ssh und match-Anweisung

[schwedenmann]

Hallo


Ich möchte auf einem Debianserver (debian-unstable) und einem anderen PC (Ubuntu - WattOS10.5 mit 16.04, letztes WE auf 18.04 LTS hochgezogen) ssh so konfigurieren,das weiterhin oasswordAuthentification erlaubt ist,aber nur für den user backuppc publicKeyAuthenification greift.

Geht das per match-Anweisung in der sshd des Debianservers? und/oder muß ich auch was auf dem Client (Ubuntu) ändern in dessen ssh-config oder der sshconfuig auf dem Server ?


im Moment ist die Standardkonfig von Debian (also die opemssh-server Konfiguration) nach einer Installation aktiv.

Als beispiel aus https://www.thomas-krenn.com/de/wiki/Op ... figuration

PasswordAuthentication no
...

Match User admin
PasswordAuthentication yes

für wäre dann admin durch den user joerg zu ersetzen.

Reicht diese eine match-Anweisung ?

mfg
schwedenmann

P.S.
Der user abckuppc,ist wie unschwer zu erraten ist der user unter dem der Prozeß von der SW backuppc läuft. Backuppc benötigt leider PublicKeyAuthentification.

[MSfree]

Code: Alles auswählen

Match User admin
  PasswordAuthentication yes

Reicht diese eine match-Anweisung?

Probier es doch aus

Ich möchte hier aber anmerken, daß dann das Login mittels einfacher Passwortauthentifizierung von überall, also aus dem gesamten Internet, möglich ist, solange man sich als admin anmeldet.

Ich würde sowas immer auch auf einen Adressbereich beschränken, sinnvollerweise das eigen LAN, z.B. so:

Code: Alles auswählen

Match User admin Address 192.168.xx.0/24
  PasswordAuthentication yes

[schwedenmann]

Hallo

@MsFree

Ich würde sowas immer auch auf einen Adressbereich beschränken, sinnvollerweise das eigen LAN, z.B. so:

Ok,guter Tip, aber : was ist dann wenn ich z.B. per VPN von außen auf den zugreifen (einloggen will),dann sperrt man doch den admin aus,oder nicht ?
Ist zwar im Moment nicht der Fall,kann aber noch werden.

danke,sochmals,werde aber erst am W.E. mit backuppc rumspielen,auf dem Server läuft noch bareos und repos von borgbackup.


mfg
schwedenmann

[MSfree]

aber : was ist dann wenn ich z.B. per VPN von außen auf den zugreifen (einloggen will),dann sperrt man doch den admin aus,oder nicht?

1. Für logins von ausserhalb kannst du einen SSH-Schlüssel generieren.
2. Du kannst auch den Adressbereich deines VPNs in den Match-Abschnitt einbauen, wobei ich ersteres für sinnvoller halte.

[eggy]

Der user abckuppc,ist wie unschwer zu erraten ist der user unter dem der Prozeß von der SW backuppc läuft. Backuppc benötigt leider PublicKeyAuthentification.

Wieso "leider"? Login mit Key ist wesentlich sicherer als Login mit Passwort.

[schwedenmann]

Hallo

@eggy

Wieso "leider"? Login mit Key ist wesentlich sicherer als Login mit Passwort.

Leider, weil ssh-login per key in backuppc mandandatory ist und ich deshalb meine ssh-config umstellen müßte, es ist bei z.B. bareos optional. Bareos auf 8 clients läuft im Lan bei mir ohne ssh.


mfg
schwedenmann

P.S.
Ob keys jetzt wirklich sicherer bei ssh sind,ist m.M. nach eine Glaubensfrage,erst Recht wenn die keys ohne PW generiert werden und der key dann abgefangen wird,steht der PC sperrangelweit offen. ich sehe in den keys eher weniger Tiparbeit und in Verbindung mit Scripten einen Gewinn,gegenüber PW.

[MSfree]

Ob keys jetzt wirklich sicherer bei ssh sind,ist m.M. nach eine Glaubensfrage

Zumindest sind Schlüssel deutlich länger und damit schwerer durch brute Force knackbar als Paßwörter, und das macht Schlüssel dann auch deutlich sicherer als Paßwörter.

erst Recht wenn die keys ohne PW generiert werden und der key dann abgefangen wird,

Über das Netzwerk lassen sich Schlüssel nicht sinnvoll abfangen, weil schon beim Verbindungsaufbau eine Netzwerkverschlüsselung aktiv ist. Aber du hast natürlich recht, wenn jemand an deine Dateien unter ~/.ssh rankommt und auslesen kann, ist ein Schlüssel ohne Passphrase ausgehebelt.