Root ssh login

Aus Labor für Echtzeitsysteme

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
Version vom 11:53, 9. Jul. 2007 (bearbeiten)
Notdefine (Diskussion | Beiträge)
(Anleitung SSH Public Key login)
← Zum vorherigen Versionsunterschied
Version vom 08:08, 11. Jul. 2007 (bearbeiten) (rückgängig)
Weiler (Diskussion | Beiträge)
(Public Key für neuen Benutzer einrichten - ssh-copy-id)
Zum nächsten Versionsunterschied →
Zeile 18: Zeile 18:
* Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam" * Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam"
* Abmelden, und Login via Public Key testen! * Abmelden, und Login via Public Key testen!
 +* Tipp: Die Applikation <code>ssh-copy-id</code> nutzen
== Anmelden am System von Außen via Passwort komplett abschalten == == Anmelden am System von Außen via Passwort komplett abschalten ==

Version vom 08:08, 11. Jul. 2007

Step for Step:

Inhaltsverzeichnis

Neuer Benutzer, und Login Test

  • Neuen Benutzer fürs Team anlegen, mit Passwort (adduser)
  • Als dieser Benuter einloggen, um sicherzustellen das er funktioniert.
  • Via su - zu Root wechseln, erst weitermachen, wenn dieses Schritte funktioniert haben.

SSHD Root login abschalten

  • /etc/ssh/sshd_config: PermitRootLogin no
  • /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist.
  • /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.
  • SSHD neu starten (/etc/init.d/sshd restart)

Public Key für neuen Benutzer einrichten

  • id_dsa.pub nach VM authorized_keys2 für den neuen Benutzer.
  • Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam"
  • Abmelden, und Login via Public Key testen!
  • Tipp: Die Applikation
    ssh-copy-id
    nutzen

Anmelden am System von Außen via Passwort komplett abschalten

  • /etc/ssh/sshd_config: PasswordAuthentication auf no setzen.
  • /etc/ssh/sshd_config: PAM abschalten ?  OPEN 
  • SSHD neu starten (/etc/init.d/sshd restart)

== Lokales login als neuer User via su - neueruser deaktivieren

  • In shadow md5 durch ! für neueruser ersetzen, damit sich der user nicht lokal einloggen kann.

( If the password field contains some string that is not valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in.)

Vorbereitungen

  • Public/Private key für den TeamBenutzer anlegen, und sicher verteilen.

Offene Fragen

  • Auch Gruppe für neuen Benutzer anlegen ?  OPEN 
  • /etc/ssh/sshd_config: PAM abschalten ?  OPEN 
Persönliche Werkzeuge