Differences

This shows you the differences between two versions of the page.

--- redhat:ssh-redhat:start [2017/08/22 16:11] – [SSH für Key-Authentifizierung Konfigurieren] michael
+++ redhat:ssh-redhat:start [2020/09/03 12:12] (current) – michael
@@ Line 1: / Line 1: @@
-====== Secure Shell - SSH unter Redhat / CentOS ======
+====== Secure Shell - SSH unter Redhat / CentOS 8 ======
-**SSH** (oder ausgeschrieben **Secure SHell**) ist ein Protokoll, welches eine sichere Kommunikation zwischen zwei Systemen mittels einer Client/Server Architektur ermöglicht. Die Benutzer können sich damit auch bei einem entfernten Host-System anmelden und dies anschliessend mit den Berechtigungen des lokal eingeloggten Users verwalten.
+**SSH** (oder ausgeschrieben **Secure SHell**) ist ein Protokoll, welches eine sichere Kommunikation zwischen zwei Systemen mittels einer Client/Server Architektur ermöglicht.
+{{:icons:ssh.png?nolink&100|}}
+Die Benutzer können sich damit auch bei einem entfernten Host-System anmelden und dies anschliessend mit den Berechtigungen des lokal eingeloggten Users verwalten.
 Im Gegensatz zu anderen Remote-Kommunikationsprotokollen wie FTP oder Telnet, verschlüsselt SSH die Anmeldung. Auf diese Weise können Eindringlinge auch keine unverschlüsselten Passwörter erkennen.
@@ Line 6: / Line 11: @@
 **SSH** wurde als Ersatz für ältere, weniger sichere Terminalanwendungen, wie **rsh** entwickelt. Das Programm **scp** ersetzt ältere Programme wie **rcp**, die zum Kopieren von Dateien zwischen Hosts verwendet wurden.
-----
-===== openSSH - Programmsuite =====
+===== OpenSSH - Programmsuite =====
 Die für die **Secure-Shell** benötigten Pakete werden im optimal Fall bereits bei der Erstinstallation erfolgreich ins System installiert. Bei Redhat teilen sich die einzelnen Programme der Programmsuite auf folgende Pakete auf:
@@ Line 42: / Line 45: @@
 ...
 </sxh>
+''Das gleiche könnten wir nun auch für das **openssh-clients** Paket, den **openssh-server** oder den **openssh-askpass** durchführen. So erkennen man, welche openssh Teile von welchen Paket zur Verfügung gestellt werden.''
 </WRAP>
-Das gleiche könnten wir nun auch für das **openssh-clients** Paket, den **openssh-server** oder den **openssh-askpass** durchführen. So erkennen man, welche openssh Teile von welchen Paket zur Verfügung gestellt werden.
-----
-===== SSH für Key-Authentifizierung Konfigurieren =====
+===== SSH für Key-Authentifizierung Konfigurieren und härten =====
 Sobald man einen **Fernzugriff** auf seine **Linux-Systeme**, auf Konsolenebene nutzen möchte, kommt man um **SSH** nicht drum herum. Ist der SSH-Server-Dienst einmal im System aktiviert und für die Nutzer freigegeben, kann man sich von überall aus dem LAN mit seinem User via Putty einloggen. Gibt man nun noch den Port via Router frei und schaltet das Portforwarding für SSH ein, so ist der Server auch von unterwegs erreichbar.
@@ Line 152: / Line 155: @@
 </WRAP>
-----
-===== Protect SSH Logins with SSH & MOTD Banner Messages =====
-One of the easiest way to protect and secure SSH logins by displaying warming message to UN-authorized users or display welcome or informational messages to authorized users.
-Being a system administrator whenever configure Linux servers I always use to configure a security banners for ssh logins. The banner contains some security warning information or general information. See my example banner message which I used for my all servers.
-<WRAP center round box 100%>
+===== Equip SSH Logins with MOTD or SSH-Banner Messages =====
-''//ALERT! You are entering into a secured area! Your IP, Login Time, Username has been noted and has been sent to the server administrator!
-This service is restricted to authorized users only. All activities on this system are logged.
+Vor - und nach einem LOGIN auf unser System können wir dem Nutzer noch individuelle Informationen anzeigen und/oder mitgeben.
-Unauthorized access will be fully investigated and reported to the appropriate law enforcement agencies.//''
+<WRAP center round tip 100%>
+''Hierfür gibt es zwei unterschiedliche Wege; also einmal das **issue.net** file oder das **motd** file''.
