OpenSSH mit Zertifikat
Aus NeoWiki
Diese Seite wird nicht mehr weiter gepflegt!
Inhaltsverzeichnis |
Referenzen
OpenSSH Server
- Um ungewollte Zugriffe zu vermeiden kann man im sshd einschränken, welche User oder welche Gruppen sich tatsächlich einloggen dürfen. Damit verhindert man, das Accounts mit relativ unsicheren Passwörtern, die nur für bestimmte Dienste gebraucht werden dazu dienen sich auf dem Rechner einzuloggen und weiteres auszuspionieren oder den Rechner für Angriffe zu missbrauchen. Beispiele: (z.B. via /etc/ssh/sshd_config): AllowGroup ssh-group oder AllowUsers ssh-user.
Zertifikat erstellen
- ssh-keygen -t rsa -b 2048
erzeugt einen RSA2 Key mit 2048 Bit Länge
- ssh-keygen -t dsa -b 2048
erzeugt einen DSA2 Key mit 2048 Bit Länge
- ssh-keygen -t rsa1 -b 2048
erzeugt einen RSA1 Key mit 2048 Bit Länge
Das Passwort kann man nachträglich mittels "ssh-keygen -p" ändern.
Konfiguration des sshd
In der /etc/ssh/sshd_config kann man die Optionen PasswordAuthentication sowie PAMAuthenticationViaKbdInt auf no setzen Zertifikat der Benutzer eintragen: public key an ~/.ssh/authorized_keys2 anfügen
Beispielpackage
Hier sind alle Configs drin, die zwei getrennte SSHd's ermöglichen:
- Port 22 -> wahlweise per PublicKey oder per Passwort, gebunden auf localhost
- Port 2222 -> Ausschliesslich per PublicKey (zB. für Portfreigabe in untrusted nets)
Putty Verbindung mit Zertifikat
‘Private key file for authentication’
This box is where you enter the name of your private key file if you are using public key authentication. See chapter 8 for information about public key authentication in SSH.
This key must be in PuTTY's native format (*.PPK).
