| Both sides previous revision Previous revision Next revision | Previous revision |
| debian:ssh-debian:start [2017/03/16 22:55] – [Zugriff per Passwort deaktivieren] michael | debian:ssh-debian:start [2017/08/22 15:52] (current) – [Erstellen des SSH-Key-Pairs] michael |
|---|
| ====== SSH Server via Keys auf Ubuntu / Debian ====== | ====== SSH Server via Keys auf Ubuntu / Debian ====== |
| |
| Sobald man einen Fernzugriff auf seine Linux-Systeme, wie z.B. Ubuntu, auf Konsolenebene nutzen möchte, kommt um SSH nicht drum herum. Ist der SSH-Server-Dienst einmal im System aktiviert und für die Nutzer freigegeben, kann man sich von überall aus dem LAN mit seinem User via Putty einloggen. Gibt man nun noch den Port via Router freu und schaltet ein Portforwarding für SSH ein, so ist der Server auch von unterwegs erreichbar. | Sobald man einen **Fernzugriff** auf seine **Linux-Systeme**, wie z.B. Ubuntu, auf Konsolenebene nutzen möchte, kommt man um **SSH** nicht drum herum. Ist der SSH-Server-Dienst einmal im System aktiviert und für die Nutzer freigegeben, kann man sich von überall aus dem LAN mit seinem User via Putty einloggen. Gibt man nun noch den Port via Router frei und schaltet das Portforwarding für SSH ein, so ist der Server auch von unterwegs erreichbar. |
| |
| Doch nun hier zum Problem; Passwörter sind nicht wirklich sicher genug, um einen Server mit sensiblen Daten zu schützen. Brute-Force-Attacken nehmen heutzutage vermehrt zu und werden durch immer längere Passwortlisten auch ständig effektiver. Doch wie kann man sich nun dagegen schützen? Ganz einfach! Anstatt wie üblich über ein Passwort zu authentifizieren, besteht die Möglichkeit, auf eine weitere Alternative zurückzugreifen: **SSH-Keys**. Diese auf dem RSA-Verschlüsselungsprotokoll basierenden Schlüssel bestehen aus einem **Public-Key** und einem **Private-Key**. | //Doch nun zum Problem;// Passwörter sind heutzutage nicht mehr genug sicher, um auch wirklich einen Server mit sensiblen Daten zu schützen. Brute-Force-Attacken nehmen vermehrt zu und werden auch durch immer länger werdende Passwortlisten ständig effektiver. //Doch wie kann man sich nun dagegen schützen?// Ganz einfach! Anstatt wie üblich über ein Passwort zu authentifizieren, besteht die Möglichkeit, auf eine weitere Alternative zurückzugreifen: ''**SSH-Key Authentification**''. Diese auf dem RSA-Verschlüsselungsprotokoll basierenden Schlüssel bestehen aus einem **Public-Key** und einem **Private-Key**. |
| |
| <wrap hi>Der Public-Key wird auf allen Linux Systemen hinterlegt, während der Private-Key NUR auf dem Client bleibt, welcher später eine Verbindung zu den Server aufbauen soll.</wrap> Den Privat-Key kann man zusätzlich noch mit einer Passphrase schützen. //Wenn man sich also anschliessend mit einem der Systeme per Key-Auth verbinet, wird man nicht mehr nach dem Passwort des Systems gefragt, sondern nach der Passphrase des Private-Keys.// | <wrap hi>Der Public-Key wird auf allen Linux Systemen hinterlegt, während der Private-Key NUR auf dem Client bleibt, welcher später eine Verbindung zu den Server aufbauen soll.</wrap> Den Privat-Key kann man zusätzlich noch mit einer Passphrase schützen! //Wenn man sich also anschliessend mit einem der Systeme per Key-Authentifizierung verbindet, wird man nicht mehr nach dem Passwort des Systems gefragt, sondern nach der Passphrase des Private-Keys.// |
| |
| Zum Schluss, wenn man sich ein sogenanntes Key-Pair erstellt und **GETESTET** hat, kann das Login via Passwort zum erhöhen der Sicherheit noch komplett deaktiviert werden. | <wrap em>ACHTUNG:</wrap> Zum Schluss, wird das **SSH Login via Passwort** zum erhöhen der System-Sicherheit noch komplett **deaktiviert**. Dies sollte jedoch **erst nach __erfolgreichem testen__ der Key-Authentifizierung gemacht werden**. |
| |
| ---- | ---- |
| Anschliessend wird man noch gefragt, wo der Schlüssel gespeichert werden soll. Mit „Enter“ wird er am Standartort hinterlegt (/home/rebermi/.ssh/id_rsa). Gleich danach, wird man noch gefragt, ob man für deinen Privat-Key ein Passphrase (Passwort) erstellen möchte. Dies ist zwar //optional//, wird aber dringend empfohlen! So werden die Systeme zusätzlich geschützt, falls jemals jemand an den Key kommen sollte. Nach Eingabe und Bestätigung des Passwortes werden die Keys generiert und das Random RSA Pic angezeigt. | Anschliessend wird man noch gefragt, wo der Schlüssel gespeichert werden soll. Mit „Enter“ wird er am Standartort hinterlegt (/home/rebermi/.ssh/id_rsa). Gleich danach, wird man noch gefragt, ob man für deinen Privat-Key ein Passphrase (Passwort) erstellen möchte. Dies ist zwar //optional//, wird aber dringend empfohlen! So werden die Systeme zusätzlich geschützt, falls jemals jemand an den Key kommen sollte. Nach Eingabe und Bestätigung des Passwortes werden die Keys generiert und das Random RSA Pic angezeigt. |
| |
| <WRAP center round box 100%> | <sxh plain; gutter: false;> |
| <code> | |
| [rebermi@vsat1t ~]$ ssh-keygen -t rsa -b 4096 | [rebermi@vsat1t ~]$ ssh-keygen -t rsa -b 4096 |
| Generating public/private rsa key pair. | Generating public/private rsa key pair. |
| | .. | | | .. | |
| +-----------------+ | +-----------------+ |
| </code> | </sxh> |
| </WRAP> | |
| |
| Der **Puplic-Key** wurde nun unter **/home/user/.ssh/id_rsa.pub** gespeichert. Dieser wird anschliessend wie im nächsten Kapitel beschrieben auf andere Server verteilt, damit mit dem gleichen Key auf mehreren Servern Authentifiziert werden kann. Der **Privat-Key**, liegt unter **/home/user/.shh/id_rsa**. <wrap em>ACHTUNG: Denn Privat-Key sollte nur auf Clients liegen, auf die nur ich Zugriff habe!</wrap> | Der **Puplic-Key** wurde nun unter **/home/user/.ssh/id_rsa.pub** gespeichert. Dieser wird anschliessend wie im nächsten Kapitel beschrieben auf andere Server verteilt, damit mit dem gleichen Key auf mehreren Servern Authentifiziert werden kann. Der **Privat-Key**, liegt unter **/home/user/.shh/id_rsa**. ''<wrap em>ACHTUNG: Denn Privat-Key sollte nur auf Clients liegen, auf die nur ich Zugriff habe!</wrap>'' |
| |
| ---- | ---- |