ltcp/bericht/bs/bs-ssh.tex

\subsection{SSH-Server}
\label{sub:ssh_server}

Wir haben uns für \emph{OpenSSH} als SSH-Server entschieden. Diesen haben wir mit folgenden Shell-Befehl installiert:

\shellcmd{pacman -S openssh}

Desweiteren wurden in \emph{/etc/ssh/sshd\_config} (siehe \emph{aufgabe2.3/sshd\_config}) folgende Zeilen verändert, um den ''root-Account'' zu deaktivieren und den passwortlosen Zugriff zu aktivieren:

\begin{lstlisting}
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
\end{lstlisting}

\subsubsection{iptables}

Um den Zugriff auf das universitätsinterne Netz zu beschränken wurde ein
Filter-Chain \emph{uni} zur \emph{iptables.rules} unter \emph{/etc/iptables} (siehe
\emph{aufgabe2.3/iptables.rules}) hinzugefügt, der nur IP-Adressen aus den Bereichen 141.30.0.0/16 und 141.76.0.0/16 akzeptiert und die Zugriffe auf Port 22, 80 und 443 beschränkt.

\subsubsection{Absicherung für externen Zugriff}

Um den Zugriff aus einem externen Netz abzusichern, könnte man z.B. den externen SSH-Port auf einen anderen Port als 22 legen, so dass dieser nicht zu leicht erraten werden kann. Zusätzlich könnte man per \emph{fail2ban} IPs, die z.B. per Bruteforce zu häufig versuchen sich einzuloggen, aussperren. Außerdem könnte man den externen SSH-Port auch erst per Port-Knocking freischalten, bei dem der Client z.B. mit einem Script erst an mehrere Ports »klopfen« muss, bevor er sich verbinden kann. Desweiteren könnte man den Login von außen nur für bestimmte Benutzer erlauben.

\subsubsection{Automatisierung für neue Nutzer}

Das automatisierte Hinzufügen neuer Nutzer haben wir über ein Script \texttt{
newuser} (siehe \emph{aufgabe2.3/newuser}) gelöst. Dieses Script legt einen neuen Benutzer an, erstellt sein Home-Verzeichnis, generiert ein neues Public-Private-Key-Paar für SSH und trägt den eigenen Public-Key in die \emph{authorized\_keys} sowie für den Zugriff auf das git-Repository ein.
Bericht in Abschnitte gesplittet 2013-10-29 09:41:47 +00:00			`\subsection{SSH-Server}`
Ergänzung zur Betriebsysteminstallation 2013-10-31 10:10:02 +00:00			`\label{sub:ssh_server}`
erster ssh-teil 2013-11-04 10:23:07 +00:00
replace \tt by \emph (\tt is deprecated) 2014-03-20 07:41:07 +00:00			`Wir haben uns für \emph{OpenSSH} als SSH-Server entschieden. Diesen haben wir mit folgenden Shell-Befehl installiert:`
erster ssh-teil 2013-11-04 10:23:07 +00:00
			`\shellcmd{pacman -S openssh}`

replace \tt by \emph (\tt is deprecated) 2014-03-20 07:41:07 +00:00			`Desweiteren wurden in \emph{/etc/ssh/sshd\_config} (siehe \emph{aufgabe2.3/sshd\_config}) folgende Zeilen verändert, um den ''root-Account'' zu deaktivieren und den passwortlosen Zugriff zu aktivieren:`
erster ssh-teil 2013-11-04 10:23:07 +00:00
Sachen hinzugefügt 2013-11-05 09:50:33 +00:00			`\begin{lstlisting}`
			`PermitRootLogin no`
			`PasswordAuthentication no`
			`ChallengeResponseAuthentication no`
			`\end{lstlisting}`
erster ssh-teil 2013-11-04 10:23:07 +00:00
			`\subsubsection{iptables}`

aufgaben-verzeichnisse umbenannt: Bei Aufgabe 3 geht es wieder bei 1 los. Deswegen habe ich jetzt überall eine 2 davor gehangen. 2013-11-13 14:31:08 +00:00			`Um den Zugriff auf das universitätsinterne Netz zu beschränken wurde ein`
replace \tt by \emph (\tt is deprecated) 2014-03-20 07:41:07 +00:00			`Filter-Chain \emph{uni} zur \emph{iptables.rules} unter \emph{/etc/iptables} (siehe`
aufgaben-verzeichnisse umbenannt: Bei Aufgabe 3 geht es wieder bei 1 los. Deswegen habe ich jetzt überall eine 2 davor gehangen. 2013-11-13 14:31:08 +00:00			`\emph{aufgabe2.3/iptables.rules}) hinzugefügt, der nur IP-Adressen aus den Bereichen 141.30.0.0/16 und 141.76.0.0/16 akzeptiert und die Zugriffe auf Port 22, 80 und 443 beschränkt.`
Sachen hinzugefügt 2013-11-05 09:50:33 +00:00
			`\subsubsection{Absicherung für externen Zugriff}`

replace \tt by \emph (\tt is deprecated) 2014-03-20 07:41:07 +00:00			Um den Zugriff aus einem externen Netz abzusichern, könnte man z.B. den externen SSH-Port auf einen anderen Port als 22 legen, so dass dieser nicht zu leicht erraten werden kann. Zusätzlich könnte man per \emph{fail2ban} IPs, die z.B. per Bruteforce zu häufig versuchen sich einzuloggen, aussperren. Außerdem könnte man den externen SSH-Port auch erst per Port-Knocking freischalten, bei dem der Client z.B. mit einem Script erst an mehrere Ports »klopfen« muss, bevor er sich verbinden kann. Desweiteren könnte man den Login von außen nur für bestimmte Benutzer erlauben.
Sachen hinzugefügt 2013-11-05 09:50:33 +00:00
			`\subsubsection{Automatisierung für neue Nutzer}`

letzte Instanzen von tt entfernt 2014-03-29 20:04:42 +00:00			`Das automatisierte Hinzufügen neuer Nutzer haben wir über ein Script \texttt{`
replace \tt by \emph (\tt is deprecated) 2014-03-20 07:41:07 +00:00			`newuser} (siehe \emph{aufgabe2.3/newuser}) gelöst. Dieses Script legt einen neuen Benutzer an, erstellt sein Home-Verzeichnis, generiert ein neues Public-Private-Key-Paar für SSH und trägt den eigenen Public-Key in die \emph{authorized\_keys} sowie für den Zugriff auf das git-Repository ein.`