PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH Key Passphrase



the_real_boiler
27.11.08, 21:40
Hallo,

ich verwende SSH Logins per Key mit Passphrase. Mir ist nun aufgefallen das man die Passphrase beliebig oft eingeben kann. Gibt es ein Parameter um zB nach dem dritten Versuch die Verbindung wieder zu schliessen?

Die erfolglosen Loginversuche per Key verursachen auch keine Meldung in /var/log/messages. Dadurch kann ich mittels denyhosts auch nicht die IPs sperren, einzig die falschen Usernames erscheinen im Logfile. Im Ernstfall würde das bedeuten das man sich unbemerkt mit dem root Account beschäftigen kann, auch wenn es fast unmöglich ist den richtigen Key zu finden. Der SSH Daemon läuft bereits schon auf Verbose-Loglevel. Gibt es eine weitere Möglichkeit das Problem zu lösen?

Danke im vorraus!
Gruß

zyrusthc
28.11.08, 00:06
fail2ban oder iptables kann sowas.
Bemühe mal die Sufu, das Thema gab es schon oft.


Greeez Oli

Windoofsklicker
28.11.08, 10:28
Ich würde den root-login per SSH abschalten (PermitRootLogin). Lege einen normalen User an und erlaube nur dem User den Login (AllowUsers). Dann kannst du noch die Zeit zur Authentifizierung herunter setzen (GraceTime).

Rain_maker
28.11.08, 11:03
ich verwende SSH Logins per Key mit Passphrase. Mir ist nun aufgefallen das man die Passphrase beliebig oft eingeben kann. Gibt es ein Parameter um zB nach dem dritten Versuch die Verbindung wieder zu schliessen?

Interessant, denn ich kann mich zumindest nicht erinnern, da irgendetwas extra eingestellt zu haben, aber:



ssh *erlaubter_Username*@*Remote_Kiste*
Enter passphrase for key '/home/*erlaubter_Username*/.ssh/id_rsa':
Enter passphrase for key '/home/*erlaubter_Username*/.ssh/id_rsa':
Enter passphrase for key '/home/*erlaubter_Username*/.ssh/id_rsa':
Permission denied (publickey).

genau diese drei Versuche ist bei einem erlaubten User der default (openSUSE 11.0 und auch bei Archlinux).

Ach ja, durch die richtigen Policies (nur bestimmte User explizit erlauben, siehe mein Vorposter und auch man sshd_config) sieht das dann bei einem nicht erlaubten User so aus:



ssh root@*Remote_Kiste*
Permission denied (publickey).

MiGo
28.11.08, 13:42
ich verwende SSH Logins per Key mit Passphrase. Mir ist nun aufgefallen das man die Passphrase beliebig oft eingeben kann. Gibt es ein Parameter um zB nach dem dritten Versuch die Verbindung wieder zu schliessen?
Das hast du falsch verstanden - die Passphrase kommt _nur_ lokal an deinem Rechenr, die entschlüsselt deinen private key auf deiner Platte. Jeder andere bekommt einfach ein "Permission denied", da er überhaupt keinen passenden private key hat.