SSH Keyfiles einrichten

Im Moment übe ich mich im härten vonSSH. Alle Tipps und Tricks wird man wohl kaum von heute auf morgen lernen. Ein System zu härten und sicher zu machen ist ein langwieriger Prozess. Man wird immer wieder Neues entdecken und umsetzen. Dies ist ein Minihowto wie man SSH mit Keyfiles einrichten kann.

Schlüssel erzeugen

puttygen.exe von http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html herunterladen.

Ist das Programm gestartet klickt man auf „Generate“ und bewegt ordentlich den Mauszeiger im grauen Feld.

Danach gibt man  bei „Key passphrase“ und „Confirm passphrase“ ein langes Kennwort ein. Wird kein Passwort eingegeben kann sich jeder mit dem Privatekey ohne irgend ein Passwort mit dem Server verbinden.

Dann klickt man auf „Save private key“ und speichert den PrivateKey. Dieses File muss gut vor unbefugten Leuten geschützt werden, besonders wenn kein Kennwort verwendet wird!

Schlüssel platzieren

Auf dem Server gibt man folgende Befehle ein:

mkdir ~/.ssh
touch ~/.ssh/authorized_keys
chmod -R 700 ~/.ssh

Nun fügt man den Public Key in die Datei ~/.ssh/authorized_keys ein.

Nun sieht die Datei etwa so aus:

Silvan@sshserver:~$ cat .ssh/authorized_keys
ssh-rsa eRIN9F41TEvd [...] 5e9ydiPlpCjiK7y3==

Das ssh-rsa ist wichtig, weil der Server sonst bei einem Anmeldeversuch

Server refused our key

zurückgibt.

Authentifizierung konfigurieren

Damit die Authentifizierung mit Keyilfes funktioniert und mit Passwort nicht mehr funktioniert muss die Datei /etc/ssh/sshd_config angepasst werden

PubkeyAuthentication yes
PasswordAuthentication no

Jetzt funktioniert das Anmelden am Server mit dem Privatekey.

Weitere HowTos

Das Ganze unter Linux: http://wiki.ubuntuusers.de/SSH#Authentifizierung-ueber-Public-Keys

Das HowTo mit Bilder zu puttygen.exe und putty.exe: http://blog.murawski.ch/2010/04/ssh-authentifizierung-mit-privatekey/

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über ihren Beitrag!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *