Linux Frage Absichern des SSH-Zugangs

timammeer

Bekanntes Mitglied
Hi,

ich habe jetzt schon mehrere Anleitungen zum Einrichten von SSH-Zugängen und dessen Absicherungen gelesen und befolgt - bekomme es aber nicht hin.

Problem ist wie folgt:

Ich habe zuhause einen kleinen Server (ASRock Beebox) mit nextcloud, einem RSS-Server, usw. laufen. OS ist Ubuntu 16.04 Aus irgendeinem Grund startet nach dem Installieren eines der Desktops - lubuntu/ubuntu/xubuntu - keine Desktop-Oberfläche beim Hochfahren, keine Ahnung. Daher ist zur Zeit keiner der Desktops installiert.

Ich möchte einen möglichst sicheren Zugang für die Fernwartung von der Arbeit aus (Windows 7).

Habe zunächst an Teamviewer gedacht, aber der Desktop startet ja nicht mehr (siehe oben). Also SSH. Läuft mit Passwort wunderbar.

Dann wollte ich es absichern, hab also Private Keys eingerichtet gem. https://www.digitalocean.com/commun...reate-ssh-keys-with-putty-to-connect-to-a-vps (von dem Rechner aus, von dem ich im Server per SSH eingeloggt war). Nach dem letzten Schritt, der Anpassung von
Code:
PasswordAuthentication no
in sshd_config konnte ich mich nicht mehr einloggen. Habe dann irgendwas gelesen wg. unterschiedlichen Formatierungen zwischen Putty und SSH auf Linux und dann aufgegeben.

Also ohne Private Keys. Dann habe ich TOTP mit Google Authenticator probiert gem. https://www.digitalocean.com/commun...factor-authentication-for-ssh-on-ubuntu-14-04 - dort dasselbe. Sobald ich versuche, mich erneut einzuloggen, komme ich auch da nicht rein.

Gibt es eine bombensichere Anleitung, SSH mit Private Keys / TOTP einzurichten? Also meinem Fernwartungsrechner (Windows) aus auf dem Server (Ubuntu)?
 

timammeer

Bekanntes Mitglied
Hab jetzt nochmal einen RSA Key erstellt. Ging auch danach wunderbar. Hab dann sshd_config wie folgt konfiguriert:
Code:
  # /etc/ssh/sshd_config
    ...
    PasswordAuthentication no
    ChallengeResponseAuthentication no
    UsePAM yes
    ...
Danach ging es auch.

Dann habe ich die IP gewechselt (VPN ein) - dann bekomme ich
Disconnected: No supported authentication methods available (server sent: publickey)
 

timammeer

Bekanntes Mitglied
Hatte ich (siehe Screenshot) - aber Dein Screenshot hat mich auf etwas gebracht: Ich habe mal bei den "Authentication methods" (also Pageant und keyboard-interactive) alles abgewählt - und jetzt geht es!! Auch nach dem Umkonfigurieren der sshd_config.
Irgendwie kam er damit wohl durcheinander(?).

2016-09-07_091549.jpg
 

SpRuZ

Beginner
[...] Ich habe mal bei den "Authentication methods" (also Pageant und keyboard-interactive) alles abgewählt - und jetzt geht es!! [...]
Ich habe mich mit den Optionen bisher noch nie beschäftigt. Soweit ich das verstehe, kannst Du mittels Pageant eine voll automatisierte Anmeldung realisieren und "keyboard-interactive" wird für die Anmeldung mittels eines Passworts benötigt. Warum Du das bei Dir zwingend deaktivieren musst, um Zugang zum SSH-Server zu bekommen, ist mir schleierhaft. "Disconnected: No supported authentication methods available (server sent: publickey)" aus 5 besagt IMO nur, dass der Server den Public-Key erwartet, Du also die falsche Anmeldungsmethode gewählt hast. Aber ich bin auch nicht der Unix/Windows-Experte, vielleicht kann das ja einer der Fachleute hier erläutern.
 

Swain

Bekanntes Mitglied
Ich empfehle immer gerne auch die Einstellungen wie sie auf https://cipherli.st zu finden sind.

Für den Server:
Code:
Protocol 2
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
und auf deinem Client:
Code:
HashKnownHosts yes
Host github.com
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512
Host *
  ConnectTimeout 30
  KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
  MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
  Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
  ServerAliveInterval 10
  ControlMaster auto
  ControlPersist yes
  ControlPath ~/.ssh/socket-%r@%h:%p
Zusätzlich natürlich Passwort abschalten und auf Keys umstellen.
 
Oben Unten