Wiki-Quellcode von SSH-Keys für Fernzugriff am LD-Server hinzufügen
Version 13.1 von jonasmayer@sbede am 2022/05/24 09:37
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | ==== Eigene SSH-Keys für die Anmeldung verwenden ==== | ||
| 2 | |||
| 3 | (% class="box" %) | ||
| 4 | ((( | ||
| 5 | (% style="color:#000000" %)__**Wichtig!**__(%%) | ||
| 6 | (% style="color:#000000" %)SSH-Keys können ab Puppet-Version >= 1.5 nicht mehr wie gewohnt mit **ssh-copy-id** bzw. in der üblicherweise verwendeten Konfigurationsdatei **authorized_keys** hinterlegt werden. Sie müssen stattdessen über Puppet verteilt werden. | ||
| 7 | ))) | ||
| 8 | |||
| 9 | Kopieren Sie Ihre SSH-Keys als Dateien in folgende Unterverzeichnisse unter {{box}}/etc/logodidact/ssh/keys/root/{{/box}}, um SSH-Zugriffe über den entsprechenden Zugriffsweg zu ermöglichen: | ||
| 10 | |||
| 11 | * ##extern => nur für Zugriffe von außen (vom Internet kommend)## | ||
| 12 | * ##intern => nur für Zugriffe von intern (lokales Netzwerk)## | ||
| 13 | * ##global => für Zugriff von außen und intern## | ||
| 14 | |||
| 15 | Die SSH Public-Keys, die im entsprechenden Verzeichnis abgespeichert werden, müssen die Dateiendung (% style="color:#2980b9" %)**.pub**(%%) besitzen (für jeden Zugang eine eigene Datei). Der Unterordner {{box}}root{{/box}} im genannten Pfad beschreibt den Benutzer am Server, für den der Login per SSH-Key autorisiert wird. | ||
| 16 | |||
| 17 | |||
| 18 | ==== Shorewall für den externen SSH-Zugriff anpassen ==== | ||
| 19 | |||
| 20 | Um zwischen internen und externen SSH-Zugriffen unterscheiden zu können, wurde der SSH-Dienst neben Port 22 zusätzlich an den Port 1212 gebunden. Es ist eine manuelle Anpassung der Shorewall im ldhost nötig (in der Datei {{box}}/etc/shorewall/rules{{/box}}), um die Zuordnung zur entsprechenden Zone während des Verbindungsaufbaus festzulegen: | ||
| 21 | |||
| 22 | Eine der folgenden Regeln muss innerhalb der Shorewall-Konfigurationsdatei **/etc/shorewall/rules** ganz oben im Regelwerk hinzugefügt werden. Die externen SSH-Verbindungsports (22, 2222 oder beide) werden dadurch per Shorewall auf den internen Port 1212 umgeleitet, auf dem der SSH-Dienst mit besonderem Regelwerk konfiguriert ist. | ||
| 23 | |||
| 24 | |||
| 25 | Falls Port 22 als Portweiterleitung am vorgeschalteten Router für den SSH-Fernzugriff eingerichtet ist, verwenden Sie folgende Regel: | ||
| 26 | |||
| 27 | {{code language="bash"}} | ||
| 28 | #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME HEADERS SWITCH HELPER | ||
| 29 | # PORT PORT(S) DEST LIMIT GROUP | ||
| 30 | REDIRECT ext 1212 tcp 22 | ||
| 31 | {{/code}} | ||
| 32 | |||
| 33 | Falls Port 2222 als Portweiterleitung am vorgeschalteten Router für den SSH-Fernzugriff eingerichtet ist, verwenden Sie folgende Regel: | ||
| 34 | |||
| 35 | {{code language="bash"}} | ||
| 36 | #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME HEADERS SWITCH HELPER | ||
| 37 | # PORT PORT(S) DEST LIMIT GROUP | ||
| 38 | REDIRECT ext 1212 tcp 2222 | ||
| 39 | {{/code}} | ||
| 40 | |||
| 41 | Falls Port 22 und 2222 gleichzeitig als Portweiterleitung am Router eingerichtet sind, verwenden Sie folgende Regel: | ||
| 42 | |||
| 43 | {{code language="bash"}} | ||
| 44 | #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME HEADERS SWITCH HELPER | ||
| 45 | # PORT PORT(S) DEST LIMIT GROUP | ||
| 46 | REDIRECT ext 1212 tcp 22,2222 | ||
| 47 | {{/code}} |