Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

[giftstaub]

Hallo zusammen,

Ich habe nach der Installation von Debian Lenny 6.0.0 proftpd und openssh-server Installiert.

Nun möchte ich aber dass man sich in verbindung mit dem Private.key per putty und WinSCP Verbinden kann!

Normal meldet sich man per putty mit dem Root und dem Passwort an, das möchte ich aber unterbinden sowie mit der Fritz.box Dropbear.

Ich habe unter root einen ordner erstellt mit dem Namen .ssh (755) und dort habe ich eine Datei mit dem Namen authorized_keys (644) angelegt.

Im authorized_keys habe ich mein erstellten Schlüssel mit putty.gen eingefügt, die Verbindung mit putty und WinSCP steht mit (ssh2), jedoch möchte ich das Standard login Deaktivieren!

Login nur für root erlauben
Passwort-Login erlauben Deaktivieren

Welche Datei muss bearbeitet werden damit ein Passwort-Login Deaktiviert ist?

gruß
giffti

 

[Phantom]

AW: Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

Zum absichern würde Ich erst mal apt-get install fail2ban Installieren und hier die Fehl logins auf 2 beschränken.

Den rest solltest du hier finden

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

 

[feissmaik]

AW: Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

@Phantom: Da steht zwar wie er SSH einrichtet aber nicht wie er Telnet abschaltet!

Siehe Thread Überschrichft: Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

 

[Phantom]

AW: Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Dafür ist mein Link gedacht.

Für Telnet sollte man entweder den Port lahm legen oder wie Ich es machen würde genau so wie mit SSH diesen ändern und das so hoch wie möglich.

 

[feissmaik]

AW: Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

Siehe

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Nur den entsprechenden Eintrag in /etc/inetd.conf zu deaktiviern ist nicht ausreichend...
Um telnet wirklich ganz abzuschalten: apt-get remove --purge telnetd
Vorher aber sicherstellen das SSH fehlerfrei funktioniert sonst sperrst du dich selber aus

 

[giftstaub]

AW: Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

Ich komme einfach nicht Weiter.

Hier mal meine sshd.config

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 57570
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile /root/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no

gruß
giffti

 

[feissmaik]

AW: Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

Wieso gehst du denn nicht genau nach Anleitung vor?

Wieso setzt du RSAAuthentication no ? Davon steht in der Anleitung nichts... Eben weil du das genau dafür brauchst und standardmässig ist es auf yes...

Und übrigends: PermitRootLogin no ... besagt das du dich NICHT mehr direkt als root einloggen kannst - wenn du also keinen extra shelluser hast um von dort aus dann su - benutzen zu können, sperrst du dich ebenfals aus...
Also entweder PermitRootLogin yes belassen damit du dich weiterhin auch als root einloggen kannst, oder einen extra shelluser anlegen mit dem du dich dann anmelden kannst und danach "su - root" machst...




Wieso postet man Anleitungen wenn sich da eh nicht dran gehalten wird bzw man sich dann wundert das es nicht funzt?!?


/EDIT: Ach - und wieso setzt du AuthorizedKeysFile /root/.ssh/authorized_keys ??
Standardmässig ist das: #AuthorizedKeysFile %h/.ssh/authorized_keys
das %h hat durchaus seinen Sinn und Zweck - nämlich das es im homedir des jeweiligen benutzers angelegt wird - normale Shellbenutzer haben auf /root/ natürlich keinen zugriff!

 

[giftstaub]

AW: Debian Lenny 6.0.0 Nur SSH Verbindungen erlauben!!!!

@feissmaik,

Ich bin erst nach Anleitung von Phantom gegangen, dabei steht das so.

Zugriffsberechtigung ändern

Zugriff Linux Server nicht für Root
Anmerkung: Shell offen lassen und Zugriff testen mit neuer um nicht vollständig ausgeschlossen zu werden.
Server :~# mcedit /etc/ssh/sshd_config
Umstellen von yes auf no
PermitRootLogin no

Neustart SSH
Server :~# /etc/init.d/ssh restart

Zugriff per Schlüssel / Key ohne Passwort

Anmerkung: Alle Schritte mit dem Nutzer der sich anmelden soll durchführen.

Erstellung SSH Schlüssel / Key
Client:~# cd /home/user/.ssh/
Client :~# ssh-keygen -t rsa
Anmerkung bzgl. Passphrase: 3 x RETURN drücken, da sonst diese bei Anmeldung abgefragt wird. Ggf. können Sie natürlich zwecks Sicherheit die Passphrase nutzen.

Naja gut das man putty ja offen hat und sich nicht ausperren kann :smoke:

Ich habe die Original Datei mal hoch geschoben und das nur geändert.

AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no
UsePAM no

Ein loggin mit benutzer und passwort ist nun nicht mehr Möglich.

Das loggin per putty und WinSCP erfolgt nur noch mit dem private.key in SSH2 Verbindung :hell

gruß
giffti