Zum Hauptinhalt springen

SSH konfigurieren und verwenden

Alle dedizierten ARM-Linux-Server von OakHost werden mit vorinstalliertem und konfiguriertem SSH geliefert. Standardmäßig wird ein Root-Zugang mit einem zufälligen Passwort bereitgestellt, damit Sie sofort loslegen können. Obwohl es verschlüsselt ist, kann das Standardpasswort über das Kundenpanel für die Erstkonfiguration eingesehen werden. Es wird daher dringend empfohlen, das Passwort zu ändern, sobald Sie sich zum ersten Mal mit Ihrem Server verbinden.

Für zusätzliche Sicherheit empfehlen wir außerdem, die SSH-Authentifizierung mit öffentlichem/privatem Schlüssel zu aktivieren, die Passwortanmeldung zu deaktivieren und dem Root-Benutzer die Anmeldung über SSH komplett zu verbieten. Bitte lesen Sie weiter, um mehr über diese bewährten Verfahren zu erfahren.

Verbinden über SSH#

Um sich zunächst mit Ihrem OakHost-Server zu verbinden, navigieren Sie zum Kundenpanel, klicken Sie auf Ihren Server und wählen Sie dann die Registerkarte Fernzugriff. Dort finden Sie Ihre anfänglichen Anmeldedaten.

Sie benötigen einen SSH-Client, um sich mit dem Server zu verbinden. Unter macOS oder Linux ist dieser Client bereits vorinstalliert und kann über die Terminal-Anwendung aufgerufen werden. Kopieren Sie einfach die Zeile, die mit ssh root@... beginnt, aus dem Kundenpanel. Wenn Sie zur Eingabe eines Passworts aufgefordert werden, geben Sie das angegebene Anfangspasswort ein. Machen Sie sich keine Sorgen, wenn es während der Eingabe nicht auf dem Bildschirm angezeigt wird.

Unter Windows haben Sie mehrere Möglichkeiten, um fortzufahren. Sie können entweder Windows Subsystem for Linux installieren und wie oben beschrieben vorgehen, was wir empfehlen würden, oder Sie können einen externen SSH-Client wie PuTTY verwenden.

Ändern des Root-Passworts#

Sobald Sie mit Ihrem Server verbunden sind, ist das Ändern des Benutzerpassworts sehr einfach. Geben Sie einfach den folgenden Befehl ein und bestätigen Sie mit der Enter-Taste:

passwd

Sie werden aufgefordert, ein neues Passwort einzugeben und es einmal zu bestätigen. Machen Sie sich keine Sorgen, wenn das Passwort nicht auf dem Bildschirm angezeigt wird, es wird trotzdem registriert.

Überprüfen Sie anschließend, ob das Kennwort funktioniert, indem Sie eine neue SSH-Verbindung mit dem neuen Kennwort einrichten. Wir empfehlen, die alte Verbindung offen zu halten, für den Fall, dass das Passwort nicht funktioniert.

Root-Anmeldung über SSH verbieten#

Um die Sicherheit zu erhöhen, sollte der Root-Benutzer nicht die Möglichkeit haben, sich direkt über SSH zu verbinden. Stattdessen sollten Sie einen neuen Benutzer anlegen und diesen Benutzer dann verwenden, um bei Bedarf zum Root-Benutzer zu wechseln (sudo).

