SSH Zugang unter Debian absichern
SSH Zugang unter Debian absichern - Ausgangslage: frisch installiertes Debian
kurze Zusammenfassung vorher, was wir alles brauchen oder was gemacht werden muss:
- ssh Zugang zum Zielserver (bei mir nen Debian)
- dort fix alle Updates machen
- einen normalen Benutzer anlegen, keinen root!
- im home Verzeichnis des erstellten Benutzers den Ordner .ssh und die Datei authorized_keys erstellen
- die sshd_config anpassen, sodass Passwort-Login nicht mehr möglich ist und dabei den ssh-Port ändern
- ne zusätzliche shell vorher aufmachen
- den Kram testen, verschiede Test-Cases
- ssh Deamon neu starten
1. ich erzeuge mir unter MAC OS X mit ssh-keygen -t dsa einen ssh key, oder man nimmt einen vorhandenen
2. auf dem Debian als letztes mal per root connecten
3. schnell mal apt-get upgrade , apt-get update oder zur Not auch mal ein apt-get update --fix-missing
4. als root wollen wir uns nicht mehr einloggen, daher erstellen wir uns einen eigenen user dafür. root kann man später immer noch werden
- adduser binkeinroot
5. ich brauch erstmal nano, also apt-get install nano
6. den Ordner .ssh im home Verzeichnis von binkeinroot erstellen und dort drin mit touch authorized_keys die Datei authorized_keys erstellen
7. mit cat ~/.ssh/id_dsa.pub | ssh binkeinroot@ipadresse "cat >> .ssh/authorized_keys2" den key auf den Server schieben
8. da ich mit binkeinroot@ipadresse connecte und cat >>direkt in den Zielordner schreiben will muss im Benutzerordner von binkeinroot der Ordner .ssh mit der Datei authorized_keys bestehen!
9. nun mit nano /etc/ssh/sshd_config die config bearbeiten ->
- PermitRootLogin no
- AuthorizedKeysFile %h/.ssh/authorized_keys
- PasswordAuthentication no
10. an der zweiten shell schonmal testweise connects ausführen ssh binkeinroot@ipadresse -p11111 -v, wobei -p den geänderten Port berücksichtigen soll und -v ein auf Plappermaul macht
11. mit der immer noch offenen und connecteten anderen shell restarten wir sshd /etc/init.d/ssh restart