Linux Frage Absichern des SSH-Zugangs

Dieses Thema im Forum "Linux" wurde erstellt von timammeer, 6 September 2016.

  1. timammeer

    timammeer Bekanntes Mitglied

    Registriert seit:
    24 Juni 2001
    Beiträge:
    1.064
    Hi,

    ich habe jetzt schon mehrere Anleitungen zum Einrichten von SSH-Zugängen und dessen Absicherungen gelesen und befolgt - bekomme es aber nicht hin.

    Problem ist wie folgt:

    Ich habe zuhause einen kleinen Server (ASRock Beebox) mit nextcloud, einem RSS-Server, usw. laufen. OS ist Ubuntu 16.04 Aus irgendeinem Grund startet nach dem Installieren eines der Desktops - lubuntu/ubuntu/xubuntu - keine Desktop-Oberfläche beim Hochfahren, keine Ahnung. Daher ist zur Zeit keiner der Desktops installiert.

    Ich möchte einen möglichst sicheren Zugang für die Fernwartung von der Arbeit aus (Windows 7).

    Habe zunächst an Teamviewer gedacht, aber der Desktop startet ja nicht mehr (siehe oben). Also SSH. Läuft mit Passwort wunderbar.

    Dann wollte ich es absichern, hab also Private Keys eingerichtet gem. https://www.digitalocean.com/commun...reate-ssh-keys-with-putty-to-connect-to-a-vps (von dem Rechner aus, von dem ich im Server per SSH eingeloggt war). Nach dem letzten Schritt, der Anpassung von
    Code:
    PasswordAuthentication no
    in sshd_config konnte ich mich nicht mehr einloggen. Habe dann irgendwas gelesen wg. unterschiedlichen Formatierungen zwischen Putty und SSH auf Linux und dann aufgegeben.

    Also ohne Private Keys. Dann habe ich TOTP mit Google Authenticator probiert gem. https://www.digitalocean.com/commun...factor-authentication-for-ssh-on-ubuntu-14-04 - dort dasselbe. Sobald ich versuche, mich erneut einzuloggen, komme ich auch da nicht rein.

    Gibt es eine bombensichere Anleitung, SSH mit Private Keys / TOTP einzurichten? Also meinem Fernwartungsrechner (Windows) aus auf dem Server (Ubuntu)?
  2. SpRuZ

    SpRuZ Beginner

    Registriert seit:
    2 April 2011
    Beiträge:
    1.335
  3. timammeer

    timammeer Bekanntes Mitglied

    Registriert seit:
    24 Juni 2001
    Beiträge:
    1.064
    Danke. Gerade noch einmal nach dieser Anleitung probiert. Versuche ich mich einzuloggen erhalte ich nur ein "Server refused our key".
    Im log steht
  4. SpRuZ

    SpRuZ Beginner

    Registriert seit:
    2 April 2011
    Beiträge:
    1.335
    Wirf den String aus dem Log google zum Fraß vor, oft findet sich da die Lösung. Beispiel
  5. timammeer

    timammeer Bekanntes Mitglied

    Registriert seit:
    24 Juni 2001
    Beiträge:
    1.064
    Hab jetzt nochmal einen RSA Key erstellt. Ging auch danach wunderbar. Hab dann sshd_config wie folgt konfiguriert:
    Code:
      # /etc/ssh/sshd_config
        ...
        PasswordAuthentication no
        ChallengeResponseAuthentication no
        UsePAM yes
        ...
    Danach ging es auch.

    Dann habe ich die IP gewechselt (VPN ein) - dann bekomme ich
  6. SpRuZ

    SpRuZ Beginner

    Registriert seit:
    2 April 2011
    Beiträge:
    1.335
    Hast Du den Key mitgesendet?

    Unbenannt.PNG
  7. timammeer

    timammeer Bekanntes Mitglied

    Registriert seit:
    24 Juni 2001
    Beiträge:
    1.064
    Hatte ich (siehe Screenshot) - aber Dein Screenshot hat mich auf etwas gebracht: Ich habe mal bei den "Authentication methods" (also Pageant und keyboard-interactive) alles abgewählt - und jetzt geht es!! Auch nach dem Umkonfigurieren der sshd_config.
    Irgendwie kam er damit wohl durcheinander(?).

    2016-09-07_091549.jpg
  8. SpRuZ

    SpRuZ Beginner

    Registriert seit:
    2 April 2011
    Beiträge:
    1.335
    Ich habe mich mit den Optionen bisher noch nie beschäftigt. Soweit ich das verstehe, kannst Du mittels Pageant eine voll automatisierte Anmeldung realisieren und "keyboard-interactive" wird für die Anmeldung mittels eines Passworts benötigt. Warum Du das bei Dir zwingend deaktivieren musst, um Zugang zum SSH-Server zu bekommen, ist mir schleierhaft. "Disconnected: No supported authentication methods available (server sent: publickey)" aus 5 besagt IMO nur, dass der Server den Public-Key erwartet, Du also die falsche Anmeldungsmethode gewählt hast. Aber ich bin auch nicht der Unix/Windows-Experte, vielleicht kann das ja einer der Fachleute hier erläutern.
  9. Swain

    Swain Aktives Mitglied

    Registriert seit:
    19 Mai 2001
    Beiträge:
    2.572
    Ich empfehle immer gerne auch die Einstellungen wie sie auf https://cipherli.st zu finden sind.

    Für den Server:
    Code:
    Protocol 2
    HostKey /etc/ssh/ssh_host_ed25519_key
    HostKey /etc/ssh/ssh_host_rsa_key
    KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
    Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
    
    und auf deinem Client:
    Code:
    HashKnownHosts yes
    Host github.com
        MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512
    Host *
      ConnectTimeout 30
      KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
      MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
      Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
      ServerAliveInterval 10
      ControlMaster auto
      ControlPersist yes
      ControlPath ~/.ssh/socket-%r@%h:%p
    
    Zusätzlich natürlich Passwort abschalten und auf Keys umstellen.