SSH Zugriff mit authorized Keys

[meister85]

Hier beschreibe ich euch, wie ihr euch per SSH ausschließlich mit Hilfe eines Private.keys anmelden könnt!

Was benötigen wir:

Putty
Puttygen

1. Wir öffnen Putty und loggen uns mit root ein.

2. Wir geben folgenden Befehl ein:

nano /etc/ssh/sshd_config

Dort müssen wir den Inhalt wie folgt modifizieren (siehe Rote Markierungen):

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
[COLOR=#ff0000]AuthorizedKeysFile    %h/.ssh/authorized_keys[/COLOR]

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
[COLOR=#ff0000]PasswordAuthentication no[/COLOR]

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
[COLOR=#ff0000]UsePAM no[/COLOR]

Abschließend die Config mit STRG + X (mit J bestätigen) abspeichern.

3. Falls nicht vorhanden, erstellen wir einen Ordner im root Verzeichnis der sich .ssh nennt:

mkdir /home/root/.ssh

4. Wir erzeugen in diesem Ordner folgende Datei:

authorized_keys

Diese erstellen wir mit folgenden Befehlen:

touch .ssh/authorized_keys

5. Nun müssen wir noch die authorized_keys modifizieren. Hierbei bedarf es den Key mit Hilfe von puttygen zu generieren.

Als erstes müssen wir folgende Einstellungen übernehmen (siehe Bild)

Du musst angemeldet sein, um Bilder zu sehen.

Nachdem wir die Einstellungen übernommen haben, klicken wir auf Generate!

6. Es wird uns nun folgender Inhalt angezeigt:

Du musst angemeldet sein, um Bilder zu sehen.

Wir kopieren nun den gesamten Inhalt (siehe rote Markierung) und fügen diesen in die Datei authorized_keys ein.

nano .ssh/authorized_keys

Den Key mit STRG + X (mit J bestätigen) abspeichern.

7. Nun müssen wir noch den private key abspeichern. Ich habe als Beispiel mein Desktop ausgewählt.

Du musst angemeldet sein, um Bilder zu sehen.

Nachdem wir diesen gespeichert haben, können wir den puttygen schließen.

INFO: Wer auf Nummer sicher gehen möchte, trägt noch ein individuelles Passwort bei Key passphrase ein. Das Schütz den Schlüssel vor Missbrauch.

8. Der private.key muss im Putty gespeichert werden. Hierzu gehen wir auf SSH-->auth (siehe Bild)

Du musst angemeldet sein, um Bilder zu sehen.

Bitte vergesst nicht das ganze in Putty abzuspeichern, sonst müsst ihr jedesmal diesen Umweg gehen

9. Der Auto-login username sollte noch auf root angepasst werden, sonst müsst ihr ihn jedesmal manuell eingeben

Du musst angemeldet sein, um Bilder zu sehen.

10. Wir starten den SSH Dienst mit folgendem Befehl neu:

/etc/init.d/ssh restart

Von nun an könnt ihr euch ausschließlich per private.key anmelden!

Den private.key dürft ihr nie löschen, da ihr sonst kein Zugriff auf dem Server habt.

 

[meister85]

SSH Zugriff mit authorized Keys auf Androidhandys mit ConnectBot

Zuerst laden wir uns aus dem Play Store das kostenlose Programm ConnectBot -->

Sie müssen registriert sein, um Links zu sehen.

Nach anschließender Installation öffnen wir die App und es erscheint folgendes Fenster:

Du musst angemeldet sein, um Bilder zu sehen.

Nun klickt ihr auf euer Handy auf "Menü" damit folgendes Fenster erscheint:

Du musst angemeldet sein, um Bilder zu sehen.

Hier wählen wir "Manage Pubkeys" bzw. "Pubkeys verwalten" aus.


Anschließend erscheint folgendes Fenster:

Du musst angemeldet sein, um Bilder zu sehen.

Hier klicken wir wieder auf "Menü" und es erscheint folgendes Fenster:

Du musst angemeldet sein, um Bilder zu sehen.

Wir klicken auf "Generate" bzw. "Erzeugen".

Nach betätigen dieser Taste kommt das Auswahlfenster:

Du musst angemeldet sein, um Bilder zu sehen.

Der "Nickname" bzw. "Spitzname" ist frei definierbar!

"Type" lassen wir auf RSA.

"Bits" kann ebenfalls bestehen bleiben. Man kann auch hier höher gehen!

Das Feld "Password" könnt ihr leer lassen.

Anschließend setzten wir einen Haken im "Load key on start" bzw. "Schlüssel beim Start" laden.

Du musst angemeldet sein, um Bilder zu sehen.

Nun klicken wir auf "Generate" bzw. "Erzeugen".

Es erscheint folgendes Fenster. Hier müsst ihr den Finger einfach drauf bewegen um einen Schlüssel zu erzeugen!

Du musst angemeldet sein, um Bilder zu sehen.

Im Anschluss steht uns der Schlüssel zur Verfügung!

Du musst angemeldet sein, um Bilder zu sehen.

Durch das lange Drücken auf den Key erscheint das Menü:

Du musst angemeldet sein, um Bilder zu sehen.

Hier müsst "Copy public key" bzw. "Öffentlichen Schlüssel kopieren" auswählen.

Wenn ihr das gemacht habt, könnt ihr komplett zurück und erstellt anschließend eine Sitzung mit eurem Server. In diesem Beispiel wird eine Sitzung mit den Daten ssh mikechelen@192.168.0.17 erstellt!

Ihr logt euch in dem Fall mit dem Passwort ein.

Du musst angemeldet sein, um Bilder zu sehen.

Den zuvor kopierten Schlüssel müssen wir nun in die Datei "authorized_keys" kopieren indem wir folgenden Befehl eingeben:

echo "PASTEKEYHERE" >> .ssh/authorized_keys

Beispiel:

echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDQFSzet/Qu8SLklDQyNbX5k16MwOBVKuaY9bNJhb99BkIRIVbNpr61eHUG3gP6haNC6qreTbpHscq4AQV21gLvCgVmHsTci0QAK44weFyDzVwIBFH9uUN+f/k2NTY9zV8FaBqK9CW8hS2f50EB38mGYvE7/0/S1u7/jtxnKqwAgw== htc_aria" >> .ssh/authorized_keys

Alternativ könnt ihr auch folgendermaßen vorgehen:

mkdir .shh

cd .ssh

nano authorized_keys

Hier fügen wir den Schlüssel ein in dem wir auf "Menü" klicken und anschließend auf "Einfügen"!

Den Schlüssel speichern wir mit Strg + X und bestätigen mit J.

Anschließend steht euch nichts mehr im wege und ihr könnt euch mit eurem Handy per authorized_keys auf eurem Server verbinden!



Quelle:

Sie müssen registriert sein, um Links zu sehen.