SSH Login via Key - Empfehlung?

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

SSH Login via Key - Empfehlung?

Beitrag von fulltilt » 17.11.2016 10:34:50

Ich hatte bisher immer SSH per User und SU root verwendet, es sind aber mitlerweile 6 Webserver geworden und ich überlege mir ob ich das der Einfachheit auf Key Login umstelle ...
ist es dabei OK wenn ich dabei direkt als root einlogge ohne zusätzliche User?
Also auch wenn der Key mal verloren gehen sollte (wird gesichert auf CD und USB) komme ich immer noch über das Rescue System an die Maschine ran, ich denke daher es ist überflüssig da noch mit verschiedenen Usern zu arbeiten ...
Beim Backupserver hatte ich vorher ebenfalls einen Rsync User mit Key (backupuser) der nur Zugriff auf die Backups hatte, ist aber eher auch überflüssig und einfacher mit nur einem Root Key zu handhaben ....
Funktioniert das ganze auch mit einem anderen SSH Port also z.b. 2222 und Ist das so OK oder habt ihr noch Empfehlungen?
Debian: Testing
Desktop: KDE Plasma 5

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: SSH Login via Key - Empfehlung?

Beitrag von uname » 17.11.2016 10:51:15

root und SSH-Key ist in Ordnung. Funktioniert auch mit Port 2222. Als "Hintertür" für unterwegs (Key nicht dabei) kannst du dir mal Debianotpw-bin in Verbindung mit Debianlibpam-otpw anschauen. Sicherheitshalber (da evtl. etwas unzuverlässig) nicht für root, sondern für einen normalen Benutzer verwenden. Die OTP-Passwörter kannst du ausdrucken und mitnehmen.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: SSH Login via Key - Empfehlung?

Beitrag von eggy » 17.11.2016 11:22:20

Die Keys nicht ohne Passphrase erstellen (für Tippfaule gibts ssh-add). Überlegen ob man unterschiedliche Keys für unterschiedliche Server haben will, beides hat seine Vor- und Nachteile. Und schau Dir mal die Optionen für .ssh/config an, da kannst Du unter anderem user/keyfile/port pro Server eintragen.

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: SSH Login via Key - Empfehlung?

Beitrag von fulltilt » 17.11.2016 11:32:06

danke, noch eine Frage zur sshd_config - die sollte dann so aussehen, richtig?
per default ist hier RSAAuthentication und PubkeyAuthentication enabled ... funktioniert das überhaupt?

Code: Alles auswählen

Port 2222
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
#AuthorizedKeysFile	%h/.ssh/authorized_keys
UsePAM			no

wie sieht es damit aus?
KeyRegenerationInterval 3600
ServerKeyBits 768
Debian: Testing
Desktop: KDE Plasma 5

binarycode
Beiträge: 60
Registriert: 25.12.2014 12:10:25
Lizenz eigener Beiträge: GNU General Public License

Re: SSH Login via Key - Empfehlung?

Beitrag von binarycode » 25.12.2016 16:22:10

Hallo,

du solltest

Code: Alles auswählen

PermitRootLogin yes
auf

Code: Alles auswählen

PermitRootLogin without-password
stellen.

Somit kann sich root nicht mehr mit Passwort, sondern nur noch mit einem Key anmelden. Sicherheitshalber würde ich das so machen.

Gruß

binarycode
Beiträge: 60
Registriert: 25.12.2014 12:10:25
Lizenz eigener Beiträge: GNU General Public License

Re: SSH Login via Key - Empfehlung?

Beitrag von binarycode » 25.12.2016 16:31:10

achja: falls du RSA1 keys benutzen solltest, musst du folgendes auf true stellen:

RSAAuthentication yes

Aus der man:

Code: Alles auswählen

RSAAuthentication
    Specifies whether pure RSA authentication is allowed. The default is
    “yes”. This option applies to protocol version 1 only.
Ich würde dir aber empfehlen, keine RSA1 keys mehr zu nutzen, sondern eher RSA oder DSA keys

Gruß

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: SSH Login via Key - Empfehlung?

