Root ssh login
Aus Labor für Echtzeitsysteme
(Unterschied zwischen Versionen)
Version vom 09:43, 11. Jul. 2007 (bearbeiten) Notdefine (Diskussion | Beiträge) K ← Zum vorherigen Versionsunterschied |
Aktuelle Version (14:49, 12. Jul. 2007) (bearbeiten) (rückgängig) Notdefine (Diskussion | Beiträge) |
||
(Der Versionsvergleich bezieht eine dazwischen liegende Version mit ein.) | |||
Zeile 12: | Zeile 12: | ||
* /etc/ssh/sshd_config: PermitRootLogin no | * /etc/ssh/sshd_config: PermitRootLogin no | ||
* /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist. | * /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist. | ||
- | * /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist. | + | NEIN nicht erlaubt * /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist. |
* SSHD neu starten | * SSHD neu starten | ||
/etc/init.d/sshd restart | /etc/init.d/sshd restart | ||
Zeile 38: | Zeile 38: | ||
* Auch Gruppe für neuen Benutzer anlegen ? {{OPEN}} | * Auch Gruppe für neuen Benutzer anlegen ? {{OPEN}} | ||
* /etc/ssh/sshd_config: PAM abschalten ? {{OPEN}} | * /etc/ssh/sshd_config: PAM abschalten ? {{OPEN}} | ||
+ | * HostKey in /etc/ssh/ssh_host_..._key ändern ? |
Aktuelle Version
Step for Step:
Inhaltsverzeichnis |
[bearbeiten] Neuen Benutzer anlegen, und anschließender Login Test
- Als root an VM anmelden.
- Neuen Benutzer mit Passwort fürs Team anlegen.
adduser neuerbenutzer
- Abmelden.
- Als dieser Benutzer via SSH einloggen, um sicherzustellen das der Zugang funktioniert.
- Via su - zu Root wechseln, erst weitermachen, wenn dieses Schritte funktioniert haben.
[bearbeiten] SSHD Root login abschalten
- /etc/ssh/sshd_config: PermitRootLogin no
- /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist.
NEIN nicht erlaubt * /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.
- SSHD neu starten
/etc/init.d/sshd restart
[bearbeiten] Public Key für neuen Benutzer einrichten
- id_dsa.pub nach VM authorized_keys2 für den neuen Benutzer.
- Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam"
- Abmelden, und Login via Public Key testen!
- Tipp: Die Applikation
ssh-copy-id
nutzen
ssh-copy-id -i .ssh/id_dsa.pub d2
[bearbeiten] Anmelden am System von Außen via Passwort komplett abschalten
- /etc/ssh/sshd_config: PasswordAuthentication auf no setzen.
- /etc/ssh/sshd_config: PAM abschalten ? OPEN
- SSHD neu starten (/etc/init.d/sshd restart)
[bearbeiten] Lokales login als neuer User via su - neueruser deaktivieren
- In shadow md5 durch ! für neueruser ersetzen, damit sich der user nicht lokal einloggen kann.
( If the password field contains some string that is not valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in.)
[bearbeiten] Vorbereitungen
- Public/Private key für den TeamBenutzer anlegen, und sicher verteilen.
[bearbeiten] Offene Fragen
- Auch Gruppe für neuen Benutzer anlegen ? OPEN
- /etc/ssh/sshd_config: PAM abschalten ? OPEN
- HostKey in /etc/ssh/ssh_host_..._key ändern ?