Sziasztok! Egy SSH-szervert akarok beüzemelni. Az interneten nagyon sok leírás van, de magyarúl nincs egy normális leírás, dokumentáció. Amiket eddig össze gyűjtöttem. - Port változtatás # What ports, IPs and protocols we listen for Port 1848 # Authentication: LoginGraceTime 120 PermitRootLogin no StrictModes yes Védelmi, riasztó programok: - denyhosts - logwatch - fil2ban Kérdésem az lenne mit érdemes még beállítani az sshd_config fájlban? Illetve milyen biztonsági programokat ajánlotok? A gép otthoni ADSL router mögött lenne. Feladata SSH- keresztűl fájlok le/fel töltése. A szerveren csak 1 felhasználó lenne. Segítségeteket előre is köszönöm.

RSA kulcs használatával növelheted a biztonságot. (min 1024 bit.) Illetve ha paranoiás vagy használj telefonos ssh google authenticator-t. :)

    PhaceRSA kulcs az hogyan is működik? Ha jól tudom akkor csak dedikált eszközökről lehet elérni. De lehet hibásak az információim, javíts ki ha rosszúl tudom. Ha rosszak az információim, akkor leírnád hogyan tudom ezt megvalósítani?

        laci1111Így működik az RSA eljárás: http://hu.wikipedia.org/wiki/RSA-elj%C3%A1r%C3%A1s Itt pedig egy nagyon jó leírás, hogyan telepítheted: http://www.debuntu.org/ssh-key-based-authentication Dedikált... Szerintem te kevered az SSL-el.

            PhaceÉn ezt az rsa beállítást nem értem. Generáltam kulcsot, beállítottam a sshd_config fájlt. és Permission denied (publickey). választ kapok. Én nem csak 1 gépről, és címről akarok belépni. Mit csináltam rosszúl?

                laci1111Valószínűleg a jogokat nem állítottad be megfelelően. chmod go-w ~/ chmod 600 ~/.ssh/authorized_keys chmod 700 ~/.ssh

                    AllowUsers - csak az itt felsoroltakkal engedi az ssh logint.

                    Ennyivel később: 5 nap

                    Phacena igen sikeresen összejött 1 gépen a kapcsolat, de mi van ha én több gépről akarok belépni. Hogyan tudom megvalósítani, hiszen a generált id ugyan olyan nevűek lennének. vagy csináljak még 2 ./ssh könyvtárat és az tegyem élesbe amiről be akarok jelentkezni? a többi meg old_1.ssh ? Bele hülyülnék. Vagy van egy egyszerűbb megoldás, csak az én figyelmemet kerülte le? Ha igen, megosztanátok velem?

                    • trt válaszolt erre.

                        laci1111Be lehet lépni több gépről is, és ugyanarról a gépről is többször egymás után. Próbáld ki több terminálablakban. A generált kulcspároknak nincs közük a géphez, csak a kapcsolathoz. Kicsit olvasgass utána.

                            trtRendben, igazad van. már megy 2db gépen, már csak 1 van, az meg windows 7 putty, és csak akkor engedi a csatlakozást ha megadom a jelszót is. Ebben segíts még nekem, mert ezt végkép nem értem. Azt se hogy miért kéri a jelszót. Ez is valami jogosultság lehet?

                                trtUraim, köszönöm mindenki segítségét, megy ahogy mennie kell. Windows alatt is megoldva, újra kellet konvertálni a puttygen -el a meglévő fájlt.

                                  laci1111A putty-nak meg kell mondani, hogy kulcspárokkal történik a hitelesítés. A szerveren kapcsold ki a jelszavas hitelesítést: PasswordAuthentication no

                                    + Korlátozd le a kapcsolódásra engedélyezett ip-címeket csak arra az ip-tartományra, esetleg pontos ip-címekre, amelyekről be akarsz jelentkezni, fail2ban kötelező, ahogy RSA kulccsal azonosítás is (és nem üres jelszóval a kulcson!!!)

                                      laci1111Fail2ban. Az iptables-t használ. A Denyhosts a tcp_wrappers -re épül, mi 1997 áprilisa óta nem látott újabb kiadást. Manapság már nem is minden támogatja. ArchLinux-on már dobták is.

                                        Ennyivel később: 2 hónap

                                        Az sshfs-t hasznalo usernek rbash-t adni bash helyett, es igen: iptablessel szurd ip-re az elerest! A fail2ban nagyszeru!

                                        Ennyivel később: 10 év