KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 4: | Zeile 4: | ||
{{:UTM/AUTH/SSH.lang}} | {{:UTM/AUTH/SSH.lang}} | ||
</div><div class="new_design"></div>{{Select_lang}}{{TOC2}} | |||
</div>{{Select_lang}}{{TOC2 | {{Header|12.6.0| | ||
{{Header| | * {{#var:neu--rwi}} | ||
* {{#var:neu-- | |[[UTM/AUTH/SSH_v12.1 | 12.1]] | ||
|[[UTM/AUTH/SSH_v11.7 | | [[UTM/AUTH/SSH_v11.7 | 11.7]] | ||
|{{Menu-UTM|{{#var:Authentifizierung}}|{{#var:SSH Einstellungen}} }} | |||
}} | }} | ||
---- | ---- | ||
| Zeile 19: | Zeile 20: | ||
---- | ---- | ||
{| class="sptable2 pd5 Einrücken" | |||
{| class="sptable2 pd5" | |||
|- | |- | ||
| class="Leerzeile" colspan="3" | {{h3| {{#var:Einstellungen}} | | | class="Leerzeile" colspan="3" | {{h3| {{#var:Einstellungen}} |{{Kasten| {{#var:Einstellungen}} }} }} | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class=" | | class="Bild" rowspan="9" | {{Bild| {{#var:Sicherheitsstufen--Bild}}| ||{{#var:SSH Einstellungen}}|{{#var:Authentifizierung}}|icon=fa-save}} | ||
|- | |- | ||
| rowspan="4" | {{b| {{#var:Sicherheitsmodus}} }} ||{{Button| {{#var:Mittel}} |dr}} || {{#var:Mittel--desc}} | | rowspan="4" | {{b| {{#var:Sicherheitsmodus}} }} ||{{Button| {{#var:Mittel}} |dr|class=available}} || {{#var:Mittel--desc}} | ||
|- | |- | ||
| {{Button| {{#var:Hoch}} |dr}} || {{#var:Hoch--desc}} | | {{Button| {{#var:Hoch}} |dr|class=available}} || {{#var:Hoch--desc}} | ||
|- | |- | ||
| {{Button| {{#var:Sehr hoch}} |dr}} || {{#var:Sehr hoch--desc}} | | {{Button| {{#var:Sehr hoch}} |dr|class=available}} || {{#var:Sehr hoch--desc}} | ||
|- | |- | ||
| style="min-width: 160px;" | {{Button| {{#var:Benutzerdefiniert}} |dr}} || {{#var:Benutzerdefiniert--desc}} | | style="min-width: 160px;" | {{Button| {{#var:Benutzerdefiniert}} |dr|class=available}} || {{#var:Benutzerdefiniert--desc}} | ||
|- | |- | ||
| {{b| {{#var:nichtauthentifizierte Verbindungen}} }} || {{ic| 10 |c|w=80px}} || {{#var:nichtauthentifizierte Verbindungen--desc}} | | {{b| {{#var:nichtauthentifizierte Verbindungen}} }} || {{ic| 10 |c|w=80px}} || {{#var:nichtauthentifizierte Verbindungen--desc}} | ||
|- | |- | ||
| {{b| {{#var:Anteil verworfene nichtauthentifizierten Verbindungen}} }} || {{ic| 30 |c|w=80px}} || {{#var:Anteil verworfene nichtauthentifizierten Verbindungen--desc}} | | {{b| {{#var:Anteil verworfene nichtauthentifizierten Verbindungen}} }} || {{ic| 30 |c|w=80px}} % || {{#var:Anteil verworfene nichtauthentifizierten Verbindungen--desc}} | ||
|- | |- | ||
| {{b| {{#var:Maximale nichtauthentifizierte Verbindungen}} }} || {{ic| 100 |c|w=80px}} || {{#var:Maximale nichtauthentifizierte Verbindungen--desc}} | | {{b| {{#var:Maximale nichtauthentifizierte Verbindungen}} }} || {{ic| 100 |c|w=80px}} || {{#var:Maximale nichtauthentifizierte Verbindungen--desc}} | ||
|- | |- | ||
| {{b| {{#var:Login Zeit}} }} || {{ic| 120 |c|w=80px}} || {{#var:Login Zeit--desc}} | | {{b| {{#var:Login Zeit}} }} || {{ic| 120 |c|w=80px}} || {{#var:Login Zeit--desc}} | ||
|- class="Leerzeile" | |||
| | |||
|} | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
| class="Leerzeile" colspan="3" |<br> | |||
{{h3| {{#var:Benutzerdefinierte Einstellungen}} | {{Kasten| {{#var:Benutzerdefinierte Einstellungen}} }}}} | |||
|- | |- | ||
| class=" | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
{{ | | class="Bild" rowspan="3" | {{Bild| {{#var:Benutzerdefinierte Einstellungen--Bild}} }} | ||
|- | |- | ||
| rowspan="3" | {{b| {{#var:HMAC-Liste}} }} || {{Button| {{#var:Mittel}} |dr}} <br>{{code| hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1-96,hmac-md5-96 }} || rowspan="3" | {{#var:HMAC-Liste--desc | | rowspan="3" | {{b| {{#var:HMAC-Liste}} }} || {{Button| {{#var:Mittel}} |dr}} <br>{{code| hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1-96,hmac-md5-96 }} || rowspan="3" | {{#var:HMAC-Liste--desc}} | ||
|- | |- | ||
| {{Button| {{#var:Hoch}} |dr}} <br>{{code| hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com }} | | {{Button| {{#var:Hoch}} |dr}} <br>{{code| hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com }} | ||
| Zeile 66: | Zeile 72: | ||
| {{b| {{#var:Root-Zugriff erlauben}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Root-Zugriff erlauben--desc}} | | {{b| {{#var:Root-Zugriff erlauben}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Root-Zugriff erlauben--desc}} | ||
|} | |} | ||
---- | |||
=== {{#var:Root-Zugriff}} === | === {{#var:Root-Zugriff}} === | ||
| Zeile 71: | Zeile 79: | ||
==== {{#var:Root mit Benutzerauthentifizierung}} ==== | ==== {{#var:Root mit Benutzerauthentifizierung}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{Hinweis- | {{Hinweis-box|{{#var:Root mit Benutzerauthentifizierung--desc }}|g|fs__icon=em2}} | ||
</div> | </div> | ||
| Zeile 80: | Zeile 88: | ||
</div> | </div> | ||
{| class="sptable pd5 zh1" | {| class="sptable pd5 zh1 Einrücken" | ||
|- | |- | ||
! {{#var:Schritt}} !! {{#var:desc}} | ! {{#var:Schritt}} !! {{#var:desc}} | ||
| Zeile 110: | Zeile 118: | ||
| rowspan="3" | {{#var:Privaten Schlüssel einbinden}} || <i class="fab fa-windows"></i> {{#var:Privaten Schlüssel einbinden--Win}} || class="bild" rowspan="4" | {{Bild| {{#var:Privaten Schlüssel hinzufügen--PuTTY--Bild}} | {{#var:Privaten Schlüssel hinzufügen--PuTTY--cap}} }}<br>{{Bild| {{#var:PuTTY Configurations Profil--Bild}} | {{#var:PuTTY Configurations Profil--cap}} }} | | rowspan="3" | {{#var:Privaten Schlüssel einbinden}} || <i class="fab fa-windows"></i> {{#var:Privaten Schlüssel einbinden--Win}} || class="bild" rowspan="4" | {{Bild| {{#var:Privaten Schlüssel hinzufügen--PuTTY--Bild}} | {{#var:Privaten Schlüssel hinzufügen--PuTTY--cap}} }}<br>{{Bild| {{#var:PuTTY Configurations Profil--Bild}} | {{#var:PuTTY Configurations Profil--cap}} }} | ||
|- | |- | ||
| | | <li class="list--element__alert list--element__warning">{{#var:Privaten Schlüssel einbinden--PuTTY-Hinweis}}</li> | ||
|- | |- | ||
| <i class="fab fa-linux"></i> {{#var:Privaten Schlüssel einbinden--Linux}} | | <i class="fab fa-linux"></i> {{#var:Privaten Schlüssel einbinden--Linux}} | ||
| Zeile 187: | Zeile 195: | ||
=== {{#var:Hinweis--Sicherheitsvorkehrungen bei Konfigurationstests}} === | === {{#var:Hinweis--Sicherheitsvorkehrungen bei Konfigurationstests}} === | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{Hinweis- | {{Hinweis-box|{{#var:Hinweis--Sicherheitsvorkehrungen bei Konfigurationstests--desc}}|g|fs__icon=em2}} | ||
</div> | </div> | ||
---- | ---- | ||
Version vom 20. Februar 2024, 12:59 Uhr
SSH Zugang zur UTM einrichten
Letzte Anpassung zur Version: 12.6.0
Neu:
- Aktualisierung zum Redesign des Webinterfaces
Dieser Artikel bezieht sich auf eine Beta-Version
Einleitung
Der SSH-Zugang zur UTM kann in drei fest definierten und einer benutzerdefinierten Sicherheitsstufe unter gehärtet werden.
Einstellungen Einstellungen | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAuthentifizierung 
|
|---|---|---|---|
| Sicherheitsmodus: | Standardeinstellungen der UTM, Root Login ist möglich, wenn ein entsprechender User angelegt wurde. | ||
| Längere Host Keys, keine potentiell unsicheren Hash-Algorithmen, kein Root Login, auch wenn ein entsprechender User angelegt wurde. | |||
| Extrem eingeschränkte Liste von Hash-Algorithmen, Verschlüsselungen und Schlüsselaustausch-Algorithmen, kein Root Login, auch wenn ein entsprechender User angelegt wurde. | |||
| Der Benutzer definiert seine Liste von Hash-Algorithmen, Verschlüsselungen und Schlüsselaustausch-Algorithmen, Root Login aktivierbar | |||
| Erlaubte nicht-authentifizierte Verbindungen: | 10 | Menge an gleichzeitig aufgebauten Verbindungen die noch nicht authentifiziert sind. | |
| Anteil der verworfenen nicht-authentifizierten Verbindungen: | 30 % | Prozentualer Anteil der Verbindungen die über den erlaubten unauthentifizierten verworfen werden. | |
| Maximale nicht-authentifizierte Verbindungen: | 100 | Menge an gleichzeitigen Verbindungen, ab denen alle unauthentifizierten verworfen werden. | |
| Login Zeit: | 120 | Zeit in Sekunden, die für die Authentifizierung zur Verfügung steht | |
Benutzerdefinierte Einstellungen Benutzerdefinierte Einstellungen | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| HMAC-Liste: | hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1-96,hmac-md5-96 |
Liste der zugelassenen Keyed-Hash Message Authentication Code Hash-Algorithmen. | |
| hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com | |||
| hmac-sha2-256-etm@openssh.com | |||
| aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se |
Legt fest, welche Verschlüsselungen für SSH zugelassen werden. | ||
| chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr | |||
| chacha20-poly1305@openssh.com | |||
| KEX-Algorithmus: | ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 |
KEX-Algorithmus: | |
| curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256 | |||
| curve25519-sha256@libssh.org | |||
| Root-Zugriff erlauben | Ein | Nur möglich bei oder | |
Root-Zugriff
Root mit Benutzerauthentifizierung
notempty
Hinweis
Es besteht kein Root Zugriff über die Benutzerauthentifizierung im Modus "hoch" und "sehr hoch". Hier ist nur die Authentifizierung per Public Key möglich.
Wird dennoch ein Root Zugriff mit Benutzerauthentifizierung in den Sicherheitsstufen "Hoch" und "Sehr hoch" gewünscht, können die Listen aus diesen Modi im Modus "Benutzerdefiniert" hineinkopiert und Root aktiviert werden.
Es besteht kein Root Zugriff über die Benutzerauthentifizierung im Modus "hoch" und "sehr hoch". Hier ist nur die Authentifizierung per Public Key möglich.
Root Zugriff per Public-Key
Um per ssh-public-key eine Authentifizierung ohne Passwort über eine SSH-Konsole durchzuführen sind folgende Schritte notwendig:
| Schritt | Beschreibung |  |
|---|---|---|
| Erstellen eines SSH-RSA Schlüsselpaares | Dieses kann auf einem Windowssystem mit einem Zusatzprogramm wie z.B. "puttygen" generiert werden. Menü Key Untermenü: Parameters for saving key files. Dort die PPK file version 2 auswählen und speichern.  Abb. 1 Schritt 1: Untermenü "Parameters for key saving files" auswählen  Abb. 2 Schritt 2: "PKK file version" muss auf den Wert "2" gesetzt werden | |
| Auf einem Linux/Unix System steht das Tool "ssh-keygen" zur Verfügung, welches mit der Option ssh-keygen -t rsa ausgeführt wird. | ||
| Speicherort des Schlüssels | Der öffentliche Teil des Schlüssels kann nach der Erstellung mit "puttygen" mit und gespeichert werden, standardmäßig im Dokumenten-Verzeichnis des Windows-Benutzers. | |
| Bei Linux/Unix befindet sich dieser im Benutzerverzeichnis unter /home/benutzer/.ssh/ | ||
| Die PuTTYgen-Datei muss diesbezüglich noch angepasst werden:
Der public-key muss das folgende Format haben: ssh-rsa <public-key> Da sich zwischen "ssh-rsa" und dem Key ein Leerzeichen befindet, muss der gesamte Inhalt in Anführungszeichen gesetzt werden. "ssh-rsa AAAAB3NzaC1....93stGrJPeQ= a.admin@ttt-point.de" | ||
| In der Linuxdatei "id_rsa.pub" ist dieses schon so eingerichtet. | ||
| Den öffentlichen Schlüssel auf die UTM übertragen | Nun wird dieser Schlüssel kopiert und über eine SSH-Konsole mit dem folgenden CLI-Kommando hinzugefügt:
system ssh pubkey new key "ssh-rsa AAAAB3NzaC1....93stGrJPeQ= | |
| RSA-Schlüssel auf der UTM aktivieren | Um den RSA-Schlüssel zu nutzen, wird dieser mit dem folgenden CLI-Kommando aktiviert: system ssh pubkey enable id 1 Die ID dieses Keys kann über das Kommando system ssh pubkey get abgefragt werden. | |
| Authentifizierung per Public-Key aktivieren | Um sich über eine SSH-Konsole per Public-Key Authentifizieren zu können, muss dieses aktiviert werden. Das entsprechende CLI-Kommando auf der UTM lautet: extc global set variable "GLOB_SSH_PUBKEY_AUTH" value 1 Abschließend erfolgt noch eine Aktualisierung des UTM-Systems mit dem CLI-Kommando system update system | |
| Privaten Schlüssel einbinden | Unter PuTTY muss nun noch die Datei mit dem Privaten Schlüssel im Menü Category → Connection → SSH → Auth hinzugefügt werden und im Feld Host Name wird der Benutzer mit übergeben im Format root@<IP-Adresse>. |   |
Mit PuTTY kann im Modus "hoch" und "sehr hoch" keine SSH Sitzung geöffnet werden. Die dort geforderten Key-Exchange Algorithmen werden von PuTTY nicht unterstützt. | ||
| Mit dem SSH-Client unter Linux genügt das Kommando ssh root@<IP-Adresse> da hier der Key an einer definierten Stelle im System abgelegt ist. | ||
CLI
Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem CLI über die nachfolgenden Befehle sichtbar.
extc value get application "sshd"
Das Ergebnis sollte ähnlich wie folgt aussehen:
application|variable |value
-----------+------------------------+-----
sshd |CIPHER_LIST |
|CIPHER_LIST_H |chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
|CIPHER_LIST_M |aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
|CIPHER_LIST_P |chacha20-poly1305@openssh.com
|HMAC_LIST |
|HMAC_LIST_H |hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
|HMAC_LIST_M |hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
|HMAC_LIST_P |hmac-sha2-256-etm@openssh.com
|KEX_LIST |
|KEX_LIST_H |curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
|KEX_LIST_M |ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
|KEX_LIST_P |curve25519-sha256@libssh.org
|LOGIN_GRACE_TIME |10
|PERMIT_ROOT_LOGIN |no
|PERMIT_ROOT_LOGIN_H |no
|PERMIT_ROOT_LOGIN_M |yes
|PERMIT_ROOT_LOGIN_P |no
|RATE_ALLOW_PENDING_CONNS|10
|RATE_MAX_PENDING_CONNS |100
|RATE_START_DROP_CHANCE |30
|SECMODE |2
|USE_HOSTKEY_DSA |0
|USE_HOSTKEY_EC25519 |1
|USE_HOSTKEY_ECDSA |1
|USE_HOSTKEY_RSA |1
|USE_OTP |0
Die Variable SECMODE zeigt an, welche SSH Konfiguration gegenwärtig aktiv ist.
Es gibt vier Konfigurationen, die dieser Variablen zugeordnet werden können:
| value | Bedeutung |
|---|---|
| 0 | Sehr hoch |
| 1 | Hoch |
| 2 | Mittel |
| 3 | Benutzerdefiniert |
Wird die Variable im CLI einer anderen Konfiguration zugeordnet, dann muss diese Anweisung durch den Neustart der Anwendung SSHD aktiviert werden.
extc value set application "sshd" variable SECMODE value 1 appmgmt restart application "sshd"
Hinweis: Sicherheitsvorkehrungen bei Konfigurationstests
notempty
Wird geplant, über das Webinterface oder das CLI, neue Verschlüsselungen oder die SSH Einstellungen zu manipulieren, sollte vor der Umstellung eine SSH-Verbindung zur UTM bestehen. Bestehende SSH-Verbindungen werden nicht durch die Umstellung der Verschlüsselung oder der SSH Einstellungen unterbrochen.