ltcp/bericht/bs/bs-ssh.tex

\subsection{SSH-Server}
\label{sub:ssh_server}

Wir haben uns für \emph{OpenSSH} als SSH-Server entschieden. Diesen haben wir mit folgenden Shell-Befehl installiert:

\shellcmd{pacman -S openssh}

Desweiteren wurden in \emph{/etc/ssh/sshd\_config} (siehe \emph{aufgabe2.3/sshd\_config}) folgende Zeilen verändert, um den ''root-Account'' zu deaktivieren und den passwortlosen Zugriff zu aktivieren:

\begin{lstlisting}
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
\end{lstlisting}

\subsubsection{iptables}

Um den Zugriff auf das universitätsinterne Netz zu beschränken wurde ein
Filter-Chain \emph{uni} zur \emph{iptables.rules} unter \emph{/etc/iptables}
(siehe \emph{aufgabe2.3/iptables.rules}) hinzugefügt, der nur IP-Adressen aus
den Bereichen 141.30.0.0/16 und 141.76.0.0/16 akzeptiert und die Zugriffe auf
den SSH-Port 22 beschränkt.

\subsubsection{Absicherung für externen Zugriff}

Um den Zugriff aus einem externen Netz abzusichern, gibt es verschiedene
Möglichkeiten

\begin{enumerate}
  \item den externen SSH-Port auf einen anderen Port als 22 legen, so dass
    dieser nicht zu leicht erraten werden kann
  \item per \emph{Fail2ban} IPs, die z.B. per
Bruteforce zu häufig versuchen sich einzuloggen, aussperren
  \item den externen SSH-Port erst per Port-Knocking freischalten, bei dem
    der Client z.B. mit einem Script erst an mehrere Ports »klopfen« muss, bevor
    er sich verbinden kann
  \item den Login auf bestimmte Benutzer begrenzen
\end{enumerate}

\subsubsection{Automatisierung für neue Nutzer}

Das automatisierte Hinzufügen neuer Nutzer haben wir über ein Script
\texttt{newuser} (siehe \emph{aufgabe2.3/newuser}) gelöst. Dieses Script legt
einen neuen Benutzer an, erstellt dessen  Home-Verzeichnis, generiert ein neues
Public-Private-Key-Paar für SSH und trägt den eigenen Public-Key in die
\emph{authorized\_keys} ein und ermöglich den Zugriff auf das git-Repository.
Bericht in Abschnitte gesplittet 2013-10-29 09:41:47 +00:00			`\subsection{SSH-Server}`
Ergänzung zur Betriebsysteminstallation 2013-10-31 10:10:02 +00:00			`\label{sub:ssh_server}`
erster ssh-teil 2013-11-04 10:23:07 +00:00
replace \tt by \emph (\tt is deprecated) 2014-03-20 07:41:07 +00:00			`Wir haben uns für \emph{OpenSSH} als SSH-Server entschieden. Diesen haben wir mit folgenden Shell-Befehl installiert:`
erster ssh-teil 2013-11-04 10:23:07 +00:00
			`\shellcmd{pacman -S openssh}`

replace \tt by \emph (\tt is deprecated) 2014-03-20 07:41:07 +00:00			`Desweiteren wurden in \emph{/etc/ssh/sshd\_config} (siehe \emph{aufgabe2.3/sshd\_config}) folgende Zeilen verändert, um den ''root-Account'' zu deaktivieren und den passwortlosen Zugriff zu aktivieren:`
erster ssh-teil 2013-11-04 10:23:07 +00:00
Sachen hinzugefügt 2013-11-05 09:50:33 +00:00			`\begin{lstlisting}`
			`PermitRootLogin no`
			`PasswordAuthentication no`
			`ChallengeResponseAuthentication no`
			`\end{lstlisting}`
erster ssh-teil 2013-11-04 10:23:07 +00:00
			`\subsubsection{iptables}`

aufgaben-verzeichnisse umbenannt: Bei Aufgabe 3 geht es wieder bei 1 los. Deswegen habe ich jetzt überall eine 2 davor gehangen. 2013-11-13 14:31:08 +00:00			`Um den Zugriff auf das universitätsinterne Netz zu beschränken wurde ein`
Korrekturlesen: 1. Anlauf 2014-04-03 09:37:41 +00:00			`Filter-Chain \emph{uni} zur \emph{iptables.rules} unter \emph{/etc/iptables}`
			`(siehe \emph{aufgabe2.3/iptables.rules}) hinzugefügt, der nur IP-Adressen aus`
			`den Bereichen 141.30.0.0/16 und 141.76.0.0/16 akzeptiert und die Zugriffe auf`
			`den SSH-Port 22 beschränkt.`
Sachen hinzugefügt 2013-11-05 09:50:33 +00:00
			`\subsubsection{Absicherung für externen Zugriff}`

Korrekturlesen: 1. Anlauf 2014-04-03 09:37:41 +00:00			`Um den Zugriff aus einem externen Netz abzusichern, gibt es verschiedene`
			`Möglichkeiten`

			`\begin{enumerate}`
			`\item den externen SSH-Port auf einen anderen Port als 22 legen, so dass`
			`dieser nicht zu leicht erraten werden kann`
			`\item per \emph{Fail2ban} IPs, die z.B. per`
			`Bruteforce zu häufig versuchen sich einzuloggen, aussperren`
			`\item den externen SSH-Port erst per Port-Knocking freischalten, bei dem`
			`der Client z.B. mit einem Script erst an mehrere Ports »klopfen« muss, bevor`
			`er sich verbinden kann`
			`\item den Login auf bestimmte Benutzer begrenzen`
			`\end{enumerate}`
Sachen hinzugefügt 2013-11-05 09:50:33 +00:00
			`\subsubsection{Automatisierung für neue Nutzer}`

Korrekturlesen: 1. Anlauf 2014-04-03 09:37:41 +00:00			`Das automatisierte Hinzufügen neuer Nutzer haben wir über ein Script`
			`\texttt{newuser} (siehe \emph{aufgabe2.3/newuser}) gelöst. Dieses Script legt`
			`einen neuen Benutzer an, erstellt dessen Home-Verzeichnis, generiert ein neues`
			`Public-Private-Key-Paar für SSH und trägt den eigenen Public-Key in die`
			`\emph{authorized\_keys} ein und ermöglich den Zugriff auf das git-Repository.`