{"id":2161,"date":"2011-06-18T08:43:19","date_gmt":"2011-06-18T07:43:19","guid":{"rendered":"http:\/\/www.bdjl.de\/localhost\/?p=2161"},"modified":"2017-03-01T12:05:56","modified_gmt":"2017-03-01T11:05:56","slug":"ssh-absichern","status":"publish","type":"post","link":"https:\/\/www.bdjl.de\/localhost\/?p=2161","title":{"rendered":"SSH absichern"},"content":{"rendered":"<p>Mein root Server bei Hetzner nutzt schon lange das publickey-Verfahren, um sich gegen Attacken gegen Port 22 und damit SSH zu sch\u00fctzen. Daf\u00fcr hat Frank gesorgt. Meine Server in der Schule nun endlich auch &#8230; und damit bestand das Problem, dass ich nicht den gleichen Key f\u00fcr zwei Server nutzen wollte bzw die Neuerstellung eines weiteren Keys den Inhalt der id_dsa Datei im .ssh Verzeichnis \u00fcberschreibt und ich so meinen alten Key verloren h\u00e4tte. Wer zwei oder mehr getrennte Keys w\u00fcnscht, muss also Pfade zu denselben angeben.<\/p>\n<p>W\u00e4hrend der gesamten folgenden Schritte immer eine root-shell auf dem Server offen haben, damit man sich die alten Einstellungen im Notfall zur\u00fcck holen kann, sollte man sich aussperren.<\/p>\n<p>Zur Vorbereitung die <em>\/etc\/ssh\/sshd_config<\/em> an einen sicheren Ort wegkopieren und dann anpassen &#8211; und zwar die folgenden Zeilen in derselben, sofern man unter einem Debian \/ einer SuSE mit installiertem sudo bzw. Ubuntu arbeitet:<\/p>\n<blockquote><p>Port 222222<br \/>\nPermitRootLogin no<br \/>\nX11Forwarding no<br \/>\nPrintMotd no<br \/>\nChallangeResponseAuthentication no<br \/>\nPasswordAuthentication no<\/p><\/blockquote>\n<p>Port 22222 ist evtl. etwas \u00fcbertrieben &#8211; aber Paranoia schadet ja nicht.<\/p>\n<p>Auf dem Client dann den Key erstellen und die R\u00fcckfrage nach einem Passwort f\u00fcr den Key mit einer entsprechend komplizierten und langen Passphrase beantworten:<\/p>\n<blockquote><p>ssh-keygen -f \/home\/benutzer\/.ssh\/benutzer-servername<\/p><\/blockquote>\n<p>Der \u00f6ffentliche Teil muss dann mit Hilfe von scp auf den Server transferiert werden:<\/p>\n<blockquote>\n<p style=\"text-align: left;\">scp \/home\/benutzer\/.ssh\/benutzer-servername.pub benutzer@servername.domain:\/home\/benutzer<\/p>\n<\/blockquote>\n<p>Dort den \u00f6ffentlichen Schl\u00fcssel in den Schl\u00fcsselbund kopieren:<\/p>\n<blockquote>\n<p style=\"text-align: left;\">cat benutzer-servername.pub &gt;&gt; \/home\/benutzer\/.ssh\/authorized_keys<\/p>\n<\/blockquote>\n<p style=\"text-align: left;\">Ein<\/p>\n<blockquote><p>\/etc\/init.d\/ssh restart<\/p><\/blockquote>\n<p>schaltet die \u00c4nderungen scharf.<\/p>\n<p>Jetzt die Verbindung vom Client aus testen:<\/p>\n<blockquote>\n<p style=\"text-align: left;\">ssh benutzer@servername.domain -p 22222 -i \/home\/benutzer\/.ssh\/benutzer-servername<\/p>\n<\/blockquote>\n<p>Wenn alles klappt, man also nach der Passphrase f\u00fcr den Key und nicht mehr nach einem Serverkennwort gefragt wird, sich also anmelden und mit Hilfe von sudo auch root werden kann, ist alles gut. Wenn nicht, dann zuerst die Rechte der eben angelegten Dateien und Verzeichnisse kontrollieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mein root Server bei Hetzner nutzt schon lange das publickey-Verfahren, um sich gegen Attacken gegen Port 22 und damit SSH zu sch\u00fctzen. Daf\u00fcr hat Frank gesorgt. Meine Server in der Schule nun endlich auch &#8230; und damit bestand das Problem, dass ich nicht den gleichen Key f\u00fcr zwei Server nutzen wollte bzw die Neuerstellung eines [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,18,10],"tags":[65],"class_list":["post-2161","post","type-post","status-publish","format-standard","hentry","category-linux","category-memo","category-schule","tag-ssh"],"_links":{"self":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/2161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2161"}],"version-history":[{"count":10,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/2161\/revisions"}],"predecessor-version":[{"id":4964,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/2161\/revisions\/4964"}],"wp:attachment":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2161"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}