Linux Frage Absichern des SSH-Zugangs

[timammeer]

Hi,

ich habe jetzt schon mehrere Anleitungen zum Einrichten von SSH-Zugängen und dessen Absicherungen gelesen und befolgt - bekomme es aber nicht hin.

Problem ist wie folgt:

Ich habe zuhause einen kleinen Server (ASRock Beebox) mit nextcloud, einem RSS-Server, usw. laufen. OS ist Ubuntu 16.04 Aus irgendeinem Grund startet nach dem Installieren eines der Desktops - lubuntu/ubuntu/xubuntu - keine Desktop-Oberfläche beim Hochfahren, keine Ahnung. Daher ist zur Zeit keiner der Desktops installiert.

Ich möchte einen möglichst sicheren Zugang für die Fernwartung von der Arbeit aus (Windows 7).

Habe zunächst an Teamviewer gedacht, aber der Desktop startet ja nicht mehr (siehe oben). Also SSH. Läuft mit Passwort wunderbar.

Dann wollte ich es absichern, hab also Private Keys eingerichtet gem. https://www.digitalocean.com/commun...reate-ssh-keys-with-putty-to-connect-to-a-vps (von dem Rechner aus, von dem ich im Server per SSH eingeloggt war). Nach dem letzten Schritt, der Anpassung von

PasswordAuthentication no

in sshd_config konnte ich mich nicht mehr einloggen. Habe dann irgendwas gelesen wg. unterschiedlichen Formatierungen zwischen Putty und SSH auf Linux und dann aufgegeben.

Also ohne Private Keys. Dann habe ich TOTP mit Google Authenticator probiert gem. https://www.digitalocean.com/commun...factor-authentication-for-ssh-on-ubuntu-14-04 - dort dasselbe. Sobald ich versuche, mich erneut einzuloggen, komme ich auch da nicht rein.

Gibt es eine bombensichere Anleitung, SSH mit Private Keys / TOTP einzurichten? Also meinem Fernwartungsrechner (Windows) aus auf dem Server (Ubuntu)?

 

[SpRuZ]

www.digitalocean.com [...]
[...]
UsePAM no
[...]

PAM auszuschalten wäre auch möglicht, ist aber nicht nützlich, weil dann z.B. Session-Management über PAM nicht mehr funktioniert, einige Umgebungsvariablen nicht gesetzt werden usw. usf.

Einfache Anleitung

 

[timammeer]

Danke. Gerade noch einmal nach dieser Anleitung probiert. Versuche ich mich einzuloggen erhalte ich nur ein "Server refused our key".
Im log steht

key type ssh-dss not in PubkeyAcceptedKeyTypes

 

[SpRuZ]

Wirf den String aus dem Log google zum Fraß vor, oft findet sich da die Lösung. Beispiel

 

[timammeer]

Hab jetzt nochmal einen RSA Key erstellt. Ging auch danach wunderbar. Hab dann sshd_config wie folgt konfiguriert:

  # /etc/ssh/sshd_config
    ...
    PasswordAuthentication no
    ChallengeResponseAuthentication no
    UsePAM yes
    ...

Danach ging es auch.

Dann habe ich die IP gewechselt (VPN ein) - dann bekomme ich

Disconnected: No supported authentication methods available (server sent: publickey)

 

[SpRuZ]

Hast Du den Key mitgesendet?

 

[timammeer]

Hatte ich (siehe Screenshot) - aber Dein Screenshot hat mich auf etwas gebracht: Ich habe mal bei den "Authentication methods" (also Pageant und keyboard-interactive) alles abgewählt - und jetzt geht es!! Auch nach dem Umkonfigurieren der sshd_config.
Irgendwie kam er damit wohl durcheinander(?).

 

[SpRuZ]

[...] Ich habe mal bei den "Authentication methods" (also Pageant und keyboard-interactive) alles abgewählt - und jetzt geht es!! [...]

Ich habe mich mit den Optionen bisher noch nie beschäftigt. Soweit ich das verstehe, kannst Du mittels Pageant eine voll automatisierte Anmeldung realisieren und "keyboard-interactive" wird für die Anmeldung mittels eines Passworts benötigt. Warum Du das bei Dir zwingend deaktivieren musst, um Zugang zum SSH-Server zu bekommen, ist mir schleierhaft. "Disconnected: No supported authentication methods available (server sent: publickey)" aus 5 besagt IMO nur, dass der Server den Public-Key erwartet, Du also die falsche Anmeldungsmethode gewählt hast. Aber ich bin auch nicht der Unix/Windows-Experte, vielleicht kann das ja einer der Fachleute hier erläutern.

 

[Swain]

Ich empfehle immer gerne auch die Einstellungen wie sie auf https://cipherli.st zu finden sind.

Für den Server:

Protocol 2
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

und auf deinem Client:

HashKnownHosts yes
Host github.com
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512
Host *
  ConnectTimeout 30
  KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
  MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
  Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
  ServerAliveInterval 10
  ControlMaster auto
  ControlPersist yes
  ControlPath ~/.ssh/socket-%r@%h:%p

Zusätzlich natürlich Passwort abschalten und auf Keys umstellen.