Root ssh login

Aus Labor für Echtzeitsysteme

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
Version vom 09:59, 11. Jul. 2007 (bearbeiten)
Notdefine (Diskussion | Beiträge)
K (Offene Fragen)
← Zum vorherigen Versionsunterschied
Aktuelle Version (14:49, 12. Jul. 2007) (bearbeiten) (rückgängig)
Notdefine (Diskussion | Beiträge)

 
Zeile 12: Zeile 12:
* /etc/ssh/sshd_config: PermitRootLogin no * /etc/ssh/sshd_config: PermitRootLogin no
* /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist. * /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist.
-* /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.+NEIN nicht erlaubt * /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.
* SSHD neu starten * SSHD neu starten
/etc/init.d/sshd restart /etc/init.d/sshd restart

Aktuelle Version

Step for Step:

Inhaltsverzeichnis

[bearbeiten] Neuen Benutzer anlegen, und anschließender Login Test

  • Als root an VM anmelden.
  • Neuen Benutzer mit Passwort fürs Team anlegen.
 adduser neuerbenutzer
  • Abmelden.
  • Als dieser Benutzer via SSH einloggen, um sicherzustellen das der Zugang funktioniert.
  • Via su - zu Root wechseln, erst weitermachen, wenn dieses Schritte funktioniert haben.

[bearbeiten] SSHD Root login abschalten

  • /etc/ssh/sshd_config: PermitRootLogin no
  • /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist.

NEIN nicht erlaubt * /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.

  • SSHD neu starten
 /etc/init.d/sshd restart

[bearbeiten] Public Key für neuen Benutzer einrichten

  • id_dsa.pub nach VM authorized_keys2 für den neuen Benutzer.
  • Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam"
  • Abmelden, und Login via Public Key testen!
  • Tipp: Die Applikation
    ssh-copy-id
    nutzen
 ssh-copy-id -i .ssh/id_dsa.pub d2

[bearbeiten] Anmelden am System von Außen via Passwort komplett abschalten

  • /etc/ssh/sshd_config: PasswordAuthentication auf no setzen.
  • /etc/ssh/sshd_config: PAM abschalten ?  OPEN 
  • SSHD neu starten (/etc/init.d/sshd restart)

[bearbeiten] Lokales login als neuer User via su - neueruser deaktivieren

  • In shadow md5 durch ! für neueruser ersetzen, damit sich der user nicht lokal einloggen kann.

( If the password field contains some string that is not valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in.)

[bearbeiten] Vorbereitungen

  • Public/Private key für den TeamBenutzer anlegen, und sicher verteilen.

[bearbeiten] Offene Fragen

  • Auch Gruppe für neuen Benutzer anlegen ?  OPEN 
  • /etc/ssh/sshd_config: PAM abschalten ?  OPEN 
  • HostKey in /etc/ssh/ssh_host_..._key ändern ?
Persönliche Werkzeuge