Einrichten eines SSH - Server



Ähnliche Dokumente
SSH Authentifizierung über Public Key

How to install freesshd

Da es sich in meinem Fall um einen USB-Scanner handelt, sollte dieser mittels

ecaros-update 8.2 Update 8.2 procar informatik AG 1 Stand: DP 02/2014 Eschenweg Weiterstadt

ANYWHERE Zugriff von externen Arbeitsplätzen

Comtarsia SignOn Familie

Mit Putty und SSH Key auf einen Linux Server zugreifen. Vorbereitungen auf dem Client Rechner

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

Windows 2008R2 Server im Datennetz der LUH

FTP-Leitfaden RZ. Benutzerleitfaden

Powermanager Server- Client- Installation

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

Kurzanleitung zum Einrichten des fmail Outlook Addin

oder ein Account einer teilnehmenden Einrichtung also

Leitfaden zur Nutzung von binder CryptShare

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard

OP-LOG

Step by Step Webserver unter Windows Server von Christian Bartl

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Installieren Sie den Janaserver auf dem Schulserver oder dem Lehrerrechner.

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Anmeldeverfahren. Inhalt. 1. Einleitung und Hinweise

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools

-Bundle auf Ihrem virtuellen Server installieren.

Einrichtung von VPN-Verbindungen unter Windows NT

Kurzinformation Zugang zur NOVA für dezentrale Administratoren

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Installation/Einrichtung einer Datenbank für smalldms

Hilfedatei der Oden$-Börse Stand Juni 2014

Wie richte ich ein -Konto (Postfach) in Outlook 2000/2003 ein?

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

System-Update Addendum

Leitfaden einrichtung Outlook Stand vom:

Anwenderdokumentation PersoSim

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Netzwerkeinstellungen unter Mac OS X

Anleitung Captain Logfex 2013

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Kostenstellen verwalten. Tipps & Tricks

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

Maileinstellungen Outlook

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Bauteilattribute als Sachdaten anzeigen

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Installationsanleitung für pcvisit Server (pcvisit 15.0)

Step by Step VPN unter Windows Server von Christian Bartl

1 Kurzanleitung IMAP-Verfahren

0. VORBEMERKUNG VORBEREITUNG DES SYSTEMS INSTALLATION UND KONFIGURATION VON PD-ADMIN Installation...3

Benachrichtigungsmöglichkeiten in SMC 2.6

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Howto. Einrichten des TREX Monitoring mit SAP Solution Manager Diagnostics

FrogSure Installation und Konfiguration

GeoPilot (Android) die App

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

TeamSpeak3 Einrichten

Windows 2008 Server im Datennetz der LUH


How-to: Webserver NAT. Securepoint Security System Version 2007nx

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines

PeDaS Personal Data Safe. - Bedienungsanleitung -

ICS-Addin. Benutzerhandbuch. Version: 1.0

Handbuch USB Treiber-Installation

EASYINSTALLER Ⅲ SuSE Linux Installation

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.

bizsoft Rechner (Server) Wechsel

Hinweise zur -Nutzung für Studierende

Installationsanleitung LogControl DL-Software

Installation Hardlockserver-Dongle

Technical Note ewon über DSL & VPN mit einander verbinden

PCS-Datenbankanbindung in Betrieb nehmen

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

1. Zugriff des Autostarts als Dienst auf eine Freigabe im Netz

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Eduroam für Windows7. Im sich öffnenden Fenster Netzwerk- und Freigabecenter klicken Sie auf die zweite Option oben links Drahtlosnetzwerke verwalten.

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

SFTP SCP - Synology Wiki

MSDE 2000 mit Service Pack 3a

Installationsanleitung für pcvisit Server (pcvisit 12.0)

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2014 Express with management tools

Anleitung: Einrichtung der Fritz!Box 7272 mit VoIP Telefonanschluss

FTP-Leitfaden Inhouse. Benutzerleitfaden

Benutzer und Rechte Teil 1, Paketverwaltung, SSH

Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)

mysoftfolio360 Handbuch

Geschrieben von: Stefan Sonntag, den 26. Juni 2011 um 09:45 Uhr - Aktualisiert Sonntag, den 26. Juni 2011 um 10:12 Uhr

Transkript:

