# ssh absichern scheitert :-(

## hambuergaer

hallo leute,

ich habe einen server frisch installiert und möchte jetzt ssh nach der anleitung auf der seite http://www.gentoo.org/doc/en/gentoo-security.xml absichern. ich habe also auf meinem notebook als user einen schlüssel erzeugt und per scp auf den server kopiert. dort habe ich ebenfalls den gleichen user erzeugt, wie auf meinem notebook. im user-verzeichnis auf dem server habe ich .ssh/authorized_keys erzeugt und den pub key in dieses verzeichnis kopiert. USE Pam habe ich auf no gesetzt. ich habe folgende fehlermeldung erhalten:

Permission denied (publickey,keyboard-interactive).

das gleich passiert, wenn ich anstatt dem verzeichnis authorized_keys eine datei mit diesem namen erzeuge und den inhalt des pub-keys dort hineinkopiere.

kann mir da jemand einen tip geben?

----------

## andix

authorized_keys ist eine Datei, kein Verzeichnis  :Exclamation: 

Du musst eine Datei authorized_keys anlegen, in der du pro Zeile einen Publickey einfügst. [EDIT:] Pass aber auf, dass dir dein editor nicht die Zeilen umbricht. So eine Publickey-Zeile kann schon ein paar Hundert zeichen lang sein.

----------

## hambuergaer

muss ich den ganzen inhalt des pub-keys dort reinkopieren? denn das hab ich auch schon getan. muss ich in der sshd_config USE Pam ganz herausnehmen (aukommentieren), oder reicht es, wenn ich schreibe Use Pam no???

 :Smile:  hab gerade dein edit gesehen... das werde ich nochmal kontrollieren! danke für den tip!

----------

## andix

Lass den sshd zum Testen bei der Standard-Konfiguration. Ich weiß nicht, ob alles noch so funktioniert, wie du willst, wenn du PAM ausschaltest.

Publickey authentication geht in der Standardkonfiguration problemlos neben der "normalen" mit Passwort!

----------

## Duncan Mac Leod

 *andix wrote:*   

> Lass den sshd zum Testen bei der Standard-Konfiguration. Ich weiß nicht, ob alles noch so funktioniert, wie du willst, wenn du PAM ausschaltest.

 

Doch geht..!

Ich habe inzw. alle meine Gentoo Server auf Keys umgestellt...

Hier ein kurzer Auszug aus der sshd_config...

[...]

LoginGraceTime 2m

PermitRootLogin no

MaxAuthTries 6

PasswordAuthentication no

PermitEmptyPasswords no

PAMAuthenticationViaKbdInt no

UsePAM no

[...]

Den Rest der sshd entspricht in der Regel den Default-Settings...

----------

## Fauli

Mit der Option -v werden bei der Anmeldung mit ssh mehr Debugging-Nachrichten ausgeben. Da könnte der entscheidende Hinweis drinstehen.

----------

## toskala

cat deinpubkey > ~/.ssh/AuthorizedKeys2

das ganze natürlich auf dem zielserver.

du möchtest pam abschalten in der config und du möchtest natürlich (wenn pubkey auth funktioniert) password auth abschalten, rootlogin verbieten, empty passwords verbieten, tunneling nebst x forwarding auch usw.

----------

## flubber

 *toskala wrote:*   

> cat deinpubkey > ~/.ssh/AuthorizedKeys2

 

Kann ganz schön in die Hose gehen, es sei denn Du hast nur einen Key, wenn Du mehrere Keys, weil mehrere Benutzer,

mußt Du es so machen:

cat deinpubkey >> ~/.ssh/authorizedKeys 

Flubber

----------

## TheSmallOne

Hm, ich schätze da wird die Datei ganz schön unübrsichtlich...

Ich weiß schon, warum ich das richtige SSH anstelle von OpenSSH benutze: Da liegen die Schlüssel jeweils schön ordentlich in ihrer eigenen Datei und die Authorisationsdatei bekommt lediglich einen Eintrag darauf.

Weiß jemand, wieso eigentlich standardmäßig OpenSSH installiert wird, ohne dem User überhaupt eine Wahl zu lassen?

----------

## hambuergaer

super... merci vielmals für all eure tips!!! läuft jetzt einwandfrei!

----------

## schachti

 *TheSmallOne wrote:*   

> 
> 
> Weiß jemand, wieso eigentlich standardmäßig OpenSSH installiert wird, ohne dem User überhaupt eine Wahl zu lassen?
> 
> 

 

Du hast doch die Wahl, OpenSSH zu entfernen und durch eine andere Version zu ersetzen. Bei Standardpaketen ist es nunmal so, daß man irgend eines als Standard festlegen muß, und die Wahl ist nunmal auf OpenSSH gefallen.  :Wink: 

----------

