SSH Login via Key - Empfehlung?
SSH Login via Key - Empfehlung?
Ich hatte bisher immer SSH per User und SU root verwendet, es sind aber mitlerweile 6 Webserver geworden und ich überlege mir ob ich das der Einfachheit auf Key Login umstelle ...
ist es dabei OK wenn ich dabei direkt als root einlogge ohne zusätzliche User?
Also auch wenn der Key mal verloren gehen sollte (wird gesichert auf CD und USB) komme ich immer noch über das Rescue System an die Maschine ran, ich denke daher es ist überflüssig da noch mit verschiedenen Usern zu arbeiten ...
Beim Backupserver hatte ich vorher ebenfalls einen Rsync User mit Key (backupuser) der nur Zugriff auf die Backups hatte, ist aber eher auch überflüssig und einfacher mit nur einem Root Key zu handhaben ....
Funktioniert das ganze auch mit einem anderen SSH Port also z.b. 2222 und Ist das so OK oder habt ihr noch Empfehlungen?
ist es dabei OK wenn ich dabei direkt als root einlogge ohne zusätzliche User?
Also auch wenn der Key mal verloren gehen sollte (wird gesichert auf CD und USB) komme ich immer noch über das Rescue System an die Maschine ran, ich denke daher es ist überflüssig da noch mit verschiedenen Usern zu arbeiten ...
Beim Backupserver hatte ich vorher ebenfalls einen Rsync User mit Key (backupuser) der nur Zugriff auf die Backups hatte, ist aber eher auch überflüssig und einfacher mit nur einem Root Key zu handhaben ....
Funktioniert das ganze auch mit einem anderen SSH Port also z.b. 2222 und Ist das so OK oder habt ihr noch Empfehlungen?
Debian: Testing
Desktop: KDE Plasma 5
Desktop: KDE Plasma 5
Re: SSH Login via Key - Empfehlung?
root und SSH-Key ist in Ordnung. Funktioniert auch mit Port 2222. Als "Hintertür" für unterwegs (Key nicht dabei) kannst du dir mal otpw-bin in Verbindung mit libpam-otpw anschauen. Sicherheitshalber (da evtl. etwas unzuverlässig) nicht für root, sondern für einen normalen Benutzer verwenden. Die OTP-Passwörter kannst du ausdrucken und mitnehmen.
Re: SSH Login via Key - Empfehlung?
Die Keys nicht ohne Passphrase erstellen (für Tippfaule gibts ssh-add). Überlegen ob man unterschiedliche Keys für unterschiedliche Server haben will, beides hat seine Vor- und Nachteile. Und schau Dir mal die Optionen für .ssh/config an, da kannst Du unter anderem user/keyfile/port pro Server eintragen.
Re: SSH Login via Key - Empfehlung?
danke, noch eine Frage zur sshd_config - die sollte dann so aussehen, richtig?
per default ist hier RSAAuthentication und PubkeyAuthentication enabled ... funktioniert das überhaupt?
per default ist hier RSAAuthentication und PubkeyAuthentication enabled ... funktioniert das überhaupt?
Code: Alles auswählen
Port 2222
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
UsePAM no
wie sieht es damit aus?
KeyRegenerationInterval 3600
ServerKeyBits 768
Debian: Testing
Desktop: KDE Plasma 5
Desktop: KDE Plasma 5
-
- Beiträge: 60
- Registriert: 25.12.2014 12:10:25
- Lizenz eigener Beiträge: GNU General Public License
Re: SSH Login via Key - Empfehlung?
Hallo,
du solltest
auf
stellen.
Somit kann sich root nicht mehr mit Passwort, sondern nur noch mit einem Key anmelden. Sicherheitshalber würde ich das so machen.
Gruß
du solltest
Code: Alles auswählen
PermitRootLogin yes
Code: Alles auswählen
PermitRootLogin without-password
Somit kann sich root nicht mehr mit Passwort, sondern nur noch mit einem Key anmelden. Sicherheitshalber würde ich das so machen.
Gruß
-
- Beiträge: 60
- Registriert: 25.12.2014 12:10:25
- Lizenz eigener Beiträge: GNU General Public License
Re: SSH Login via Key - Empfehlung?
achja: falls du RSA1 keys benutzen solltest, musst du folgendes auf true stellen:
RSAAuthentication yes
Aus der man:
Ich würde dir aber empfehlen, keine RSA1 keys mehr zu nutzen, sondern eher RSA oder DSA keys
Gruß
RSAAuthentication yes
Aus der man:
Code: Alles auswählen
RSAAuthentication
Specifies whether pure RSA authentication is allowed. The default is
“yes”. This option applies to protocol version 1 only.
