Hallo Linux - Freunde,

wir möchten gerne einen hochsicherheits-SSH-Server aufbauen und dazu soll beim Login sowohl die Default-mäßige Password-Abfrage erfolgen und gleichzeitig auch das PublicKey-Authentifizierungsverfahren angewandt werden.
Wie können wir dabei am besten vorgehen ?
Wenn der Client sich zum ersten Mal einloggen will (vor der PW-Abfrage) kommt ja die Meldung, dass der key-fingerprint angenommen werden soll.
Ist dies evtl. schon das Public-Key-Verfahren ?
Bitte um Entschuldigung falls dies ne blöde Frage ist - aber ssh ist für mich noch Neuland.
Danke für Eure Tipps.

Gruss
prolin

Hallo - jetzt bin´s nochmal ich,

ich habe es mit dieser Zeile probiert:

RequiredAuthentications publickey,password

Aber sshd hat beim Restart gemeckert.
Was läuft falsch ?

Gruss
prolin

Hallo prolin,

es gibt ja an sich keine bloeden Fragen, so sollten wir es auch hier halten. Aber bevor du einen "Hochsicherheits-SSH-Server" aufsetzt, scheint noch ein wenig Theorie gefragt.

Der key-fingerprint vor dem erstmaligen Einloggen kommt vom Server und es wird, so man weitermacht, der public-key vom Server in die Datei ~/.ssh/known_hosts auf dem Client aufgenommen.

Somit ist das noch keine public-key-Authentifizierung, man muss ja dann auch noch das Linux/Unix-Password wissen.

Fuer die public-key-Authentifizierung muss auf dem Client eine Schluesselpaar mit gnupg erzeugt werden, und der public-key davon muss auf dem Server an die Datei ~/.ssh/authorized_keys2 angehaengt werden.

Der Schluessel kann mit oder ohne passphrase generiert werden, davon haengt dann auch ab, ob beim Verbinden mit dem Server ueberhaupt ein Password abgefragt wird, wohlgemerkt aber hier nicht das Linux-Password, sondern die passphrase des Schluesselpaares.

Wo hast du eigentlich diesen (->RequiredAuthentications publickey,password) Parameter her?
Hab ich nirgends gefunden.

Soweit ich aus dem Stand weis, kann man beide Authentifizierungsmethoden zulassen. Existiert auf dem Server dann ein public-key wird darueber angemeldet, sonst uebers Password.

Gruss
Guti

Hallo Guti,

geht auch beides ?
D.h. zuerst Public-Key-Verfahren mit Passphrase und danach noch zusätzlich das Linux-Passwort ?
Danke.

Gruss
Thorsten

P.S.:
Den Tipp mit RequiredAuthentications habe ich aufgegabelt unter http://ftp.ucr.ac.cr/solrhe/chap16sec130.html

Original geschrieben von prolin
zuerst Public-Key-Verfahren mit Passphrase und danach noch zusätzlich das Linux-Passwort ?Vielleicht solltest Du uns ueber die Hintergruende fuer Deine Fragen aufklaeren;-)

Wie Guti bereits schrieb, kann man die ssh-Keys auch mit einer Passphrase generieren lassen, welches sich von normalen Login-Passwort unterscheidet. Diese Passphrase wird dann beim erstmaligen verwenden abgefragt (suche mal nach "keychain", das vereinfacht das Handling ungemein).

Wenn Du Dich nun zuerst auf einen "ungeschuetzen" Rechner einloggst und von dort via ssh auf den "geschuetzen" zugreifen willst, musst Du zuerst mal das normale Login-PW wissen. Dann aktivierst Du Deinen privaten Schluessel auf diesem Rechner (via keychain) und machst ein ssh auf den "geschuetzten". Auf diesem ist nur ssh mit keys zugelassen. So hast Du Deine gewuenschte zweifache Sicherheit.

Gruss Pit.