+  * ''**motd** : Zeigt eine Banner Message gleich nach dem erfolgreichen Login an.''
+  * ''**issue.net** : Zeigt ein Banner noch vor der Password Login-prompt.''
 </WRAP>
-<wrap em>There are two way to display messages one is using ''**issue.net** file'' and second one is using ''**MOTD** file''.</wrap>
-  * ''**issue.net** : Display a banner message before the password login prompt.''
+<WRAP center box 100%>
-  * ''**motd** : Display a banner message after the user has logged in.''
+==== motd - Display SSH Warning Message - After User Login ====
-So, I strongly recommended all system administrator to display a banner messages before allowing users to log in to systems. Just follow below simple steps to enable SSH logging messages.
+Das Akronym **motd** steht für message of the day. Diese Datei, welche vom Login-Programm benutzt wird, befindet sich im Konfigurationsverzeichnis unter ''/etc/motd'' und gibt nach einem erfolgreichem Login - aber noch vor dem Start der jeweiligen Login-Shell - eine Meldung aus.
+Zur Information für etwaige Neugierige und Remoteuser, oder beides, je nach Betrachtungsweise, wollen wir hier nun noch ein paar Zusatzinformation ausgeben.
-https://dokuwiki.nausch.org/doku.php/centos:logins_individuell_anpassen
+<code># vim /etc/motd</code>
-FIXME
-==== Display SSH Warning Message - Before User Login ====
+<sxh plain;>
-To display Welcome or Warning message for SSH users before login; We use ''**issue.net** file'' to display banner massages. To configure this, follow this steps:
+ ##############################################################################
+ #                                                                            #
+ #                 This is the admin server of Michael Reber.                 #
+ #                                                                            #
+ #                                ATTENTION:                                  #
+ #                                                                            #
+ #             Unauthorized access to this system is prohibited !             #
+ #                                                                            #
+ #    This system is actively monitored and all connections may be logged.    #
+ #         By accessing this system, you consent to this monitoring.          #
+ #                                                                            #
+ ##############################################################################
+</sxh>
+War die Datei zuvor noch nicht vorhanden, so passen wir die Berechtigungen noch wie folgt an:
+<code># chown root:root /etc/motd
+# chmod 644 /etc/motd</code>
+</WRAP>
+<WRAP center box 100%>
+==== issue.net - Display SSH Warning Message - Before User Login ====
+Mit Hilfe dieser Datei ''/etc/issue.net'' können ebenfalls Meldungen am Bildschirm ausgegeben werden - diese Informationen erscheinen dann jedoch vor dem Login-Prompt - sobald man sich via ssh anmelden möchte. Hierzu legen wir einfach die Datei ''/etc/issue.net'' mit dem editor unserer Wahl an.
-  - **Add the this banner sample message and save the file.** //You can add as well any custom banner message to this file.// <WRAP center box 100%>
 <code>
 # vim /etc/issue.net
 </code>
 <sxh plain;>
-###############################################################
+ ##############################################################################
-#                  Welcome to blackGATE.com                   #
+ #                                                                            #
-#                                                             #
+ #                       This is a private home server.                       #
-#         All connections are monitored and recorded          #
+ #                                                                            #
-#  Disconnect IMMEDIATELY if you are not an authorized user!  #
+ #             Unauthorized access to this system is prohibited !             #
-###############################################################
+ #                                                                            #
+ #    This system is actively monitored and all connections may be logged.    #
+ #         By accessing this system, you consent to this monitoring.          #
+ #                                                                            #
+ ##############################################################################
 </sxh>
-</WRAP>
-  - **Open the master ssh configuration file and enable banners**. <WRAP center box 100%>
+Die Berechtigungen passen wir dann wie folgt an:
+<code>
+# chown root:root /etc/issue.net
+# chmod 644 /etc/issue.net
+</code>
+Abschliessend ergänzen wir noch in der ''/etc/ssh/sshd_config'' die BANNER Konfiguration.
 <code>
 # vim /etc/ssh/sshd_config
@@ Line 207: / Line 244: @@
 Banner /etc/issue.net   #(you can use any path you want)
 </sxh>
-</WRAP>
-  - **Finally, restart the SSH daemon** to reflect new changes. <code># systemctl restart sshd</code>
-  - <wrap em>Try to connect to server you will see banner message, similar to below</wrap>.
+Nun fehlt nur noch der Restart des SSH Daemon:
+<code># systemctl restart sshd</code>
+</WRAP>
-==== Display SSH Warning Message - After User Login ====