  1. Legen Sie zunächst einen neuen Benutzer an, der für die Anmeldung verwendet werden soll. Sie können einen beliebigen Namen wählen, solange er keine Sonderzeichen oder Leerzeichen enthält. Geben Sie den folgenden Befehl ein, drücken Sie die Eingabetaste und gehen Sie durch den Assistenten. Es wird auch nach einem neuen Passwort gefragt. Dieses wird später verwendet, um sich mit sudo in den Benutzer root einzuloggen.
adduser myuser
  1. Als nächstes fügen Sie den neu erstellten Benutzer zur Gruppe sudo hinzu. Dies ist notwendig, damit Sie später zum Benutzer root wechseln können. Stellen Sie sicher, dass Sie myuser durch den Benutzernamen ersetzen, den Sie oben gewählt haben.
usermod -a -G sudo myuser
  1. Sobald der Benutzer eingerichtet ist, müssen wir dem Root-Benutzer verbieten, sich über SSH anzumelden. Dazu öffnen Sie die SSH-Konfiguration mit einem Texteditor. Zum Beispiel mit nano:
nano /etc/ssh/sshd_config
  1. Suchen Sie die folgende Zeile (wahrscheinlich am Ende der Datei), und ändern Sie no in yes, und fügen Sie eine AllowUsers Zeile darunter ein:
# Suchen:
PermitRootLogin yes
# Ändern:
PermitRootLogin no
AllowUsers myuser

  1. Speichern Sie die Datei, indem Sie Strg+X und dann y drücken, um die Änderungen zu bestätigen.

  2. Starten Sie den SSH-Server neu, um die neue Konfigurationsdatei anzuwenden, indem Sie den folgenden Befehl verwenden:

service ssh restart
caution

Bitte lassen Sie die SSH-Verbindung offen, falls etwas schief geht. Andernfalls können Sie den Zugriff auf Ihren Server verlieren.

  1. Testen Sie Ihre Änderungen, indem Sie eine neue Verbindung über SSH öffnen. Dieses Mal sollten Sie sich nicht als root anmelden können. Versuchen Sie also anstelle von root@..:
ssh myuser@[ihre-ip]
  1. Wenn alles richtig eingerichtet ist, sollten Sie sich mit dem neu gewählten Passwort und Benutzernamen anmelden können. Prüfen Sie abschließend, ob Sie in der Lage sind, mit sudo auf den root-Benutzer zuzugreifen:
sudo su
  1. Dies sollte nach einem Passwort fragen. Es ist das gleiche Passwort, das Sie für die Anmeldung über SSH verwendet haben. Danach sollten Sie nun root sein. Prüfen Sie das, indem Sie eingeben:
whoami

Es sollte root zurückgeben.

SSH-Anmeldung per Passwort verbieten#

Der letzte Schritt zur Absicherung Ihres SSH-Zugangs besteht darin, die Anmeldung per Passwort komplett zu deaktivieren. Bei Passwörtern besteht immer die Möglichkeit, dass sie von einem Angreifer erraten werden können. Um dies zu vermeiden, erlaubt SSH die Anmeldung über SSH-Schlüssel, die aus zwei Dateien bestehen. Eine, die einen privaten Schlüssel enthält, der sich auf dem verbindenden Gerät befindet, und eine, die einen öffentlichen Schlüssel enthält, der auf dem Server abgelegt wird. Auf diese Weise kann immer eine sichere Verbindung hergestellt werden, ohne dass ein Passwort benötigt wird.

  1. Zunächst müssen Sie ein Schlüsselpaar aus öffentlichem und privatem Schlüssel erzeugen, das wir für die Verbindung mit dem Server verwenden werden. Führen Sie dazu den folgenden Befehl auf Ihrem Client-PC, NICHT auf dem Server aus:
# Führen Sie auf Ihrem PC aus:
ssh-keygen
  1. Bestätigen Sie die Standardwerte. Wenn Sie möchten, können Sie ein Passwort angeben. Dieses wird dann bei jeder Verbindung zur Entschlüsselung Ihres privaten Schlüssels verwendet. Dies ist jedoch optional und kann leer gelassen werden.
caution

Ihre SSH-Schlüsseldatei ist nun am angegebenen Ort erzeugt worden (standardmäßig in Ihrem Home-Ordner in einem versteckten .ssh-Verzeichnis). Stellen Sie sicher, dass Sie diesen Schlüssel nicht verlieren oder weitergeben. Sonst geht der Zugriff auf Ihren Server verloren. Es besteht jedoch jederzeit die Möglichkeit, weitere SSH-Schlüssel hinzuzufügen, solange Sie noch Zugriff auf Ihren Server haben.

