|
Dies soll am Beispiel des OpenSSH-Servers von Debian-Sarge (OpenSSH_3.8.1p1 Debian-8.sarge.4, OpenSSL 0.9.7e 25 Oct 2004), PuTTY & PuTTYgen v0.54 und WinSCP v3.7.3 gezeigt werden.
SSH-Server absichern
Absichern gegen Brute-Force-Attacken
Der SSH-Server bietet mehrere Möglichkeiten zur Authentifizierung, wobei das Eingeben eines Passworts beim Anmelden die schwächste ist. Für den Benutzer root sollte dieser Mechanismus aus Sicherheitsgründen grundsätzlich nicht erlaubt sein. Stattdessen meldet sich der Administrator mit einem hinterlegten kryptographischen Schlüssel beim Server an.
Dieser Schlüssel wird zunächst mit PuTTYgen erstellt:
Der zu generierende Schlüssel ist ein DSA-Schlüssel mit einer Länge von 1024 Bit. Nach Einstellung der Parameter wird mit einem Klick auf Generate der Schlüssel erstellt. Zuvor müssen Sie noch durch Bewegungen mit dem Mauszeiger in dem leeren Feld Daten für den Pseudo-Zufallszahlengenerator erstellen.
Der generierte Schlüssel ist nun in dem oberen Teil des Fensters markiert und sollte nun in die Zwischenablage kopiert werden. Bitte stellen Sie sicher, dass alle Buchstaben und alle Zeilen bis auf die letzte Zeile, die mit dsa-key beginnt, vor dem Kopieren markiert sind. Vor dem Speichern des privaten Schlüssels sollten Sie noch ein Passwort vergeben (Dieses Passwort wird nur für den Zugriff auf den eigentlichen Schlüssel benötigt und wird niemals über das Internet übertragen. Dies soll beim Verlust des Schlüssels, beispielsweise durch Diebstahl des PCs, verhindern, dass sich der Dieb mit dem privaten Schlüssel Zugang zum Server verschafft.) Danach können Sie den privaten Schlüssel abspeichern. Ein Backup dieses Schlüssel ist unbedingt zu erstellen, da beim Verlust des Schlüssels keine Verbindung mit dem Server mehr hergestellt werden kann.
Nun melden Sie sich bitte in gewohnter Art und Weise am Server an und editieren die Datei
~/.ssh/authorized_keys2
In diese Datei fügen Sie den Inhalt Ihrer Zwischenablage ein (die hoffentlich noch die Kopie des öffentlichen Schlüssels enthält).
Danach sollte die Datei in etwa so aussehen:
Jetzt kann die Datei gespeichert und der Editor verlassen werden. Nun wird die Konfigurationsdatei des SSH-Servers angepasst. Dazu editieren Sie bitte die Datei /etc/ssh/sshd_config ändern die folgenden Zeilen: AuthorizedKeysFile %h/.ssh/authorized_keys2
PasswordAuthentication no
UsePAM no
Bevor der SSH-Server neugestartet wird sollten Sie sicherstellen, dass Sie noch eine SSH-Verbindung geöffnet halten, falls das einloggen nicht mehr funktionieren sollte.
Nun kann der SSH-Server mit dem Kommando /etc/init.d/ssh restart neugestartet werden.
PuTTY-Einstellungen
Zunächst muss der Hostname und der Port eingetragen werden:
Danach muss noch in Connection -> SSH -> AUTH -> Authentication Parameters die private Schlüsseldatei angegeben werden:
Session die Einstellungen speichern:
Nun können Sie mit einem Klick auf Open die Verbindung mit dem Server herstellen:
Als Passphrase müssen Sie das Zugriffspasswort für den privaten Schlüssel eingeben und sind dann authentifiziert.
WinSCP-Einstellungen
Nach Programmstart und Klick auf Neu können Sie die Parameter für die Verbindung eingeben:
Danach sollten Sie die Einstellungen speichern:
Nun können Sie mit einem Klick auf Anmelden eine Verbindung mit dem Server herstellen:
Nach Eingabe des Zugriffspassworts für den privaten Schlüssel sind sie authentifiziert und können mit WinSCP arbeiten.
Weitere Maßnahmen zur Absicherung
Weiterhin sollten Sie den Port für den SSH-Server ändern (und dann natürlich auch die Einstellungen für PuTTY und WinSCP entsprechend anpassen). Diese Maßnahme erhöht die Sicherheit des SSH-Servers nicht weiter, nimmt ihn aber aus der Schusslinie der Brute-Force-Attacken, die meistens auf den Standard-SSH-Port 22 gerichtet sind.
Nutzungshinweis und Copyright
Alle Rechte liegen beim Autor! Jede Verwertung außerhalb der Grenzen des Urheberrechtsgesetztes ist ohne Zustimmung des Autors unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmung und die Einspeicherung und Bearbeitung in elektronischen Systemen.
Die rechtmäßige Verlinkung dieser Seite ist ausdrücklich erwünscht. Dabei muß klar erkennbar sein, daß es sich nicht um eigenen Inhalt der verlinkenden Seiten handelt. Eine unrechtmäßige Verlinkung (Laden der Seite innerhalb von Frames u.ä.) ist ausdrücklich verboten.
|
