• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Viele hassen ihn, manche schwören auf ihn, wir aber möchten unbedingt sehen, welche Bilder Ihr vor Eurem geistigen Auge bzw. vor der Linse Eures iPhone oder iPad sehen könnt, wenn Ihr dieses Wort hört oder lest. Macht mit und beteiligt Euch an unserem Frühjahrsputz ---> Klick

Entfernte Anmeldung am Server mit SSH-Key

MarcoR

Golden Delicious
Registriert
13.06.14
Beiträge
6
Guten Abend,

ich habe meine OS X Mavericks-Server so einrichten können, dass eine entfernte Anmeldung über Terminal mit SSH-Key möglich ist.
Zudem möchte ich die Server so einrichten, dass eine Anmeldung via SSH nur mit dem Schlüsselpaar möglich ist. Hierzu habe ich in der Datei “/etc/sshd_config” die Zeile “ChallengeResponseAuthentication” von "yes" auf "no" modifiziert.
Dennoch ist es mir weiterhin möglich, mich auf die herkömmliche Art (Name/Passwort) anzumelden.
Welchen Fehler könnte ich meinerseits in der Konfiguration gemacht haben?

Vielen Dank für jede Unterstützung!
 
gbyte

gbyte

Gelbe Schleswiger Reinette
Registriert
07.04.07
Beiträge
1.752
Das hat ja nichts mit der challenge response Option zu tun, Du musst die Passwortabfrage ausschalten:
Code: 
PasswordAuthentication no
Vorher allerdings sicherstellen, dass das einloggen per Schlüsselpaar wirklich funktioniert.

Zusätzlich würde ich Dir empfehlen, dass externe Einloggen des Nutzers root zu sperren:
Code: 
PermitRootLogin no
und nur für lokale Anmeldungen freizugeben (am Ende der Config-Datei eintragen):
Code: 
Match Host 127.0.0.1
        PermitRootLogin yes
Somit musst Du Dich erst mit dem Dir bekannten und für das Anmelden berechtigten Nutzer anmelden und danach, wenn Du angemeldet bist, nochmals mit einem:
Code: 
ssh root@localhost
die root-Rechte zu holen. Hier muss zuvor aber der entsprechende Schlüssel Deines SSH Benutzers unter /root/.ssh in die authorized_keys Datei geschrieben werden.

Prinzipiell gilt: Immer vorher testen ob ein passwortloses Einloggen funktioniert, bevor Du die Passwort-Authentifizierung abschaltest.

Gruß,

GByte
 
Zuletzt bearbeitet:

MarcoR

Golden Delicious
Registriert
13.06.14
Beiträge
6
gbyte schrieb:
Das hat ja nichts mit der challenge response Option zu tun, Du musst die Passwortabfrage ausschalten:
Code: 
PasswordAuthentication no
Vorher allerdings sicherstellen, dass das einloggen per Schlüsselpaar wirklich funktioniert.

Zusätzlich würde ich Dir empfehlen, dass externe Einloggen des Nutzers root zu sperren:
Code: 
PermitRootLogin no
und nur für lokale Anmeldungen freizugeben (am Ende der Config-Datei eintragen):
Code: 
Match Host 127.0.0.1
        PermitRootLogin yes
Somit musst Du Dich erst mit dem Dir bekannten und für das Anmelden berechtigten Nutzer anmelden und danach, wenn Du angemeldet bist, nochmals mit einem:
Code: 
ssh root@localhost
die root-Rechte zu holen. Hier muss zuvor aber der entsprechende Schlüssel Deines SSH Benutzers unter /root/.ssh in die authorized_keys Datei geschrieben werden.

Prinzipiell gilt: Immer vorher testen ob ein passwortloses Einloggen funktioniert, bevor Du die Passwort-Authentifizierung abschaltest.

Gruß,

GByte
Zum Vergrößern anklicken....
Vielen Dank für die umfangreiche Antwort, den Fehler konnte ich inzwischen beseitigen.
Ich hatte die # in der entsprechenden Zeile der Config-Datei nicht entfernt, somit war die Zeile in der Config-Datei sozusagen nur ein Kommentar und ssh hat auf die Default-Werte zurück gegriffen.
Nach einer entsprechenden Korrektur läuft alles wie es soll und die entfernte Anmeldung ist nur noch mit SSH-Key möglich.

Gruß Marco
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten