freifunk:ssh

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
freifunk:ssh [14.06.2019 07:49. ] djangofreifunk:ssh [14.06.2019 08:12. ] – [(zusätzlichen) SSH-Key hinterlegen] django
Zeile 379: Zeile 379:
 Wir kopieren nun den Publickey des zweiten Admins in die Datei //**/etc/dropbear/authorized_keys**// und gehen dabei wie folgt vor: Wir kopieren nun den Publickey des zweiten Admins in die Datei //**/etc/dropbear/authorized_keys**// und gehen dabei wie folgt vor:
    cat ~/.ssh/id_rsa_piraten.pub | ssh ff_pliening_gbw_ug 'cat >> /etc/dropbear/authorized_keys'    cat ~/.ssh/id_rsa_piraten.pub | ssh ff_pliening_gbw_ug 'cat >> /etc/dropbear/authorized_keys'
 +
 +==== Passwort-Login für Nutzer root deaktivieren ====
 +<WRAP center round important 80%>
 +Dass bei der **SSH** eine Schlüsselbasierter Login einem Passwort gesichertem Zugriff vorzuziehen ist, gilt nicht nur für **[[centos:ssh_c7|Server]]** sondern sollte grundsätzlich unserem Grundverständnis an Sicherheit entsprechen. SSH-Zugang für den User **root** mit Passwort ist hinlänglich als **__nogo__** allgemeingültig er- und anerkannt.
 +</WRAP>
 +
 +Bei der Ersteinrichtung unseres Knotens über die **[[gui#remotezugriff|WEG GUI]]** wird bei aktueller Firmware auch deshalb gar keine Möglichkeit zur Vergabe eines Passwortes für den Nutzer root angeboten, sondern ausschließlich die Möglichkeit gegeben ein SSH-Schlüssel (public-key) zu hinterlegen.
 +
 +Will man nun ganz sicher gehen, oder ist als verantwortlicher (LINUX-)Admin von Haus aus ein klein wenig paranoid, kann man den Zugang nur mit Passwort und den Zugang für den Nutzer Root mit Passwort bei SSH-Daemon **[[https://matt.ucc.asn.au/dropbear/dropbear.html|dropbear]]** auch komplett deaktivieren. Hierzu setzen wir die beiden betreffenden Zeilen in der zugehörigen Konfigurationsdatei des SSH-Daemon auf **//off//**.
 +   vim /etc/config/dropbear
 +<file bash /etc/config/dropbear>config dropbear
 +# Django : 2019-06-14
 +# default: option PasswordAuth 'on'
 +#          option RootPasswordAuth 'on'
 + option PasswordAuth 'off'
 + option RootPasswordAuth 'off'
 + option Port         '22'
 +# option BannerFile   '/etc/banner'
 +</file>
 +Anschließend starten wir den Router einmal neu, damit dieser die Konfigurationsänderung aktiviert.
 +   reboot
 +
 +Versuchen wir uns nun ohne passenden SSH-Key am Node anzumelden, erfolgt keine Passwort-Abfrage mehr und wir werden freundlich mit einem ''Permission denied (publickey).'' darauf hingewiesen, dass es //ohne Hände keine Kekse// mehr gibt, kurzum ohne SSH-Schlüssel ist kein Zugang mehr möglich, auch nicht mittels Passwort!
 +
 +   ssh root@2001:608:a01:102:da0d:17ff:feff:569e
 +
 +  Permission denied (publickey).
 +
 +<WRAP center round tip 75%>
 +Bei einem Update des Routers mit einer neuen Firmware werden diese Einstellungen überschrieben - wir müssen diese **Konfigurationsänderung** dann **__erneut__** vornehmen!
 +</WRAP>