Root ssh login

Aus Labor für Echtzeitsysteme

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
Version vom 08:08, 11. Jul. 2007 (bearbeiten)
Weiler (Diskussion | Beiträge)
(Public Key für neuen Benutzer einrichten - ssh-copy-id)
← Zum vorherigen Versionsunterschied
Aktuelle Version (14:49, 12. Jul. 2007) (bearbeiten) (rückgängig)
Notdefine (Diskussion | Beiträge)

 
(Der Versionsvergleich bezieht 2 dazwischen liegende Versionen mit ein.)
Zeile 1: Zeile 1:
Step for Step: Step for Step:
-== Neuer Benutzer, und Login Test ==+== Neuen Benutzer anlegen, und anschließender Login Test ==
- +* Als root an VM anmelden.
-* Neuen Benutzer fürs Team anlegen, mit Passwort (adduser)+* Neuen Benutzer mit Passwort fürs Team anlegen.
-* Als dieser Benuter einloggen, um sicherzustellen das er funktioniert.+ adduser neuerbenutzer
 +* Abmelden.
 +* Als dieser Benutzer via SSH einloggen, um sicherzustellen das der Zugang funktioniert.
* Via su - zu Root wechseln, erst weitermachen, wenn dieses Schritte funktioniert haben. * Via su - zu Root wechseln, erst weitermachen, wenn dieses Schritte funktioniert haben.
Zeile 10: Zeile 12:
* /etc/ssh/sshd_config: PermitRootLogin no * /etc/ssh/sshd_config: PermitRootLogin no
* /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist. * /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist.
-* /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.+NEIN nicht erlaubt * /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.
-* SSHD neu starten (/etc/init.d/sshd restart)+* SSHD neu starten
 + /etc/init.d/sshd restart
== Public Key für neuen Benutzer einrichten == == Public Key für neuen Benutzer einrichten ==
- 
* id_dsa.pub nach VM authorized_keys2 für den neuen Benutzer. * id_dsa.pub nach VM authorized_keys2 für den neuen Benutzer.
* Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam" * Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam"
* Abmelden, und Login via Public Key testen! * Abmelden, und Login via Public Key testen!
* Tipp: Die Applikation <code>ssh-copy-id</code> nutzen * Tipp: Die Applikation <code>ssh-copy-id</code> nutzen
 + ssh-copy-id -i .ssh/id_dsa.pub d2
== Anmelden am System von Außen via Passwort komplett abschalten == == Anmelden am System von Außen via Passwort komplett abschalten ==
- 
* /etc/ssh/sshd_config: PasswordAuthentication auf no setzen. * /etc/ssh/sshd_config: PasswordAuthentication auf no setzen.
* /etc/ssh/sshd_config: PAM abschalten ? {{OPEN}} * /etc/ssh/sshd_config: PAM abschalten ? {{OPEN}}
* SSHD neu starten (/etc/init.d/sshd restart) * SSHD neu starten (/etc/init.d/sshd restart)
-== Lokales login als neuer User via su - neueruser deaktivieren+== Lokales login als neuer User via su - neueruser deaktivieren ==
- +
* In shadow md5 durch ! für neueruser ersetzen, damit sich der user nicht lokal einloggen kann. * In shadow md5 durch ! für neueruser ersetzen, damit sich der user nicht lokal einloggen kann.
( If the password field contains some string that is not valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in.) ( If the password field contains some string that is not valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in.)
Zeile 35: Zeile 36:
== Offene Fragen == == Offene Fragen ==
- 
* Auch Gruppe für neuen Benutzer anlegen ? {{OPEN}} * Auch Gruppe für neuen Benutzer anlegen ? {{OPEN}}
* /etc/ssh/sshd_config: PAM abschalten ? {{OPEN}} * /etc/ssh/sshd_config: PAM abschalten ? {{OPEN}}
 +* HostKey in /etc/ssh/ssh_host_..._key ändern ?

Aktuelle Version

Step for Step:

Inhaltsverzeichnis

[bearbeiten] Neuen Benutzer anlegen, und anschließender Login Test

  • Als root an VM anmelden.
  • Neuen Benutzer mit Passwort fürs Team anlegen.
 adduser neuerbenutzer
  • Abmelden.
  • Als dieser Benutzer via SSH einloggen, um sicherzustellen das der Zugang funktioniert.
  • Via su - zu Root wechseln, erst weitermachen, wenn dieses Schritte funktioniert haben.

[bearbeiten] SSHD Root login abschalten

  • /etc/ssh/sshd_config: PermitRootLogin no
  • /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist.

NEIN nicht erlaubt * /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.

  • SSHD neu starten
 /etc/init.d/sshd restart

[bearbeiten] Public Key für neuen Benutzer einrichten

  • id_dsa.pub nach VM authorized_keys2 für den neuen Benutzer.
  • Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam"
  • Abmelden, und Login via Public Key testen!
  • Tipp: Die Applikation
    ssh-copy-id
    nutzen
 ssh-copy-id -i .ssh/id_dsa.pub d2

[bearbeiten] Anmelden am System von Außen via Passwort komplett abschalten

  • /etc/ssh/sshd_config: PasswordAuthentication auf no setzen.
  • /etc/ssh/sshd_config: PAM abschalten ?  OPEN 
  • SSHD neu starten (/etc/init.d/sshd restart)

[bearbeiten] Lokales login als neuer User via su - neueruser deaktivieren

  • In shadow md5 durch ! für neueruser ersetzen, damit sich der user nicht lokal einloggen kann.

( If the password field contains some string that is not valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in.)

[bearbeiten] Vorbereitungen

  • Public/Private key für den TeamBenutzer anlegen, und sicher verteilen.

[bearbeiten] Offene Fragen

  • Auch Gruppe für neuen Benutzer anlegen ?  OPEN 
  • /etc/ssh/sshd_config: PAM abschalten ?  OPEN 
  • HostKey in /etc/ssh/ssh_host_..._key ändern ?
Persönliche Werkzeuge