OpenSSH-Client – Kurzanleitung

Veröffentlichung 3. August 2018 @ 17:34
Letzte Änderung 29. August 2018 @ 10:58

Überblick

  • Ed25519-Schlüssel für möglichst sicheren Zugang
  • Ed25519-Schlüssel ohne Passphrase, z. B. für unbeaufsichtigtes Backup
  • RSA-Schlüssel für kompatiblen Zugang, z. B. für Eclipse
  • Hostspezifische SSH-Client-Konfiguration

Voraussetzungen

Client client.example.com

  • Benutzerkonto clientuser
  • Client-Schlüssel /home/clientuser/.ssh/id_*
  • Host-Schlüssel /home/clientuser/.ssh/known_hosts
  • Konfiguration /etc/ssh/ssh_config, /root/.ssh/config

Host host.example.com

  • Benutzerkonto hostuser
  • Client-Schlüssel /home/hostuser/.ssh/authorized_keys
  • Host-Schlüssel /etc/ssh/ssh_host_*
  • IP-Adresse x.x.x.x
  • SSH-Port 42022

Software

  • OpenSSH 7.2, OpenSSL 1.0.2g #ssh -V
  • Ubuntu Server 16.04.04 LTS #lsb_release -a

Ed25519-SSH-Schlüssel mit Passphrase generieren und auf entferntem Host speichern

SSH-Schlüsselpaar mit Authentifizierungs-Algorithmus Ed25519 erzeugen

ssh-keygen -t ed25519 #keine Option -b, da immer 256 bit
  Generating public/private ed25519 key pair.
  Enter file in which to save the key (/home/clientuser/.ssh/id_ed25519): <Enter>
  Enter passphrase (empty for no passphrase): ***
  Enter same passphrase again: ***
  ...

Öffentlichen Schlüssel in Datei authorized_keys auf Host speichern

ssh-copy-id -i /home/clientuser/.ssh/id_ed25519 -p 42022 hostuser@host.example.com #nur bei SSH-Server mit Passwort-Authentifizierung

[Optional] Öffentlichen Schlüssel aus Datei authorized_keys auf Host löschen

ssh -i /home/clientuser/.ssh/id_ed25519 -p 42022 hostuser@host.example.com 'sed --in-place "/^ssh-ed25519.*clientuser@client.example.com$/d" /home/hostuser/.ssh/authorized_keys'

[Optional] Ed25519-SSH-Schlüssel ohne Passphrase generieren

SSH-Schlüsselpaar mit Authentifizierungs-Algorithmus Ed25519 erzeugen

ssh-keygen -C clientuser@client.example.com_ppl -f /home/clientuser/.ssh/id_ed25519_ppl -N '' -t ed25519 #Endung ppl für passphraseless
  Generating public/private ed25519 key pair.
  ...

Öffentlichen Schlüssel in Datei authorized_keys auf Host speichern

ssh-copy-id -i /home/clientuser/.ssh/id_ed25519_ppl -p 42022 hostuser@host.example.com

[Optional] Öffentlichen Schlüssel aus Datei authorized_keys auf Host löschen

ssh -i /home/clientuser/.ssh/id_ed25519_ppl -p 42022 hostuser@host.example.com 'sed --in-place "/^ssh-ed25519.*clientuser@client.example.com_ppl$/d" /home/hostuser/.ssh/authorized_keys'

[Optional] RSA-SSH-Schlüssel mit Passphrase generieren und auf entferntem Host speichern

SSH-Schlüsselpaar mit Authentifizierungs-Algorithmus RSA mit Schlüssellänge 4096 Bits erzeugen

ssh-keygen -b 4096 -t rsa
  Generating public/private rsa key pair.
  Enter file in which to save the key (/home/clientuser/.ssh/id_rsa): <Enter>
  Enter passphrase (empty for no passphrase): ***
  Enter same passphrase again: ***
  ...

