Wiki-Quellcode von SSH-Keys für Fernzugriff am LD-Server hinzufügen
Zuletzt geändert von Jonas Mayer am 2022/05/24 19:12
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
15.1 | 1 | (% class="box" %) |
| 2 | ((( | ||
| 3 | (% style="color:#000000" %)__**Wichtig!**__(%%) | ||
| 4 | (% style="color:#000000" %)SSH-Keys können ab Puppet-Version >= 1.5 nicht mehr wie gewohnt mit **ssh-copy-id** bzw. in der üblicherweise verwendeten Konfigurationsdatei **authorized_keys** hinterlegt werden. Sie müssen stattdessen über Puppet verteilt werden. | ||
| 5 | ))) | ||
| 6 | |||
| |
14.1 | 7 | {{toc start="4"/}} |
| 8 | |||
| 9 | |||
| 10 | ---- | ||
| 11 | |||
| |
11.1 | 12 | ==== Eigene SSH-Keys für die Anmeldung verwenden ==== |
| |
1.1 | 13 | |
| |
17.1 | 14 | Kopieren Sie Ihre SSH-Keys als Dateien in folgende Unterverzeichnisse unterhalb von {{box}}/etc/logodidact/ssh/keys/root/{{/box}}, um SSH-Zugriffe über den entsprechenden Zugriffsweg zu ermöglichen: |
| |
2.1 | 15 | |
| |
13.1 | 16 | * ##extern => nur für Zugriffe von außen (vom Internet kommend)## |
| 17 | * ##intern => nur für Zugriffe von intern (lokales Netzwerk)## | ||
| 18 | * ##global => für Zugriff von außen und intern## | ||
| |
2.1 | 19 | |
| |
7.1 | 20 | Die SSH Public-Keys, die im entsprechenden Verzeichnis abgespeichert werden, müssen die Dateiendung (% style="color:#2980b9" %)**.pub**(%%) besitzen (für jeden Zugang eine eigene Datei). Der Unterordner {{box}}root{{/box}} im genannten Pfad beschreibt den Benutzer am Server, für den der Login per SSH-Key autorisiert wird. |
| |
2.1 | 21 | |
| 22 | |||
| |
14.1 | 23 | ---- |
| 24 | |||
| |
1.1 | 25 | ==== Shorewall für den externen SSH-Zugriff anpassen ==== |
| 26 | |||
| |
6.1 | 27 | Um zwischen internen und externen SSH-Zugriffen unterscheiden zu können, wurde der SSH-Dienst neben Port 22 zusätzlich an den Port 1212 gebunden. Es ist eine manuelle Anpassung der Shorewall im ldhost nötig (in der Datei {{box}}/etc/shorewall/rules{{/box}}), um die Zuordnung zur entsprechenden Zone während des Verbindungsaufbaus festzulegen: |
| |
1.1 | 28 | |
| |
11.1 | 29 | Eine der folgenden Regeln muss innerhalb der Shorewall-Konfigurationsdatei **/etc/shorewall/rules** ganz oben im Regelwerk hinzugefügt werden. Die externen SSH-Verbindungsports (22, 2222 oder beide) werden dadurch per Shorewall auf den internen Port 1212 umgeleitet, auf dem der SSH-Dienst mit besonderem Regelwerk konfiguriert ist. |
| |
1.1 | 30 | |
| 31 | |||
| |
12.1 | 32 | Falls Port 22 als Portweiterleitung am vorgeschalteten Router für den SSH-Fernzugriff eingerichtet ist, verwenden Sie folgende Regel: |
| 33 | |||
| |
7.1 | 34 | {{code language="bash"}} |
| |
16.1 | 35 | #ACTION SOURCE DEST PROTO DEST PORT |
| |
12.1 | 36 | REDIRECT ext 1212 tcp 22 |
| |
7.1 | 37 | {{/code}} |
| |
10.1 | 38 | |
| |
12.1 | 39 | Falls Port 2222 als Portweiterleitung am vorgeschalteten Router für den SSH-Fernzugriff eingerichtet ist, verwenden Sie folgende Regel: |
| 40 | |||
| |
9.1 | 41 | {{code language="bash"}} |
| |
16.1 | 42 | #ACTION SOURCE DEST PROTO DEST PORT |
| |
12.1 | 43 | REDIRECT ext 1212 tcp 2222 |
| |
9.1 | 44 | {{/code}} |
| |
8.1 | 45 | |
| |
12.1 | 46 | Falls Port 22 und 2222 gleichzeitig als Portweiterleitung am Router eingerichtet sind, verwenden Sie folgende Regel: |
| 47 | |||
| |
8.1 | 48 | {{code language="bash"}} |
| |
16.1 | 49 | #ACTION SOURCE DEST PROTO DEST PORT |
| |
12.1 | 50 | REDIRECT ext 1212 tcp 22,2222 |
| |
8.1 | 51 | {{/code}} |