sshd-debian
Inhaltsverzeichnis
1. sshd
1.1 Einen User anlegen
Eins der ersten Dinge die man bei einem Rootserver machen sollte ist, dem User root das einloggen über ssh zu verbieten. Bevor man dies aber macht, sollte man sich erstmal einen eigenen User im System anlegen, denn sonst steht man ziemlich dumm da, wenn man sich nichtmehr als root einloggen kann und man noch keinen anderen User zum einloggen hat.
Einen User erstellt man mit folgendem Befehl:
useradd -g users -d /home/testuser -s /bin/bash testuser
Hier wird ein User namens testuser in der Gruppe users mit der Bash als Standartshell angelegt. Das Homeverzeichnis des Users liegt in /home/testuser (Dieses Verzeichnis muss manuel angelegt werden!). Der User hat bis jetzt aber noch kein Passwort. Das Passwort kann man mit dem `passwd` Befehl ändern. Als root kann man auch das Passwort für andere User ändern:
passwd testuser
Hier sollte man auch darauf achten, das man kein zu einfaches Passwort wählt. Also sollte es mindestens 8 Zeichen haben, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten. Jetzt, da der User angelegt und mit einem (sicheren) Passwort versehen wurde, ist es an der Zeit zu testen, ob man sich auch einloggen kann.
1.2 root Login sperren
Wenn man sich mit dem zuvor erstellten User einloggen konnte, kann man root das einloggen verbieten.
Dazu öffnet man die Datei „/etc/ssh/sshd_config“ mit einem Editor und ändert in der Zeile
PermitRootLogin yes
auf
PermitRootLogin no
Nun muss man nur noch die SSH Daemon Config neu laden:
bei Debian zb:
/etc/init.d/ssh reload
Danach sollte man sich mit root nichtmehr einloggen können.
Ab jetzt loggt man sich einfach mit dem angelegten User ein und loggt sich über den Switch User Befehl als root ein:
su -
Dann noch root-Passwort eingeben, und fertig. :)
1.3 Nur ausgewählte User zulassen
Dazu öffnet man wieder die Datei „/etc/ssh/sshd_config“ mit einem Editor und ändert folgendes:
AllowUsers username1 username2 username3
Lässt sich der Kreis der SSH-Berechtigten einfach eingrenzen. Die Änderungen werden dann mit einem
/etc/init.d/sshd restart
wirksam. Gleiches ist mit Gruppen mittels der Verwendung von AllowGroups sinngemäß auf gleiche Weise möglich. Am besten parallel in einer anderen Session einloggen und testen ob alles so funktioniert wie es auch soll, ansonsten sperrt man sich bei einem Tippfehler im Benutzernamen in der Konfigurationsdatei schnell mal selbst aus und muss dann den Server ins Rescue-System rebooten um den Fehler zu beheben.
1.4 Tipps
Eventuell noch in der Datei „/etc/ssh/sshd_config“ den Port 22 abändern, da dieser ein Standart Port von dem SSHd ist.
1.5 Videotutorial
2. Putty einloggen/einrichten mit einem PrivateKey
- Starten des Programms putty auf dem WindowsClient.
- Beim hostname framp@obelix eintragen (userid und Server name oder IP)
- Zu Connection→SSH→Auth gehen und das Private key file for authentication fuellen mit C:\Program Files\putty\id_rsa_priv.ppk.
- open und erscheint ein Befehlsfenster des Servers. U.U. muss noch die Passphrase eingegeben werden
- Sichern des putty Profiles
- Damit ist die ssh Verbindung mit key getestet und es kann die Passwortauthentifizierung ausgeschaltet werden.