Wie erzwinge ich, dass SSH nur Benutzern mit einem Schlüssel erlaubt, sich anzumelden?

73

Ich habe versucht, die Anweisungen hier zu befolgen : http://lani78.wordpress.com/2008/08/08/generate-a-ssh-key-and-disable-password-authentication-on-ubuntu-server/

um nur Benutzern mit einem öffentlichen Schlüssel auf dem Server die Authentifizierung zu erlauben, aber ich kann SSH nicht dazu bringen, die Anmeldung nur mit einem Benutzernamen / Passwort zu verbieten.

Hier ist meine sshd_config-Datei - fehlt mir etwas? Ich habe bereits versucht, SSH und den Computer selbst neu zu starten.

# Package generated configuration file
# See the sshd_config(5) manpage for details


# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes


# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768


# Logging
SyslogFacility AUTH
LogLevel INFO


# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes


RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile        %h/.ssh/authorized_keys


# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes


# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no


# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no


# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication no


# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes


# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes


X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no


#MaxStartups 10:30:60
#Banner /etc/issue.net


# Allow client to pass locale environment variables
AcceptEnv LANG LC_*


Subsystem sftp /usr/lib/openssh/sftp-server


# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no
ssh sshd user193805
quelle
1
Zu Ihrer Information: Eigentlich ist der sshd-Neustart nicht wirklich notwendig. Der Befehl /etc/inid.d/ssh reload sollte ausreichen.
Oliv
Vergessen Sie nicht, das Kommentarzeichen #AuthorizedKeysFile zu entfernen und den öffentlichen Schlüssel nach ~ / .ssh / authorized_keys zu kopieren (und neu zu starten). Ohne das geht es nicht.
Iwanleoncz
Wenn dies 2016 nicht der Fall war, ist 2019 definitiv ein Neustart erforderlich. Nachladen ist nicht ausreichend.
KDN

Antworten:

98

Standardmäßig PasswordAuthenticationist yes eingestellt , auch wenn Sie es in auskommentieren /etc/ssh/sshd_config.

Sie müssen explizit festlegen PasswordAuthentication no, dass nur die Authentifizierung mit öffentlichem Schlüssel zulässig ist.

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

HINWEIS (man sshd_config): PasswordAuthentication gibt an, ob die Kennwortauthentifizierung zulässig ist. Der Standardwert ist yes.

Und starte sshd service ssh restart(pre systemd migration) oder neu systemctl restart sshd.service.

Terry Wang
quelle
6
Auch wir sollten habenUsePAM no
Konstantinos
@pidosaurus warum? wozu ist es gut?
Jan-Glx
1
@YAK Ich halte die Dinge gerne einfach und bevorzuge es, PAM nicht zu verwenden. Jemand kann jedoch eine ordnungsgemäß konfigurierte PAM-Authentifizierung verwenden. Ich denke, dieser Link ist aufschlussreich: arlimus.github.io/articles/usepam
Konstantinos
1
Deaktivieren Sie ggf. auch ChallengeResponseAuthentication (siehe superuser.com/a/374234/2879) .
6.
13

Entsprechend dieser Wiki-Seite über SSH-Schlüssel und dieser Antwort müssen Sie diese beiden Zeilen in Ihrem ändern sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no
Andy J
quelle
1
Welchen Unterschied macht die zweite Zeile zu Challenge Response?
Ryan Burnette
1
"Es bietet per se keine" zusätzliche Sicherheit ". Der Begriff" ChallengeResponseAuthentication "ist nur ein OpenSSH-Konfigurationsschlüsselwort. Er bezieht sich auf die" keyboard-interactive "userauth-Methode im SSH-Protokoll - Richard Silverman (fixunix.com)
pzkpfw
4

In den /etc/ssh/sshd_configfolgenden Einstellungen hat es bei mir funktioniert:

PasswordAuthentication no
UsePAM no

Starten Sie zum Schluss den sshdDaemon neu.

BTR Naidu
quelle
3

Die gewünschte Zeile ist in der Datei sshd_config standardmäßig auskommentiert.

# Change to no to disable tunnelled clear text passwords
--->#PasswordAuthentication yes

Ändern Sie zum Deaktivieren von Kennwörtern den Wert yesin nound entfernen Sie den Kommentar :

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
Nolan Hergert
quelle
1

von https://www.ssh.com/ssh/copy-id#sec-How-ssh-copy-id-works : Im Allgemeinen sollte das Ausgangsverzeichnis des Benutzers oder eine Datei oder ein Verzeichnis mit Schlüsseldateien von niemand anderem beschreibbar sein . Andernfalls könnte eine andere Person neue autorisierte Schlüssel für den Benutzer hinzufügen und Zugriff erhalten. Private Schlüsseldateien sollten von niemand anderem gelesen werden können.

Versuchen Sie es bei Bedarf mit einem sudo chmod go-rwx /home/username/Ersatz username.

Diego Alonso Reyes Molina
quelle