Beitrag von fulltilt » 25.12.2016 16:32:57

binarycode hat geschrieben:Hallo,

du solltest

Code: Alles auswählen

PermitRootLogin yes
auf

Code: Alles auswählen

PermitRootLogin without-password
stellen.

Somit kann sich root nicht mehr mit Passwort, sondern nur noch mit einem Key anmelden. Sicherheitshalber würde ich das so machen.

Gruß
ich habe die Passwd Auth dekativiert, ist without-password dann nicht überflüssig?

Code: Alles auswählen

PermitRootLogin yes
PasswordAuthentication no
Debian: Testing
Desktop: KDE Plasma 5

binarycode
Beiträge: 60
Registriert: 25.12.2014 12:10:25
Lizenz eigener Beiträge: GNU General Public License

Re: SSH Login via Key - Empfehlung?nT

Beitrag von binarycode » 25.12.2016 19:21:40

hi,

ja das geht natuerlich auch

gruss

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: SSH Login via Key - Empfehlung?

Beitrag von fulltilt » 29.12.2016 17:26:00

hier nochmal die sshd config, ist die soweit sicher genug?
Ich hatte RSAAuthentication noch auf yes ... jetzt auf NO

Code: Alles auswählen

RSAAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys
PermitRootLogin		yes
PasswordAuthentication	no
UsePAM			no
Debian: Testing
Desktop: KDE Plasma 5

binarycode
Beiträge: 60
Registriert: 25.12.2014 12:10:25
Lizenz eigener Beiträge: GNU General Public License

Re: SSH Login via Key - Empfehlung?

Beitrag von binarycode » 29.12.2016 19:57:40

Ich hoffe nicht dass das deine ganze Config ist, aber den Abschnitt den du da hast der sieht gut aus. Ich würde den als sicher einstufen.

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: SSH Login via Key - Empfehlung?

Beitrag von fulltilt » 30.12.2016 07:28:21

binarycode hat geschrieben:Ich hoffe nicht dass das deine ganze Config ist, aber den Abschnitt den du da hast der sieht gut aus. Ich würde den als sicher einstufen.
Danke fürs Feedback, das sind jetzt nur die aktuellen Änderungen von der default config ... den Port hab ich narürlich noch geändert.
Debian: Testing
Desktop: KDE Plasma 5

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: SSH Login via Key - Empfehlung?

Beitrag von schwedenmann » 30.12.2016 08:03:02

Hallo


Auf der anderen Seite sind die keys doch ohne PW erzeugt worden, oder !
Das ist dann genauso eine Sicherheitslücke, wie PW beim ssh-login. Geht der key in falsche Hände, ist das m.M. nach unsichererer als ssh + PW


mfg
schwedenmann

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: SSH Login via Key - Empfehlung?

Beitrag von fulltilt » 30.12.2016 08:21:26

schwedenmann hat geschrieben:Hallo
Auf der anderen Seite sind die keys doch ohne PW erzeugt worden, oder !
Das ist dann genauso eine Sicherheitslücke, wie PW beim ssh-login. Geht der key in falsche Hände, ist das m.M. nach unsichererer als ssh + PW
mfg
schwedenmann
Die Login Keys haben alle zusätzlich eine Passphrase ausser die Rsync Keys vom Host zum Backup Server ...
Für unterwegs hab ich mir die sshd_config 2x kopiert als .org mit Passwort Eingabe und als .keys mit der Key config, die kann ich dann bei Bedarf auf die vorhamdene conf überschreiben ...
Fail2ban läuft auch noch für den Fall beim umstellen auf PW, da gibt es dann wieder 2 User und Root mit SU.
Na ja, bei beiden Varianten kann entweder der Key oder die Passwörter in falsche Hände gelangen ... beim Key finde ich es daher noch etwas sicherer wg. der Passphrase ... eine 100%tige Sicherheit existiert es eh nicht :mrgreen:

### edit ###
was ich aber noch verbessern könnte wäre meine Workstation - also die Home Partition verschlüsseln, wo die Login Keys im .ssh liegen ....
wird dann aber vermutlich Performance Einbussen haben?
Debian: Testing
Desktop: KDE Plasma 5

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: SSH Login via Key - Empfehlung?

