Root ssh login
Aus Labor für Echtzeitsysteme
Step for Step:
Inhaltsverzeichnis |
[bearbeiten] Neuen Benutzer anlegen, und anschließender Login Test
- Als root an VM anmelden.
- Neuen Benutzer mit Passwort fürs Team anlegen.
adduser neuerbenutzer
- Abmelden.
- Als dieser Benutzer via SSH einloggen, um sicherzustellen das der Zugang funktioniert.
- Via su - zu Root wechseln, erst weitermachen, wenn dieses Schritte funktioniert haben.
[bearbeiten] SSHD Root login abschalten
- /etc/ssh/sshd_config: PermitRootLogin no
- /etc/ssh/sshd_config: Sicherstellen, das Protocol auf 2 gesetzt ist.
NEIN nicht erlaubt * /etc/ssh/sshd_config: Sicherstellen, das PermitEmptyPasswords auf no gesetzt ist.
- SSHD neu starten
/etc/init.d/sshd restart
[bearbeiten] Public Key für neuen Benutzer einrichten
- id_dsa.pub nach VM authorized_keys2 für den neuen Benutzer.
- Wichtig, die Rechte richtig setzen "-rw-r--r-- 1 bsplteam bsplteam"
- Abmelden, und Login via Public Key testen!
- Tipp: Die Applikation
ssh-copy-id
nutzen
ssh-copy-id -i .ssh/id_dsa.pub d2
[bearbeiten] Anmelden am System von Außen via Passwort komplett abschalten
- /etc/ssh/sshd_config: PasswordAuthentication auf no setzen.
- /etc/ssh/sshd_config: PAM abschalten ? OPEN
- SSHD neu starten (/etc/init.d/sshd restart)
[bearbeiten] Lokales login als neuer User via su - neueruser deaktivieren
- In shadow md5 durch ! für neueruser ersetzen, damit sich der user nicht lokal einloggen kann.
( If the password field contains some string that is not valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in.)
[bearbeiten] Vorbereitungen
- Public/Private key für den TeamBenutzer anlegen, und sicher verteilen.
[bearbeiten] Offene Fragen
- Auch Gruppe für neuen Benutzer anlegen ? OPEN
- /etc/ssh/sshd_config: PAM abschalten ? OPEN
- HostKey in /etc/ssh/ssh_host_..._key ändern ?