Linux Frage Absichern des SSH-Zugangs

Dieses Thema im Forum "Linux" wurde erstellt von timammeer, 6 September 2016.

  1. timammeer

    timammeer Aktives Mitglied

    Registriert seit:
    24 Juni 2001
    Beiträge:
    1.047
    Hi,

    ich habe jetzt schon mehrere Anleitungen zum Einrichten von SSH-Zugängen und dessen Absicherungen gelesen und befolgt - bekomme es aber nicht hin.

    Problem ist wie folgt:

    Ich habe zuhause einen kleinen Server (ASRock Beebox) mit nextcloud, einem RSS-Server, usw. laufen. OS ist Ubuntu 16.04 Aus irgendeinem Grund startet nach dem Installieren eines der Desktops - lubuntu/ubuntu/xubuntu - keine Desktop-Oberfläche beim Hochfahren, keine Ahnung. Daher ist zur Zeit keiner der Desktops installiert.

    Ich möchte einen möglichst sicheren Zugang für die Fernwartung von der Arbeit aus (Windows 7).

    Habe zunächst an Teamviewer gedacht, aber der Desktop startet ja nicht mehr (siehe oben). Also SSH. Läuft mit Passwort wunderbar.

    Dann wollte ich es absichern, hab also Private Keys eingerichtet gem. https://www.digitalocean.com/commun...reate-ssh-keys-with-putty-to-connect-to-a-vps (von dem Rechner aus, von dem ich im Server per SSH eingeloggt war). Nach dem letzten Schritt, der Anpassung von
    Code:
    PasswordAuthentication no
    in sshd_config konnte ich mich nicht mehr einloggen. Habe dann irgendwas gelesen wg. unterschiedlichen Formatierungen zwischen Putty und SSH auf Linux und dann aufgegeben.

    Also ohne Private Keys. Dann habe ich TOTP mit Google Authenticator probiert gem. https://www.digitalocean.com/commun...factor-authentication-for-ssh-on-ubuntu-14-04 - dort dasselbe. Sobald ich versuche, mich erneut einzuloggen, komme ich auch da nicht rein.

    Gibt es eine bombensichere Anleitung, SSH mit Private Keys / TOTP einzurichten? Also meinem Fernwartungsrechner (Windows) aus auf dem Server (Ubuntu)?
    timammeer, 6 September 2016
    #1
  2. SpRuZ

    SpRuZ Beginner

    Registriert seit:
    2 April 2011
    Beiträge:
    1.335
    Zuletzt bearbeitet: 6 September 2016
    SpRuZ, 6 September 2016
    #2
  3. timammeer

    timammeer Aktives Mitglied

    Registriert seit:
    24 Juni 2001
    Beiträge:
    1.047
    Danke. Gerade noch einmal nach dieser Anleitung probiert. Versuche ich mich einzuloggen erhalte ich nur ein "Server refused our key".
    Im log steht
    timammeer, 6 September 2016
    #3
  4. SpRuZ

    SpRuZ Beginner

    Registriert seit:
    2 April 2011
    Beiträge:
    1.335
    Wirf den String aus dem Log google zum Fraß vor, oft findet sich da die Lösung. Beispiel
    SpRuZ, 6 September 2016
    #4
  5. timammeer

    timammeer Aktives Mitglied

    Registriert seit:
    24 Juni 2001
    Beiträge:
    1.047
    Hab jetzt nochmal einen RSA Key erstellt. Ging auch danach wunderbar. Hab dann sshd_config wie folgt konfiguriert:
    Code:
      # /etc/ssh/sshd_config
    ...
    PasswordAuthentication no
    ChallengeResponseAuthentication no
    UsePAM yes
    ...
    Danach ging es auch.

    Dann habe ich die IP gewechselt (VPN ein) - dann bekomme ich
    timammeer, 6 September 2016
    #5
  6. SpRuZ

    SpRuZ Beginner

    Registriert seit:
    2 April 2011
    Beiträge:
    1.335
    Hast Du den Key mitgesendet?

    Unbenannt.PNG
    SpRuZ, 6 September 2016
    #6
  7. timammeer

    timammeer Aktives Mitglied

    Registriert seit:
    24 Juni 2001
    Beiträge:
    1.047
    Hatte ich (siehe Screenshot) - aber Dein Screenshot hat mich auf etwas gebracht: Ich habe mal bei den "Authentication methods" (also Pageant und keyboard-interactive) alles abgewählt - und jetzt geht es!! Auch nach dem Umkonfigurieren der sshd_config.
    Irgendwie kam er damit wohl durcheinander(?).

    2016-09-07_091549.jpg
    timammeer, 7 September 2016
    #7
  8. SpRuZ

    SpRuZ Beginner

    Registriert seit:
    2 April 2011
    Beiträge:
    1.335
    Ich habe mich mit den Optionen bisher noch nie beschäftigt. Soweit ich das verstehe, kannst Du mittels Pageant eine voll automatisierte Anmeldung realisieren und "keyboard-interactive" wird für die Anmeldung mittels eines Passworts benötigt. Warum Du das bei Dir zwingend deaktivieren musst, um Zugang zum SSH-Server zu bekommen, ist mir schleierhaft. "Disconnected: No supported authentication methods available (server sent: publickey)" aus 5 besagt IMO nur, dass der Server den Public-Key erwartet, Du also die falsche Anmeldungsmethode gewählt hast. Aber ich bin auch nicht der Unix/Windows-Experte, vielleicht kann das ja einer der Fachleute hier erläutern.
    SpRuZ, 8 September 2016
    #8
  9. Swain

    Swain Aktives Mitglied

    Registriert seit:
    19 Mai 2001
    Beiträge:
    2.572
    Ich empfehle immer gerne auch die Einstellungen wie sie auf https://cipherli.st zu finden sind.

    Für den Server:
    Code:
    Protocol 2
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
    und auf deinem Client:
    Code:
    HashKnownHosts yes
Host github.com
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512
Host *
  ConnectTimeout 30
  KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
  MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
  Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
  ServerAliveInterval 10
  ControlMaster auto
  ControlPersist yes
  ControlPath ~/.ssh/socket-%r@%h:%p
    Zusätzlich natürlich Passwort abschalten und auf Keys umstellen.
    Swain, 7 Dezember 2017
    #9