SSH-Pub-Key-Anmeldung ohne Passwort

tag-icon tag-icon ubuntu ssh
SSH-Pub-Key-Anmeldung ohne Passwort

Ich konfiguriere einen SSH-Server auf Ubuntu 14.04.1 Server Edition. Ziel ist es, nur die Authentifizierung mit öffentlichem Schlüssel zu verwenden und nur bestimmte Benutzernamen zuzulassen.

Meine öffentlichen und privaten Schlüssel werden erstellt und für den privaten Schlüssel wird ein Passwort festgelegt. Ich habe den öffentlichen Schlüssel auf den Server kopiert (der genaue Vorgang wird unten beschrieben) und konnte mit diesem Befehl zum ersten Mal per SSH auf den Server zugreifen

ssh -i /path/to/id_rsa -p 50000 [email protected]

Ich wurde nach dem Kennwort für den privaten Schlüssel gefragt und durfte mich anmelden. Großartig.

Wenn ich mich jedoch per SSH wieder mit dem Server verbinde, werde ich nicht mehr nach meinem privaten Schlüsselkennwort gefragt. Ich kann mich sogar anmelden, ohne den Pfad zu meinem privaten Schlüssel anzugeben, und zwar so:

ssh -p 50000 [email protected]

Ich kann sogar ~/.ssh/known_hosts auf dem Client (Mac OS X 10.8) löschen und erfolgreich per SSH auf den Server zugreifen über

ssh -p 50000 [email protected]

Meine Fragen sind also:

  1. Was verwendet der Server, um mich zu authentifizieren, wenn er weder meinen privaten Schlüssel, noch das Kennwort des Schlüssels oder den Inhalt von ~/.ssh/known_hosts des Clients verwendet?
  2. Ist mein SSH-Server unsicher? Kopie von sshd_config unten enthalten.

Vielen Dank für Ihre Hilfe.

Schlüsselerstellungsprozess

- at your computer (not the server) do
    - generate the keys: ssh-keygen -t rsa -b 4096
        - public key is saved at ~/.ssh/id_rsa.pub
        - private key is saved at ~/.ssh/id_rsa
- copy id_rsa.pub to server and append to ~/.ssh/authorized_keys
    - ssh-copy-id username@remotehost
    - a more secure method is to copy via usb drive
        - make a backup: cp authorized_keys authorized_keys.original
        - add public key to file: cat id_rsa.pub >> authorized_keys
    - if your home directory is encrypted (mine is)
        - in sshd_config: AuthorizedKeysFile /etc/ssh/%u/authorized_keys
        - move the authorized_keys file to /etc/ssh/me/authorized_keys
            - mkdir /etc/ssh/me
                - chmod u=rwx,go= /etc/ssh/me
                - chown me /etc/ssh/me
            - mv ~/.ssh/authorized_keys /etc/ssh/me/authorized_keys
                - chmod u=rw,go= /etc/ssh/me/authorized_keys
                - chown me /etc/ssh/me/authorized_keys

sshd_config

# User modified sshd_config.
# See the sshd_config(5) manpage for details.


#### Networking options ####

# Listen on a non-standard port > 1024. Default is 22.
Port 50000

# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0

# Only use protocol version 2.
Protocol 2

X11Forwarding no
X11DisplayOffset 10

# Helps the server recognize problems and the connection will be killed.
TCPKeepAlive yes

#### Networking options ####


#### Key Configuration ####

# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Privilege Separation is turned on for security.
UsePrivilegeSeparation yes

# Use public key authentication
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
AuthorizedKeysFile /etc/ssh/%u/authorized_keys

#### Key Configuration ####


### Authentication ###

# 30 seconds to enter your key passphrase.
LoginGraceTime 30

# No root login.
PermitRootLogin no

# Force permissions checks on keyfiles and directories.
StrictModes yes

HostbasedAuthentication no

# Don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication.
IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED).
PermitEmptyPasswords no

# Disable challenge and response auth. Unnecessary when using keys.
ChallengeResponseAuthentication no

# Disable the use of passwords completly, only use public/private keys.
PasswordAuthentication no

# Using keys, no need for PAM (Pluggable Authentication Modules).
# Also allows SSHD to be run as a non-root user.
UsePAM no

# Don't use login(1)
UseLogin no

AllowUsers me

### Authentication ###


### Misc ###

# Logging
SyslogFacility AUTH
LogLevel VERBOSE

# Print the last time the user logged in.
PrintLastLog yes

# Maximum number of concurrent unauthenticated connections to the SSH daemon (the number of users still logging in).
MaxStartups 10:30:60

# Display login banner.
Banner /etc/issue.net

# Allow client to pass locale environment variables.
# Accept language variables to help the shell session display properly for the client.
AcceptEnv LANG LC_*

# External file transfer daemon to use for sftp requests.
Subsystem sftp /usr/lib/openssh/sftp-server

# Should the SSH daemon itself read and display the message of the day file.
PrintMotd no

### Misc ###

Firewall-Konfiguration

- allow incoming connections to port 50000
    - sudo ufw allow in 50000
- Rate-limit the connections
    For example, deny connections if an IP address has attempted to initiate
    6 or more connections in the last 30 seconds.
    - sudo ufw limit ssh

Antwort1

  1. Ihr Client-Computer hat die Anmeldeinformationen wahrscheinlich zwischengespeichert, sodass er wahrscheinlich immer noch Ihren privaten Schlüssel verwendet. Wenn Sie Ihren Computer neu starten, müssen Sie die Passphrase erneut eingeben. (Wenn sich Ihre Schlüssel unter befinden ~/.ssh/, ist dies außerdem der Standardspeicherort, sshan dem sie überprüft werden.)

  2. Ihre SSH-Konfiguration sieht gut aus, ebenso wie Ihre Firewall-Einstellungen (vorausgesetzt, sie sind standardmäßig auf Verweigern eingestellt). Zur Sicherheit Ihres Systems als Ganzes kann ich nichts sagen.

Sagen Sie mir Bescheid, falls etwas fehlt.

verwandte Informationen