

framp · 7 Juni 2007

stummel schrieb:
Wenn ich das schon wieder lese, KDE hat auf einem Server nichts zu suchen. Leute, wir reden hier von einem Eselserver im Heimnetz, und nicht vom Sicherheitssystem des Nachrichtendienstes.

Das ist mir entgangen. Dachte es dreht sich um einen RootServer. Wenn Du Dein Heimnetz per FW gut gesichert hast und keinen Zugriff vom Internet zuläßt (hm ... weiss nicht wie das mit dem Esel diesbezüglich ist ...) revidiere ich meine Meinung: Dann ist es egal ob X/KDE auf dem Server läuft.

Anonymous · 7 Juni 2007

stummel schrieb:
Hallo Becksta,

laß dich von diesen Konsolenjunkies nicht verrückt machen. Nutze die Tools und die Oberfläche mit der du dein Ziel am besten erreichst, und gut ist.

Na der hat doch gerade noch gefehlt.

Mr. "selektive Wahrnehmung" himself.

Natürlich wird wieder geflissentlich überlesen, daß Yast auch in der Konsole läuft und damit X nicht nötig ist (und natürlich unnötige Ressourcen frisst, die z.B. besagter Esel gut gebrauchen könnte).

Irgendwie kann ich mir nicht vorstellen, was es jemandem für eine Befriedigung gibt, hier das "Ich bin dagegen" Schild hochzuhalten und sich mit jedem Post mehr der Lächerlichkeit preiszugeben.

Die verwendeten Vorurteile sind nicht mal besonders gut gewählt und zeugen von nur mässiger Phantasie und unterdurchschnittlicher Intelligenz.

Habt ihr Angst das euch einer nen Schwulenporno in eure Erotiksammlung unterschiebt?

Da spricht wohl jemand aus Erfahrung.

Es lässt sich nun trefflich spekulieren, wieso gerade dieses Beispiel gewählt wurde.

Vielleicht, weil der Verfasser dieses peinlichen Beispiels aus diesem Grunde eine grafische Oberfläche nutzt, damit er Filme des besagten Genres heftig sabbernd schon während des Herunterladens betrachten kann, weil ihm gerade nichts zum Trollen einfällt?

Man weiß es nicht....

Wie heisst es so schön, das Schräubchen, das am lautesten quietscht, das will am meisten geölt werden.

Aber das einfache Gemüt (in dem Fall das von *sie wissen schon*) findet so etwas wahrscheinlich noch einen guten Vergleich mit Witz und Esprit.

Ich muß immer über diese langhaarigen Jünglinge schmunzeln, die stundenlang hunderte von Zeilen auswendig mit dem vi in eine conf hämmern, und am Ende das Teil nie zum laufen kriegen, weil sich irgendwo wieder ein Futsack eingeschlichen hat.

Jaja, der langhaarige und ungewaschene Frickler, das ausgelutschteste Klischee ever.

Als das originell war, da stand die Mauer noch.

Sorry, aber lasse er sich mal was anderes einfallen, er langweilt nur noch und wenn nicht die Gefahr bestünde, daß auch nur ein unbedarfter User dieses aus bestem Beißreflex heraus entstandene Gewäsch ernst nimmt, dann wäre es schon längst (wie wahrscheinlich die ganzen anderen seiner "Revival"-Nicks hier. Wieso eigentlich? Immer noch auf mehr Prügel aus? Masochist, oder was?) da verschwunden, wo es hingehört und zwar im Mülleimer der (Foren-)Geschichte.

Irgendwie erinnert das doch auffällig (wo wir gerade bei der Mauer sind) an die alten Herren aus dem Politbüro von damals.

Die haben auch so lange immer den selben unrealistischen und verbohrten Mist behauptet bis es ihnen dann endlich wirklich keiner mehr geglaubt hat.

In diesem Sinne.

Die Kommentare des besagten Herrn sind in etwa so wertvoll wie Honeckers "Den Sozialismus in seinem Lauf ...." und den hat zum Glück auch irgendwann mal der Lauf der Geschichte eingeholt.

Aber bitte, jeder nach seiner Fasson.

Ja genau, Hauptsache unser Wendehals kann dann wieder dagegen sein, nicht weil es Sinn macht, sondern aus Prinzip.

Wird vielleicht mal wieder Zeit für ein Revival, oder?

Der Drops hier ist gelutscht und die Peinlichkeit kennt keine Grenzen mehr.

Und hier das passende Schild fürs nächste mal:

(So geht das, Mr. Trollschüler "erste Klasse und schon 5mal sitzen geblieben")

Becksta · 7 Juni 2007

kann das hier mal jemand beenden... ich hab doch nur eine Frage gestellt....

Mir kommt es so vor, als wenn hier einige Leute zu wenig geschlafen haben, oder sowas...

Na ja....

Ich jedenfalls werd mein bestes tun, den grafischen Schnickschnack schnellstmöglich hinter mir zu lassen... Beschäftige mich jetzt schon länger mit Linux und die Kiste ( die im übrigen wirklich nur im Heimnetz agiert, auch wenn der ESEL Kontakt nach draussen hat) gibt mir jetzt mehr und mehr die Gelegenheit, mich mit den tieferen Tiefen zu beschäftigen...

ALSO: Kriegsbeil wieder vergraben.... !!!!! :!: :lol:

Greetz
Becksta

stummel · 7 Juni 2007

Becksta schrieb:
Ich jedenfalls werd mein bestes tun, den grafischen Schnickschnack schnellstmöglich hinter mir zu lassen...

Wie gesagt, jeder wie er will, aber ich habe ehrlich gesagt bis heute keinen vernünftigen Grund gefunden, und auch nicht danach gesucht, die grafischen Hilfsmittel rigoros abzulehnen.

Becksta · 8 Juni 2007

ich sehe das auch eher als "horizonterweiterung" um das System besser zu verstehen....

Mal schauen, wie weit ich damit komme... hehe... 8)

Greetz
Becksta

Leviathan · 8 Juni 2007

@Becksta, sind deine Fragen jetzt zu 100% beantwortet?

Gruß Dominik

Becksta · 8 Juni 2007

Das wesentliche wurde ja zwischendurch auch behandelt...
Das hat mir für den Moment gerreicht...

Danke der Nachfrage...

Greetz
Becksta

Leviathan · 8 Juni 2007

2 Dinge fallen mir noch ein:

1. den SSH Key auf jeden FALL mit nem Passwort verschlüsseln. Das kannst du mit puttygen auch nachträglich noch eintragen.
Wenn du mittels SSH Agent dein Passwort "mitschleifst" musst du das auch nur ein einziges mal zu Beginn des Rechnerstarts eingeben.
Unter Linux nimmst du den ssh-agent; unter Windows Pageant als Agent

2. Du kannst SSH entweder durch iptables (firewall ) einschränken
und/oder mit hosts.allow hosts.deny
Beispiel:
in der Datei /etc/hosts.deny trägst du ein:
sshd: ALL
in der hosts.allow trägst du dann die IPs ein, die drauf zugreifen dürfen:
sshd: 172.19.0.0/16 192.168.0.1/32

Gruß Dominik

[gelöst] SSH zugang mittels Key absichern

Hacker

Guru

Hacker

Anonymous

Gast

Guru

Anonymous

Gast

Guru

Guru

Anonymous

Gast

Moderator

Hacker

Hacker

Moderator

Anonymous

Gast

Hacker

Hacker

Hacker

Hacker

Hacker

Hacker