Gruß
Re: SSH Login via Key - Empfehlung?
ich habe die Passwd Auth dekativiert, ist without-password dann nicht überflüssig?binarycode hat geschrieben:Hallo,
du solltest
aufCode: Alles auswählen
PermitRootLogin yes
stellen.Code: Alles auswählen
PermitRootLogin without-password
Somit kann sich root nicht mehr mit Passwort, sondern nur noch mit einem Key anmelden. Sicherheitshalber würde ich das so machen.
Gruß
Code: Alles auswählen
PermitRootLogin yes
PasswordAuthentication no
Debian: Testing
Desktop: KDE Plasma 5
Desktop: KDE Plasma 5
-
- Beiträge: 60
- Registriert: 25.12.2014 12:10:25
- Lizenz eigener Beiträge: GNU General Public License
Re: SSH Login via Key - Empfehlung?nT
hi,
ja das geht natuerlich auch
gruss
ja das geht natuerlich auch
gruss
Re: SSH Login via Key - Empfehlung?
hier nochmal die sshd config, ist die soweit sicher genug?
Ich hatte RSAAuthentication noch auf yes ... jetzt auf NO
Ich hatte RSAAuthentication noch auf yes ... jetzt auf NO
Code: Alles auswählen
RSAAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PermitRootLogin yes
PasswordAuthentication no
UsePAM no
Debian: Testing
Desktop: KDE Plasma 5
Desktop: KDE Plasma 5
-
- Beiträge: 60
- Registriert: 25.12.2014 12:10:25
- Lizenz eigener Beiträge: GNU General Public License
Re: SSH Login via Key - Empfehlung?
Ich hoffe nicht dass das deine ganze Config ist, aber den Abschnitt den du da hast der sieht gut aus. Ich würde den als sicher einstufen.
Re: SSH Login via Key - Empfehlung?
Danke fürs Feedback, das sind jetzt nur die aktuellen Änderungen von der default config ... den Port hab ich narürlich noch geändert.binarycode hat geschrieben:Ich hoffe nicht dass das deine ganze Config ist, aber den Abschnitt den du da hast der sieht gut aus. Ich würde den als sicher einstufen.
Debian: Testing
Desktop: KDE Plasma 5
Desktop: KDE Plasma 5
-
- Beiträge: 5528
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: SSH Login via Key - Empfehlung?
Hallo
Auf der anderen Seite sind die keys doch ohne PW erzeugt worden, oder !
Das ist dann genauso eine Sicherheitslücke, wie PW beim ssh-login. Geht der key in falsche Hände, ist das m.M. nach unsichererer als ssh + PW
mfg
schwedenmann
Auf der anderen Seite sind die keys doch ohne PW erzeugt worden, oder !
Das ist dann genauso eine Sicherheitslücke, wie PW beim ssh-login. Geht der key in falsche Hände, ist das m.M. nach unsichererer als ssh + PW
mfg
schwedenmann
Re: SSH Login via Key - Empfehlung?
Die Login Keys haben alle zusätzlich eine Passphrase ausser die Rsync Keys vom Host zum Backup Server ...schwedenmann hat geschrieben:Hallo
Auf der anderen Seite sind die keys doch ohne PW erzeugt worden, oder !
Das ist dann genauso eine Sicherheitslücke, wie PW beim ssh-login. Geht der key in falsche Hände, ist das m.M. nach unsichererer als ssh + PW
mfg
schwedenmann
Für unterwegs hab ich mir die sshd_config 2x kopiert als .org mit Passwort Eingabe und als .keys mit der Key config, die kann ich dann bei Bedarf auf die vorhamdene conf überschreiben ...
Fail2ban läuft auch noch für den Fall beim umstellen auf PW, da gibt es dann wieder 2 User und Root mit SU.
Na ja, bei beiden Varianten kann entweder der Key oder die Passwörter in falsche Hände gelangen ... beim Key finde ich es daher noch etwas sicherer wg. der Passphrase ... eine 100%tige Sicherheit existiert es eh nicht
### edit ###
was ich aber noch verbessern könnte wäre meine Workstation - also die Home Partition verschlüsseln, wo die Login Keys im .ssh liegen ....
wird dann aber vermutlich Performance Einbussen haben?
