• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] SSH Key Frage

C

Crazymodder

Hallo alle zusammen
Ich habe eine kleine Frage. Ich habe den Zugriff auf ssh mit einem Piblic Key eingerichtet. Dies funktioniert auch alles tadellos zudem habe Ich nur noch einen Benutzer in der AllowUsers drinne stehen. Und einige weiter Sicherheitseinstellugen.
Nun meine Frage ist es richtig das ein Zugriff mit richtigen Usernamen und Passwort immernoch funktioniert?
Sollte das so bleiben oder geändert werden?

Vielen Dank im Vorraus
Crazymodder
 
framp

framp

Moderator
Teammitglied
Crazymodder schrieb:
Nun meine Frage ist es richtig das ein Zugriff mit richtigen Usernamen und Passwort immernoch funktioniert?
Sollte das so bleiben oder geändert werden?
Zum Vergrößern anklicken....

Hier steht im WiKi was man machen muss um auch den UID/PW Zugriff zu verbieten (Letzter Step).

Ob Du das willst oder nicht mußt Du entscheiden. Fact ist, wenn es nur noch mit key geht kann keiner mehr aus dem Internet ohne den Key auf den Server. D.h. Du bist 100% sicher, dass keiner Dein UID/PW durch brute force oder sonstwie zu knacken kann. Nachteil ist, dass nach Verlust des Keys keiner mehr auf den Server kommt bzw wenn der Key in fremde Hände gelangt jeder (sofern keine key passphrase definiert wurde) ohne Probleme auf das System kommt.
 
/dev/null

/dev/null

Moderator
Teammitglied
Hi Crazymodder,

sehr vernünftig, dass du ssh, und auch noch mit publik-keys nutzt ... .
Du musst jetzt einfach überlegen, ob es denn wirklich irgendwann erforderlich und zwingend notwendig ist, dich von unterwegs per Benutzername und Passwort auf deinem Rechner anzumelden. Selbst dann hast du einen Memorystick mit Putty/WinSCP und dem Key (meinetwegen in einem Truecryptcontainer) einstecken. (Und ein Backup der Schlüsseldatei hast du ja auch ...)
Also meine Empfehlung: Deaktiviere diese Art der Authentisierung. Du hebelst sonst die doch wesentlich höhere Sicherheit mit der publik-key-Authentisierung mir der über BN/PW einfach aus.

Das Einschränken der Benutzer ist eine weitere (kleine!) Erhöhung der Sicherheit. Aber "gemacht" wird die Sicherheit durch einen genügend langen Schlüssel.

Gleiches trifft zu für solche Tricks wie die Anwendung eines unüblichen Ports ("Verstecken spielen") oder das wirklich tolle Programm "fail2ban". Beides hält dir wunderbar die Logfiles sauber. Und du kannst sich sogar daran erfreuen, wie oft am Tag es ein Spielmatz bei dir versucht.
Aber "gemacht" wird die Sicherheit ...

MfG Peter
edit: etwas zu langsam, aber grundsätzlich haben wir wohl eine Meinung :)
 
framp

framp

Moderator
Teammitglied
@/dev/null Jup.

Aber guter Hinweis: Hier habe ich weitere Tips zusammengetragen wie man ssh Server sicherer machen kann (nicht Standard Port für ssh benutzen, portknocking, iptables, VPN ... etc).

Je nachdem wie sicher man sein will :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben