Aus Linux-Forum Wiki

In diesem HowTo soll aufgezeigt werden, wie wir per RSA-Key zu unseren Server verbinden.
Dies ist ein wesentlicher Bestandteil der Serversicherheit, da uns dieses Vorgehen ermöglicht die Authentifizierung per Benutzername/Passwort zu deaktivieren.

Inhaltsverzeichnis 1 Einrichtung des Clients 1.1 Linux 1.2 Windows 2 Einrichtung des Servers 2.1 Die Benutzung von Passwörtern generell verbieten 3 Hilfreiche Manpages 4 Verwandte Links 5 Siehe auch

Einrichtung des Clients

In der Einrichtung des Clients unterscheidet sich die Vorgehensweise, je nach dem ob Windows oder Linux unser Clientsystem ist.

Linux

Alle benötigten Programme sollten durch Installation des OpenSSH-Paketes unserer Distribution installiert werden.
Meist ist ssh sowieso schon in der Grundinstallation unserer Distribution enthalten, so daß wir gar nichts nachinstallieren müssen.

Erstellung des Schlüsselpaares:

ssh-keygen -t rsa

Nun werden wir nach einer Passphrase gefragt.
Jedesmal wenn wir Zugriff auf unseren private-key nehmen wollen, wird diese Passphrase abgefragt.
Je nach Einsatzzweck (z.B.: Automatisches Backup von Server zu Server) ist es manchmal sinnvoller keine Passphrase einzugeben, sondern die Eingabe einfach mit <Enter> zu bestätigen.

Nachdem nun unser Schlüsselpaar erstellt wurde, kopieren wir den public key auf den Server:

ssh-copy-id -i ~/.ssh/id_rsa.pub user@<SERVER>

Windows

Unter Windows benötigen wir die Programme PuTTY, PSCP und PuTTYgen.
Erstellung des Schlüsselpaares mit puttygen:

1. PuTTYgen starten.
2. Number of bits in a generated key: 2048
3. "Generate" drücken.
4. Die Maus über dem freien Feld hin und her bewegen, um den Schlüssel zu generieren.
5. Passphrase eingeben
6. "Save private key" drücken und am Besten unter C:\putty als id_rsa_priv.ppk speichern.
7. "Save public key" drücken und als id_rsa.pub speichern.

Nun haben wir unser Schlüsselpaar erstellt.

Jetzt öffnen wir die "Eingabeaufforderung" und wechseln in das Verzeichnis putty.
Wir kopieren den Schlüssel:

pscp id_rsa.pub user@<SERVER>:id_rsa.pub

Wir verbinden uns nun per PuTTY zum Server.
Auf dem Server erstellen wir ein neues Verzeichnis in unserer /home-Directory, falls dieses noch nicht existiert:

mkdir .ssh

Und fügen unseren Schlüssel in die Datei authorized_keys ein.:

cat id_rsa.pub >> .ssh/authorized_keys

Einrichtung des Servers

Wir editieren die Datei /etc/ssh/sshd_config und setzen folgende Werte:

PubkeyAuthentication yes
RSAAuthentication no

Wir starten den SSH-Dienst neu:

/etc/init.d/ssh restart

Die Benutzung von Passwörtern generell verbieten

Nachdem wir sichergestellt haben, daß das Einloggen per key funktioniert, unterbinden wir nun die Benutzung von Benutzername und Passwort.
Wir editieren die Datei /etc/ssh/sshd_config und setzen folgende Werte:

PasswordAuthentication no
ChallengeResponseAuthentication no

Wir starten den SSH-Dienst neu:

/etc/init.d/ssh restart

Hilfreiche Manpages

• ssh
• ssh-keygen
• ssh-copy-id
• ssh-agent

Verwandte Links

• Serversicherheit
• PuTTY

Siehe auch

• SSH auf sicher