Erweiterte SSH-Einstellungen am Server

Ab der Puppet-Version 1.5.x kamen weitere SSH-Einstellungen hinzu, die für die Nutzung unter LogoDIDACT brauchbar sein können.

Spezifisch im ldhost

Die hier vorgestellte Option kann im Puppeteer-Container über die YAML-Datei /etc/logodidact/hiera.d/custom.d/ldhost.yaml angepasst werden.

Um zwischen internen und externen SSH-Zugriffen unterscheiden zu können, wurde der SSH-Dienst neben Port 22 zusätzlich an den Port 1212 gebunden. Über die nachfolgende Variable ist es möglich, den verwendeten Port 1212 für den SSH-Dienst in der Zone "extern" zu ändern.

Ergänzend dazu ist eine manuelle Anpassung an der Shorewall rules-Datei für die richtige Zuordnung nötig. Diese Firewall-Regel wird im Artikel "SSH-Keys für Fernzugriff am LD-Server hinzufügen" genauer beschrieben.

Containerübergreifend nutzbare Einstellungen

Alle unterstützten Variablen müssen in der entsprechenden Datei /etc/logodidact/hiera.d/custom.d/ldhost.yaml angepasst werden.

Festlegen, ob ein root-Login am Server per SSH erlaubt ist

Authentifizierung neben der Public-Key Methode auch per Passwort zulassen.

Getrennte interne/externe autorisierte Schlüssel, um den Zugriff vom WAN zu ermöglichen, legen Sie die Schlüssel in (nur root) puppeteer[-g2]/etc/logodidact/ssh/keys/[USERNAME]/[extern,global] ab

Die Bereitstellung von Schlüsseln kann über hiera keys aktiviert/deaktiviert werden:

Bei einer längeren SSH-Sitzung kann es vorkommen, dass diese über eine längere Zeit geöffnet ist. Das kann zu einem großen Sicherheitsrisiko führen und wird über einen automatisierten Logout umgangen.