Einrichten eines SSH - Server Um den Server weiter einzurichten bzw. später bequem warten zu können ist es erforderlich, eine Schnittstelle für die Fernwartung / den Fernzugriff zu schaffen. Im Linux - Serverbereich hat sich dabei seit Jahren ssh etabliert und bewährt. SSH bietet eine verschlüsselte Verbindung zu dem Server und diverse Möglichkeiten einer sicheren Authentifizierung. Darüber hinaus lässt sich über diverse Einstellungen ein hohes Maß an Sicherheit erzeugen. 1. Installation der Pakete Der SSH - Server, genauer gesagt der OpenSSH-Server, kann aus den Ubuntu - Paketquellen heruntergeladen und installiert werden. sudo apt-get install openssh-server Nach der Installation ist der SSH-Server automatisch aktiv und die Anmeldung mittels SSH kann auf dem Server erfolgen. Allerdings sollte die Konfiguration des SSH-Server noch angepasst werden um die Sicherheit zu erhöhen. 2. Wahl der Authentifizierung Der SSH - Server bietet grundsätzlich zwei Unterschiedliche Möglichkeiten der Authentifizierung bei der Anmeldung: - Passwort: Anmeldung mit einer Benutzerkennung und einem zugehörigen Kennwort - Public - Key: Anmeldung mit einem eigens generierten Schlüssepaar Die erste Variante erfordert keine weitere Konfiguration, beinhaltet aber die Gefahr, dass das Kennwort erraten oder mittels Brut - Force - Attacke geknackt wird. Diese Gefahr besteht bei der Public - Key Variante nicht, da dort ein eigens generierter Schlüssel benötigt wird um sich an dem Server anzumelden. So lange dieser Schlüssel nicht in die falschen Hände gerät ist diese Methode bisher nicht zu überwinden. Allerdings muss zur Verwendung dieses Verfahren ein Schlüsselpaar generiert werden: - Öffentlicher Schlüssel: Dieser wird auf dem Server hinterlegt und ermöglicht dem Inhaber des persönlichen Schlüssels die Anmeldung 1 / 5

- Ort des Schlüssel (Standard): ~/.ssh/authorized_keys - Kennzeichen:.pub - persönlicher Schlüssel: Der persönliche Schlüssel befindet sich im Besitz des Inhabers und ermöglicht diesem auf einen Server zuzugreifen - Ort des Schlüssel (Standard): ~/.ssh - Kennzeichen: Keine speziellen Kennzeichen vorhanden Da die Public - Key aus nachvollziehbaren Gründen als Sicher zu betrachten ist wird dieses Verfahren zur Anwendung kommen. - Generieren des Schlüssels Für das Public - Key verfahren müssen zunächst die Schlüssel generiert werden. Hierfür ist keine gesonderte Software erforderlich sondern es kann das Kommandozeilen - Programm ssh-keygen verwendet werden. Es können grundsätzlich zwei Arten von Schlüsseln erzeugt werden: rsa und dsa. Da es hinsichtlich der Sicherheit keine Unterschiede zwischen beiden Verfahren gibt wird in diesem Fall der DSA-Schlüssel zum Einsatz kommen: ssh-keygen -t dsa -f ~/.ssh/johnson82 Durch diesen Befehl wird ein DSA - Schlüssel - Paar mit einer Länge von 1024 bits generiert. Dieser Schlüssel erhält als Hinweis auf den Inhaber die mittels des Attributes '-f' hinzugefügte Bezeichnung 'johnson82'. Der angegebene Pfad '~/.ssh/' ist in diesem Fall optional, kann aber auch genutzt werden um die Schlüssel an einem alternativen Ort abzulegen. Anschließend wird nach einem Passwort für den persönlichen Schlüssel gefragt. An dieser Stelle sollte ein Passwort für den Schlüssel (nicht für die Anmeldung an dem Server) vergeben werden um im Falle eines Verlustes des Schlüssel den Missbrauch durch Dritte zu erschweren. - Verteilen des Schlüssels Der öffentliche Schlüssel, zu erkennen an dem Zusatz.pub, muss jetzt auf die zu administrierende Server verteilt werden. Die einfachste Möglichkeit ist das shell-script 'ssh-copy-id'. Dies ist Teil des OpenSSH-Paketes und bereits unter Punkt 1 installiert worden. Dieses Programm ergänzt auf dem Server in der Datei '~/.ssh/authorized_keys' den generierten öffentlichen Schlüssel: 2 / 5