Öffentlichen Schlüssel in Datei authorized_keys auf Host speichern

ssh-copy-id -i /home/clientuser/.ssh/id_rsa -p 42022 hostuser@host.example.com

[Optional] Öffentlichen Schlüssel aus Datei authorized_keys auf Host löschen

ssh -i /home/clientuser/.ssh/id_rsa -p 42022 hostuser@host.example.com 'sed --in-place "/^ssh-rsa.*clientuser@client.example.com$/d" /home/hostuser/.ssh/authorized_keys'

SSH-Client für individuellen Zugriff auf entfernte Hosts konfigurieren und testen

Einstellungen in globaler SSH-Client-Konfigurationsdatei auskommentieren

...
#Host *
...
#SendEnv LANG LC_*
#HashKnownHosts yes
#GSSAPIAuthentication yes
#GSSAPIDelegateCredentials no

Öffentliche Host-Schlüssel abfragen

ssh-keyscan -p 42022 host.example.com
  ...
  [host.example.com]:42022 ssh-ed25519 xxx

Benutzerspezifische SSH-Client-Konfigurationsdatei für möglichst sicheren Zugang anlegen und Zugriffsrechte einschränken

#Einstellungen für alle Hosts:
Host *
  #sicherste symmetrische Chiffre mit Authentizierung und Integritätsprüfung gemäß ssh -Q cipher-auth
  #=> kein Eintrag für MACs erforderlich:  
  Ciphers chacha20-poly1305@openssh.com
  #Einträge in known_hosts-Datei als Hashwerte speichern:
  HashKnownHosts yes
  #sicherster Schlüsselaustausch-Algorithmus gemäß ssh -Q kex:
  KexAlgorithms curve25519-sha256@libssh.org
  #keine Passwort-Authentifizierung:
  PasswordAuthentication no
#Einstellungen für Host host.example.com: 
Host example
  #sicherster Host-Authentifizierungs-Algorithmus gemäß ssh-keyscan -p 42022 host.example.com:
  HostKeyAlgorithms ssh-ed25519
  #Name:
  HostName host.example.com
  #Private Schlüsseldatei entsprechend HostKeyAlgorithms:
  IdentityFile ~/.ssh/id_ed25519
  #geänderter Standard-Port für Security through obscurity:
  Port 42022
  #Benutzer:
  User hostuser
chmod 0600 /home/clientuser/.ssh/config

SSH-Zugriff auf Host testen

ssh example
  The authenticity of host '[host.example.com]:42022 ([x.x.x.x]:42022)' can't be established.
  ED25519 key fingerprint is xxx.
  Are you sure you want to continue connecting (yes/no)? yes
  Warning: Permanently added '[host.example.com]:42022,[x.x.x.x]:42022' (ED25519) to the list of known hosts.

[Optional] Host-Schlüssel aus known_hosts löschen

Schlüssel für Host-FQDN entfernen

ssh-keygen -R [host.example.com]:42022
  Host [host.example.com]:42022 found: line 1
  /home/clientuser/.ssh/known_hosts updated.
  Original contents retained as /home/clientuser/.ssh/known_hosts.old

Schlüssel für Host-IP entfernen

ssh-keygen -R [x.x.x.x]:42022
  Host [x.x.x.x]:42022 found: line 1
  /home/clientuser/.ssh/known_hosts updated.
  Original contents retained as /home/clientuser/.ssh/known_hosts.old

Quellen

https://infosec.mozilla.org/guidelines/openssh
https://man.openbsd.org/ssh
https://man.openbsd.org/ssh-keygen
https://man.openbsd.org/ssh-keyscan
http://manpages.ubuntu.com/manpages/xenial/man1/ssh-copy-id.1.html
http://manpages.ubuntu.com/manpages/xenial/man5/ssh_config.5.html
https://stribika.github.io/2015/01/04/secure-secure-shell.html
https://www.openssh.com/manual.html
https://www.openssh.com/specs.html

Schreibe einen Kommentar