Debian: Testing
Desktop: KDE Plasma 5
Desktop: KDE Plasma 5
-
- Beiträge: 5528
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: SSH Login via Key - Empfehlung?
Hallo
Von der Verschlüsselung merkst du nichts, jedenfalls wenn du nicht eine Single-CPU mit 2Ghz oder weniger betreibst.
mfg
schwedenmann
Dann sind die keys ja für Scripte mit ssh nicht zu gebrauchen, afaik werden die ja viel genau in dieser Richtung genutzt, oder sehe ich das falsch ?Die Login Keys haben alle zusätzlich eine Passphrase
Von der Verschlüsselung merkst du nichts, jedenfalls wenn du nicht eine Single-CPU mit 2Ghz oder weniger betreibst.
mfg
schwedenmann
Re: SSH Login via Key - Empfehlung?
Warum nicht? Nachteil ist, dass dann die Passphrase wieder irgendwo in einem Script steht. Meine Lösung für solche Dinge: der User mit dem Schlüssel ohne Passphrase, der für Scripte genommen wird, kann auf der Zielmaschine nur genau das machen, was er soll.Dann sind die keys ja für Scripte mit ssh nicht zu gebrauchen, afaik werden die ja viel genau in dieser Richtung genutzt, oder sehe ich das falsch ?
Re: SSH Login via Key - Empfehlung?
nee, für Rsync habe ich einen extra key nur auf dem Host ohne Pass zum Backupserver, die Login Keys zum Host hier auf meiner Workstation haben eine Passphrase ...schwedenmann hat geschrieben:Hallo
Dann sind die keys ja für Scripte mit ssh nicht zu gebrauchen, afaik werden die ja viel genau in dieser Richtung genutzt, oder sehe ich das falsch ?Die Login Keys haben alle zusätzlich eine Passphrase
Von der Verschlüsselung merkst du nichts, jedenfalls wenn du nicht eine Single-CPU mit 2Ghz oder weniger betreibst.
mfg
schwedenmann
Mit der nachträglichen Verschlüsselung meiner /home werde ich mal auf einer V-Box testen ... da hängt ja wieder ein Rattenschwanz dran
... Backups, Restore einer verschlüsseleten Partition
Debian: Testing
Desktop: KDE Plasma 5
Desktop: KDE Plasma 5
Re: SSH Login via Key - Empfehlung?
Als Verbesserungsvorschlag würde ich dir raten auf einen ed25519 key zu setzen. Das hat ausserdem den Vorteil, dass dieser hübsch kurz ist:
Das geht ab jessie.
Warum und wieso steht hier: https://blog.g3rt.nl/upgrade-your-ssh-keys.html
Vor ~2 Monaten hat allerdings erst die dev/beta Version von putty diese keys unterstützt. Falls du also mit einem Windows Client connecten magst, hol dir die entspr. Version.
Code: Alles auswählen
ssh-keygen -o -a 100 -t ed25519
Warum und wieso steht hier: https://blog.g3rt.nl/upgrade-your-ssh-keys.html
Vor ~2 Monaten hat allerdings erst die dev/beta Version von putty diese keys unterstützt. Falls du also mit einem Windows Client connecten magst, hol dir die entspr. Version.
Re: SSH Login via Key - Empfehlung?
Danke, dir, also betrifft das alle Keys < 2048 bitsThorstenS hat geschrieben:Als Verbesserungsvorschlag würde ich dir raten auf einen ed25519 key zu setzen. Das hat ausserdem den Vorteil, dass dieser hübsch kurz ist:Das geht ab jessie.Code: Alles auswählen
ssh-keygen -o -a 100 -t ed25519
Warum und wieso steht hier: https://blog.g3rt.nl/upgrade-your-ssh-keys.html
Vor ~2 Monaten hat allerdings erst die dev/beta Version von putty diese keys unterstützt. Falls du also mit einem Windows Client connecten magst, hol dir die entspr. Version.
diese Keys wurden letzte Woche mit der aktuellen openssh in Debian 8.6 erstellt
Code: Alles auswählen
ssh-keygen -b 4096
Debian: Testing
Desktop: KDE Plasma 5
Desktop: KDE Plasma 5