Beitrag von schwedenmann » 30.12.2016 08:32:11

Hallo

Die Login Keys haben alle zusätzlich eine Passphrase
Dann sind die keys ja für Scripte mit ssh nicht zu gebrauchen, afaik werden die ja viel genau in dieser Richtung genutzt, oder sehe ich das falsch ?

Von der Verschlüsselung merkst du nichts, jedenfalls wenn du nicht eine Single-CPU mit 2Ghz oder weniger betreibst. :mrgreen:


mfg
schwedenmann

DeletedUserReAsG

Re: SSH Login via Key - Empfehlung?

Beitrag von DeletedUserReAsG » 30.12.2016 08:36:30

Dann sind die keys ja für Scripte mit ssh nicht zu gebrauchen, afaik werden die ja viel genau in dieser Richtung genutzt, oder sehe ich das falsch ?
Warum nicht? Nachteil ist, dass dann die Passphrase wieder irgendwo in einem Script steht. Meine Lösung für solche Dinge: der User mit dem Schlüssel ohne Passphrase, der für Scripte genommen wird, kann auf der Zielmaschine nur genau das machen, was er soll.

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: SSH Login via Key - Empfehlung?

Beitrag von fulltilt » 30.12.2016 08:42:36

schwedenmann hat geschrieben:Hallo

Die Login Keys haben alle zusätzlich eine Passphrase
Dann sind die keys ja für Scripte mit ssh nicht zu gebrauchen, afaik werden die ja viel genau in dieser Richtung genutzt, oder sehe ich das falsch ?

Von der Verschlüsselung merkst du nichts, jedenfalls wenn du nicht eine Single-CPU mit 2Ghz oder weniger betreibst. :mrgreen:


mfg
schwedenmann
nee, für Rsync habe ich einen extra key nur auf dem Host ohne Pass zum Backupserver, die Login Keys zum Host hier auf meiner Workstation haben eine Passphrase ...
Mit der nachträglichen Verschlüsselung meiner /home werde ich mal auf einer V-Box testen ... da hängt ja wieder ein Rattenschwanz dran :mrgreen:
... Backups, Restore einer verschlüsseleten Partition
Debian: Testing
Desktop: KDE Plasma 5

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: SSH Login via Key - Empfehlung?

Beitrag von ThorstenS » 30.12.2016 09:43:59

Als Verbesserungsvorschlag würde ich dir raten auf einen ed25519 key zu setzen. Das hat ausserdem den Vorteil, dass dieser hübsch kurz ist:

Code: Alles auswählen

ssh-keygen -o -a 100 -t ed25519
Das geht ab jessie.

Warum und wieso steht hier: https://blog.g3rt.nl/upgrade-your-ssh-keys.html

Vor ~2 Monaten hat allerdings erst die dev/beta Version von putty diese keys unterstützt. Falls du also mit einem Windows Client connecten magst, hol dir die entspr. Version.

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: SSH Login via Key - Empfehlung?

Beitrag von fulltilt » 30.12.2016 09:57:47

ThorstenS hat geschrieben:Als Verbesserungsvorschlag würde ich dir raten auf einen ed25519 key zu setzen. Das hat ausserdem den Vorteil, dass dieser hübsch kurz ist:

Code: Alles auswählen

ssh-keygen -o -a 100 -t ed25519
Das geht ab jessie.

Warum und wieso steht hier: https://blog.g3rt.nl/upgrade-your-ssh-keys.html

Vor ~2 Monaten hat allerdings erst die dev/beta Version von putty diese keys unterstützt. Falls du also mit einem Windows Client connecten magst, hol dir die entspr. Version.
Danke, dir, also betrifft das alle Keys < 2048 bits
diese Keys wurden letzte Woche mit der aktuellen openssh in Debian 8.6 erstellt

Code: Alles auswählen

ssh-keygen -b 4096
Ich verwende KDE als Workstation und für SSH Verbindungen den Terminal (Konsole) also gar kein Putty
Debian: Testing
Desktop: KDE Plasma 5

Antworten