  1. Nun müssen wir den neu erzeugten öffentlichen Schlüssel auf den Server kopieren. Dadurch wird dieser Schlüssel (und damit Sie) für den Zugriff auf den Server autorisiert. Führen Sie auf Ihrem PC den folgenden Befehl aus:
# Führen Sie auf Ihrem PC aus:
ssh-copy-id myuser@[ihre-ip]

Ersetzen Sie myuser durch den auf Ihrem Server angelegten Benutzernamen und [ihre-ip] durch die IP-Adresse des Servers.

  1. Damit sollten Sie bereits Zugriff auf Ihren Server haben, ohne dass Sie das Benutzerpasswort benötigen. Versuchen Sie, sich über SSH zu verbinden, wie Sie es normalerweise tun würden, und überprüfen Sie, ob Ihr Benutzerkennwort nicht abgefragt wird. Wenn Sie sich bei der Erzeugung des SSH-Schlüssels für die Eingabe eines Passworts entschieden haben, werden Sie stattdessen nach diesem Passwort gefragt.

  2. Wenn Sie verbunden sind, geben Sie den folgenden Befehl ein, um zu überprüfen, ob der Schlüssel korrekt platziert wurde:

cat .ssh/authorized_keys

Es sollte eine lange Zeichenkette mit zufälligen Zeichen zurückgegeben werden, die mit ssh-rsa beginnt und mit etwas endet, das wie eine E-Mail-Adresse aussieht. Zum Beispiel:

$ cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCbFkMavQRMKwXo7jdF3DJIeS07N9BP8OBdohEAhK0DbN2hWWu2lXlwYlkM2uY35SSGR1RguP27QaoalntsD1jFQl36uQOybhwB5/b3vu9bBmVa0IxC6sANEpH+xVl/g4AC/SOG7iEwZinOYcrHTHnjYLIJ41wevISa0jqq7RBvYokuh/pEgKm/TyH3esNtgX4gZbr/H4v5v8wKHtPPxEy2EeY5lRmj/ldGmK0lGgyr8hQ8wNjV+19YkjRI6Oj5Sm60qZcxLx1dWRopIdwbGXrcd7zcUuwVGANyNXmMNeOHD5GlR+u95u9JNQPcI/GIycJ5Ko+xCIJ6pifvbVND9Pnz [email protected]
  1. Zu guter Letzt müssen wir die Passwortanmeldung über SSH deaktivieren. Andernfalls könnte ein böswilliger Angreifer immer noch in der Lage sein, das Passwort zu erraten, auch wenn Sie einen Schlüssel zur Anmeldung verwenden.

Dazu öffnen Sie wieder die SSH-Konfiguration mit einem Texteditor:

nano /etc/ssh/sshd_config

Nun sollten Sie nach einer Zeile suchen, die mit PasswordAuthentication beginnt und deren Wert von yes auf no ändern. Wenn Sie sie nicht finden können, fügen Sie sie einfach am Ende der Datei ein.

# Suchen:
PasswordAuthentication yes
# Ändern:
PasswordAuthentication no

Speichern Sie die Datei erneut, indem Sie Strg+X und dann y drücken, um die Änderungen zu bestätigen, und starten Sie dann den SSH-Server neu:

service ssh restart
caution

Bitte lassen Sie die SSH-Verbindung offen, für den Fall, dass etwas schief geht. Andernfalls können Sie den Zugriff auf Ihren Server verlieren.

  1. Versuchen Sie zum Abschluss noch einmal, sich über SSH mit einer neuen Verbindung anzumelden. Wenn es funktioniert, sollte alles korrekt eingerichtet sein. Wenn die Anmeldung fehlschlägt, versuchen Sie, die Änderungen an der SSH-Konfigurationsdatei rückgängig zu machen, und starten Sie den SSH-Server noch einmal neu.