Wiki-Quellcode von SSH-Keys für Fernzugriff am LD-Server hinzufügen
Zuletzt geändert von Jonas Mayer am 2022/05/24 19:12
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | (% class="box" %) | ||
| 2 | ((( | ||
| 3 | (% style="color:#000000" %)__**Wichtig!**__(%%) | ||
| 4 | (% style="color:#000000" %)SSH-Keys können ab Puppet-Version >= 1.5 nicht mehr wie gewohnt mit **ssh-copy-id** bzw. in der üblicherweise verwendeten Konfigurationsdatei **authorized_keys** hinterlegt werden. Sie müssen stattdessen über Puppet verteilt werden. | ||
| 5 | ))) | ||
| 6 | |||
| 7 | {{toc start="4"/}} | ||
| 8 | |||
| 9 | |||
| 10 | ---- | ||
| 11 | |||
| 12 | ==== Eigene SSH-Keys für die Anmeldung verwenden ==== | ||
| 13 | |||
| 14 | Kopieren Sie Ihre SSH-Keys als Dateien in folgende Unterverzeichnisse unterhalb von {{box}}/etc/logodidact/ssh/keys/root/{{/box}}, um SSH-Zugriffe über den entsprechenden Zugriffsweg zu ermöglichen: | ||
| 15 | |||
| 16 | * ##extern => nur für Zugriffe von außen (vom Internet kommend)## | ||
| 17 | * ##intern => nur für Zugriffe von intern (lokales Netzwerk)## | ||
| 18 | * ##global => für Zugriff von außen und intern## | ||
| 19 | |||
| 20 | Die SSH Public-Keys, die im entsprechenden Verzeichnis abgespeichert werden, müssen die Dateiendung (% style="color:#2980b9" %)**.pub**(%%) besitzen (für jeden Zugang eine eigene Datei). Der Unterordner {{box}}root{{/box}} im genannten Pfad beschreibt den Benutzer am Server, für den der Login per SSH-Key autorisiert wird. | ||
| 21 | |||
| 22 | |||
| 23 | ---- | ||
| 24 | |||
| 25 | ==== Shorewall für den externen SSH-Zugriff anpassen ==== | ||
| 26 | |||
| 27 | Um zwischen internen und externen SSH-Zugriffen unterscheiden zu können, wurde der SSH-Dienst neben Port 22 zusätzlich an den Port 1212 gebunden. Es ist eine manuelle Anpassung der Shorewall im ldhost nötig (in der Datei {{box}}/etc/shorewall/rules{{/box}}), um die Zuordnung zur entsprechenden Zone während des Verbindungsaufbaus festzulegen: | ||
| 28 | |||
| 29 | Eine der folgenden Regeln muss innerhalb der Shorewall-Konfigurationsdatei **/etc/shorewall/rules** ganz oben im Regelwerk hinzugefügt werden. Die externen SSH-Verbindungsports (22, 2222 oder beide) werden dadurch per Shorewall auf den internen Port 1212 umgeleitet, auf dem der SSH-Dienst mit besonderem Regelwerk konfiguriert ist. | ||
| 30 | |||
| 31 | |||
| 32 | Falls Port 22 als Portweiterleitung am vorgeschalteten Router für den SSH-Fernzugriff eingerichtet ist, verwenden Sie folgende Regel: | ||
| 33 | |||
| 34 | {{code language="bash"}} | ||
| 35 | #ACTION SOURCE DEST PROTO DEST PORT | ||
| 36 | REDIRECT ext 1212 tcp 22 | ||
| 37 | {{/code}} | ||
| 38 | |||
| 39 | Falls Port 2222 als Portweiterleitung am vorgeschalteten Router für den SSH-Fernzugriff eingerichtet ist, verwenden Sie folgende Regel: | ||
| 40 | |||
| 41 | {{code language="bash"}} | ||
| 42 | #ACTION SOURCE DEST PROTO DEST PORT | ||
| 43 | REDIRECT ext 1212 tcp 2222 | ||
| 44 | {{/code}} | ||
| 45 | |||
| 46 | Falls Port 22 und 2222 gleichzeitig als Portweiterleitung am Router eingerichtet sind, verwenden Sie folgende Regel: | ||
| 47 | |||
| 48 | {{code language="bash"}} | ||
| 49 | #ACTION SOURCE DEST PROTO DEST PORT | ||
| 50 | REDIRECT ext 1212 tcp 22,2222 | ||
| 51 | {{/code}} |