PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Key-basierte SSH Login



fubar
10.12.08, 13:05
Hallo Zusammen,

ich spiele derzeit etwas mit SSH bzw. Securityaspekte im allgemeinen herum. Bei SSH ist der key-basierte login sozusagen das Mittel der Wahl.

Nun, ich habe serverseitig einen authorized_key eingerichtet und diesen clientseitig an die Putty-Session gehaengt.

Da das ganze tadellos funktioniert, moechte ich die Authentifizierung via Passwort/Key-Board ausschalten.

In der Doku meiner Wahl http://www.debian.org/doc/manuals/reference/ch-tune.de.html#s-ssh-basics,
ist festgehalten das ich die Option haben sollte mit "PreferredAuthentications", die von mir angepeilten Methoden, aktivieren/deaktivieren zu koennen.
Den Schalter finde ich in meiner sshd_config leider nicht.

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no


# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

X11Forwarding no


Klar, hinschreiben ist ne Moeglichkeit, aber woraus resultieren diese Unterschiede. OS ist Debian Sarge...



folgende Zeile verstehe ich auch noch nicht ganz:

#AuthorizedKeysFile %h/.ssh/authorized_keys


Was passiert da genau. Ich habe authorized_keys einfach manuell angelegt. %h sagt mir leider nichts... Ist das der User? Bekommt nach aktivieren dieser Zeile jeder User ".ssh/authorized_keys" ins "/home" gelegt?

regards

drcux
10.12.08, 13:09
folgende Zeile verstehe ich auch noch nicht ganz:

#AuthorizedKeysFile %h/.ssh/authorized_keys


Was passiert da genau. Ich habe authorized_keys einfach manuell angelegt. %h sagt mir leider nichts... Ist das der User? Bekommt nach aktivieren dieser Zeile jeder User ".ssh/authorized_keys" ins "/home" gelegt?


Nein, damit kannst du bestimmen, wo der Key abgelegt werden soll. %h == Homeverzeichnis des Users, der sich einloggt. Du könntest zB. auch alles Keys in /etc/sshkeys/%u_auth_key legen (%u == User).

fubar
10.12.08, 14:16
Nein, damit kannst du bestimmen, wo der Key abgelegt werden soll. %h == Homeverzeichnis des Users, der sich einloggt. Du könntest zB. auch alles Keys in /etc/sshkeys/%u_auth_key legen (%u == User).

Ich hab das ganz nun aber manuell gemacht.
D.h. aber wenn ich demnaechst ein key-pair anfertigen moechte, sollte ich den Speicherort mittels der sshd_config festlegen. Die keys mittels keygen erzeugen, diese werden dann bsp. direkt in das /home des users abgelegt?

regards

drcux
10.12.08, 14:59
Ich hab das ganz nun aber manuell gemacht.
D.h. aber wenn ich demnaechst ein key-pair anfertigen moechte, sollte ich den Speicherort mittels der sshd_config festlegen. Die keys mittels keygen erzeugen, diese werden dann bsp. direkt in das /home des users abgelegt?


Nein, du brauchst garnichts machen, der Eintrag "#AuthorizedKeysFile %h/.ssh/authorized_keys" ist die Defaulteinstellung...

fubar
10.12.08, 15:34
Nein, du brauchst garnichts machen, der Eintrag "#AuthorizedKeysFile %h/.ssh/authorized_keys" ist die Defaulteinstellung...
"dummfrag" aber es ist doch auskommentiert?

Dann hatte ich ja noch in #1 gefragt

In der Doku meiner Wahl http://www.debian.org/doc/manuals/re...l#s-ssh-basics,
ist festgehalten das ich die Option haben sollte mit "PreferredAuthentications", die von mir angepeilten Methoden, aktivieren/deaktivieren zu koennen.
Den Schalter finde ich in meiner sshd_config leider nicht.
funktioniert das nach dem Motto "es fuehren viele Wege nach Rom"?


regards

craano
10.12.08, 15:48
"dummfrag" aber es ist doch auskommentiert?

Dann hatte ich ja noch in #1 gefragt

funktioniert das nach dem Motto "es fuehren viele Wege nach Rom"?


regards
Ja, einfach in Deine Konfiguration einfügen.



Nein, du brauchst garnichts machen, der Eintrag "#AuthorizedKeysFile %h/.ssh/authorized_keys" ist die Defaulteinstellung...
"dummfrag" aber es ist doch auskommentiert?
Wenn Du die Default Einstellungen ändern willst, dann entferne das Kommentarzeichen und ändere die Zeile.

Grüße.
craano.

fubar
10.12.08, 16:09
Ja, einfach in Deine Konfiguration einfügen.


Wenn Du die Default Einstellungen ändern willst, dann entferne das Kommentarzeichen und ändere die Zeile.

Grüße.
craano.

Ok, d.h. aber nur wenn ich den Schalter auf bspw. /etc/ssh_keys lege, dass der Server an dieser Stelle sucht?

regards

craano
10.12.08, 16:15
Ok, d.h. aber nur wenn ich den Schalter auf bspw. /etc/ssh_keys lege, dass der Server an dieser Stelle sucht?

regards

Ja, der Server sucht die Keys an der Stelle, an der Du Ihm sagst, dass er suchen soll. Wenn du schweigst, dann greift die Default - Einstellung.

fubar
10.12.08, 16:18
Jetzt ham' wirs' geschafft...

Bin nicht immer so begriffsstutzig ;-) aber einige der vorhergehenden Formulierungen haben mich verwirrt, THX!

ThE_FiSh
31.03.09, 23:01
ich grab das nochmal aus

folgendes problem
ich hab meinen server auch auf key autho eingestellt
das komische ist, es funktioniert, wenn ich den key habe auch einwandfrei

connecte ich von nem client der den key nicht hat fragt er nur nach nem pw und wenn das richtig ist dann kann ich mich auch einloggen

entweder ich kann mich nicht erinnern oder früher musste man da das nicht extra verbieten....
RSA auth hab ich auf no gesetzt

fubar
01.04.09, 09:36
Hi,

bei einer frischen Installation eines Debian Etch, OpenSSH_4.3p2 Debian-9etch3, steht folgendes in der Config:

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

das dann beides geht ist klar ^^


regards + april april
fubar