Wiki-Quellcode von Erweiterte SSH-Einstellungen am Server
Version 15.1 von Christian Germann am 2022/05/23 16:42
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | Ab der Puppet-Version 1.5.x kamen weitere SSH-Einstellungen hinzu, die für die Nutzung unter LogoDIDACT brauchbar sein können. | ||
| 2 | |||
| 3 | {{toc start="4"/}} | ||
| 4 | |||
| 5 | |||
| 6 | ==== __Spezifisch im ldhost__ ==== | ||
| 7 | |||
| 8 | Die hier vorgestellte Option kann im Puppeteer-Container über die YAML-Datei {{box}}/etc/logodidact/hiera.d/custom.d/ldhost.yaml{{/box}} angepasst werden. | ||
| 9 | |||
| 10 | |||
| 11 | Um zwischen internen und externen SSH-Zugriffen unterscheiden zu können, wurde der SSH-Dienst neben Port 22 zusätzlich an den Port 1212 gebunden. Über die nachfolgende Variable ist es möglich, den verwendeten Port 1212 für den SSH-Dienst in der Zone "**extern**" zu ändern. | ||
| 12 | |||
| 13 | {{code language="bash"}} | ||
| 14 | ld_ssh::server::firewall_port: 1212 # Default-Port | ||
| 15 | {{/code}} | ||
| 16 | |||
| 17 | Ergänzend dazu ist eine manuelle Anpassung an der Shorewall rules-Datei für die richtige Zuordnung nötig. Diese Firewall-Regel wird im Artikel "[[SSH-Keys für Fernzugriff am LD-Server hinzufügen>>doc:xwiki:Main.LD Server.Puppet-Version.1\.5\.x.SSH-Keys für Fernzugriff am LD-Server hinzufügen.WebHome]]" genauer beschrieben. | ||
| 18 | |||
| 19 | |||
| 20 | ==== __Gültigkeitsbereich der Einstellung durch Auswahl der Speicherorts festlegen__ ==== | ||
| 21 | |||
| 22 | Der Speicherort der konfigurierten YAML-Datei gibt den Gültigskeitsbereich am Server vor. | ||
| 23 | |||
| 24 | * Um die Einstellung für alle LXC-Container und den ldhost zu verwenden, müssen die Einstellungen in {{box}}/etc/logodidact/hiera/custom.yaml{{/box}} abgespeichert werden | ||
| 25 | * Möchten Sie die Einstellungen auf einen einzelnen LXC-Container einschränken, so müssen die Einstellungen in {{box}}/etc/logodidact/hiera/custom.d/[Name des LXC-Containers].yaml{{/box}} gespeichert werden. | ||
| 26 | * ((( | ||
| 27 | Einstellungen für den ldhost selbst, müssen in folgender Datei {{box}}/etc/logodidact/hiera/custom.d/ldhost.yaml{{/box}} gespeichert werden. | ||
| 28 | |||
| 29 | |||
| 30 | ))) | ||
| 31 | |||
| 32 | ==== __Containerübergreifend nutzbare Einstellungen__ ==== | ||
| 33 | |||
| 34 | Festlegen, ob ein root-Login am Server per SSH erlaubt ist | ||
| 35 | |||
| 36 | {{code language="bash"}} | ||
| 37 | ld_ssh::server::permit_root_login: true / false # Default = true | ||
| 38 | {{/code}} | ||
| 39 | |||
| 40 | |||
| 41 | Authentifizierung neben der Public-Key Methode auch per Passwort zulassen. | ||
| 42 | |||
| 43 | {{code language="bash"}} | ||
| 44 | ld_ssh::server::auth_passwd: true / false # Default = true | ||
| 45 | {{/code}} | ||
| 46 | |||
| 47 | |||
| 48 | Die Bereitstellung von zusätzlichen SSH-Schlüsseln für den externen und internen Zugriff kann über hiera keys aktiviert/deaktiviert werden: | ||
| 49 | |||
| 50 | {{code language="bash"}} | ||
| 51 | ld_ssh::server::authorize::root::extern: true / false # Default = true | ||
| 52 | {{/code}} | ||
| 53 | |||
| 54 | {{code language="bash"}} | ||
| 55 | ld_ssh::server::authorize::root::intern: true / false # Default = true | ||
| 56 | {{/code}} | ||
| 57 | |||
| 58 | Die zusätzlichen SSH-Schlüssel müssen dann in folgenden Verzeichnis abgelegt werden | ||
| 59 | |||
| 60 | {{code language="bash"}} | ||
| 61 | root@puppeteer:~ # /etc/logodidact/ssh/keys/[USERNAME]/[extern,global] | ||
| 62 | {{/code}} | ||
| 63 | |||
| 64 | |||
| 65 | Bei einer längeren SSH-Sitzung kann es vorkommen, dass diese über eine längere Zeit geöffnet ist. Das kann zu einem großen Sicherheitsrisiko führen und wird über einen automatisierten Logout umgangen. | ||
| 66 | |||
| 67 | {{code language="bash"}} | ||
| 68 | # Folgende Standard-Einstellungen können bei Bedarf erhöht werden | ||
| 69 | ld_ssh::server::auto_logout_timeouts: | ||
| 70 | ssh: 12h | ||
| 71 | console: 8h | ||
| 72 | {{/code}} |