ssh-copy-id -i ~/.ssh/johnson82.pub linjon82@192.168.178.5 Um dieses Verfahren durchzuführen muss eine Anmeldung auf dem Server noch per Kennung / Passwort möglich sein. Sollte dies nicht mehr möglich sein und ein weiterer Schlüssel ergänzt werden muss der Öffentliche Schlüssel auf den Client kopiert werden: scp ~/.ssh/johnson82.pub linjon82@192.168.178.5:/~/.ssh/ und zum Beispiel mittels cat in der 'authorized_keys' ergänzt werden: ssh 192.168.178.5 - Anmeldung auf dem Server per SSH - cat ~/.ssh/johnson82.pub >> ~/.ssh/authorized_keys Absofort kann sich auf dem Server mittels des Schlüssels angemeldet werden. - Konfigurieren des OpenSSH -Servers Nach der Installation und der Generierung der Schlüssel sowie deren Verteilung ist als abschließende Maßnahme noch die Anpassung der Konfiguration des SSH - Servers erforderlich. Die original (nicht modifizierte) sshd_conf Folgende Änderungen in der sshd_conf dienen zur Erhöhung der Sicherheit: - Zeile 5: Port 22 Der Standard - Port für SSH-Zugriffe ist der Port 22 und somit auch der Standard für jeden Angriffsversuch. Deshalb wird der Port auf einen beliebigen anderen Wert geändert. Allerdings sollte darauf geachtet werden, dass kein anderes Programm diesen Port verwendet. Port 4490 - Zeile 8: ListenAdress :: Dieser Eintrag gibt an, an welchen lokalen Netzwerkadressen der SSH-Server auf Anfragen wartet. Hier trage ich die IP-Adresse und den in Zeile 5 gewählten Port ein, da der Server später noch als WLAN-Access-Point dienen soll und sich ein Angreifer über das WLAN nicht per SSH auf meinem Server anmelden können soll. ListenAddress 192.168.178.20:4490 - Zeile 26: PermiRootLogin 3 / 5

Die Anmeldung als Root ist in der Grundeinstellung möglich. Dadurch könnte bei einer Attacke das Root-Kennwort sofort per SSH ermittelt werden. Um dem Angreifer zwei Hürden bzgl. der SSH-Anmeldung als Root in den Weg zu stellen sollte die direkte Anmeldung als root unterbunden werden. PermitRootLogin no - Zeile 41: AllowUsers Durch das Hinzufügen des Eintrages 'AllowUsers' können nur noch bestimmte Anwender für den SSH - Zugriff berechtigt werden.dadurch kann verhindert werden, dass schwache Kennwörter von anderen Anwendern das System gefährden. AllowUsers mustermann - Zeile 29: RSAAuthentification - Zeile 36: RhotsRSAAuthentifivation - Zeile 38: HostbasedAuthentification - Zeile 52: PasswordAuthentication - Zeile 55 :KerverosAuthentification - Zeile 61: GSSAPIAuthentification Diese Einträge beschreiben die 6 Anmeldealternativen zu dem PublicKey verfahren und der Passwort - Anmeldung. Einige der Einträge sind durch eine Raute auskommentiert und nicht aktiv. Ich bevorzuge eine eindeutige Konfiguration und entferne deshalb die # am Beginn der Zeile und ergänze ein 'n' um diese Alternativen explizit zu deaktivieren: RSAAuthentification no RhotsRSAAuthentifivation no HostbasedAuthentification no KerverosAuthentification no GSSAPIAuthentification no - Zeile 79: UsePam Dieser letzte Eintrag in der sshd_conf muss deaktiviert werden, da sonst die vorher deaktivierten Anmeldeverfahren zum Teil trotz der eigentlichen Deaktivierung noch möglich sind. UsePam no - Neustart des Servers Um die Änderungen zu Übernehmen muss der SSH-Server neugestartet werden 4 / 5

sudo /etc/init.d/ssh restart Sollte der Neustart ohne Fehlermeldungen erfolgen ist der Server jetzt mit den aktuellen Einstellungen aktiv. Mittels netstat kann jetzt noch geprüft werden, auf welcher Netzwerkschnittstelle und welchem Port der SSH - Server auf Anfragen wartet: sudo netstat -antp Die Ausgabe sollte den gemachten Änderungen in der Konfiguration entsprechen. - Ergebnis: Mit den jetzt vorgenommenen Einstellungen in der modifizierten sshd_conf ist eine Anmeldung nur noch noch mit dem passenden Schlüssel und dem Wissen um den richtigen Port möglich. Weiterhin ist der Schlüssel mit einem Kennwort versehen, dass bei Verlust des Schlüssels den sofortigen Missbrauch verhindert. Diese Maßnahmen stellen ein hohes Maß an Sicherheit bezüglich der Absicherung eines SSH - Zuganges dar. In einem späteren Beitrag werde ich noch auf die Möglichkeit des Monitorings und dem Schutz vor Attacken mittels zusätzlicher Software eingehen. 5 / 5

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback