(Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{:UTM/AUTH/SSH.lang}} </div>{{DISPLAYTITLE:{{#var:display}} }}{{Select_lang}}{{TOC2|class=col-md-9}} <p>…“) |
KKeine Bearbeitungszusammenfassung |
||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 4: | Zeile 4: | ||
{{:UTM/AUTH/SSH.lang}} | {{:UTM/AUTH/SSH.lang}} | ||
</div><div class="new_design"></div>{{Select_lang}}{{TOC2}} | |||
{{Header|12.6.0| | |||
* {{#var:neu--rwi}} | |||
|[[UTM/AUTH/SSH_v12.1 | 12.1]] | |||
[[UTM/AUTH/SSH_v11.7 | 11.7]] | |||
|{{Menu-UTM|{{#var:Authentifizierung}}|{{#var:SSH Einstellungen}} }} | |||
}} | |||
---- | |||
=== {{#var:Einleitung}} === | === {{#var:Einleitung}} === | ||
<div class="Einrücken"> | |||
{{#var:Einleitung--desc}} | {{#var:Einleitung--desc}} | ||
<br clear=all> | </div> <br clear=all> | ||
---- | ---- | ||
{| class="sptable2 pd5" | {| class="sptable2 pd5 Einrücken" | ||
|- | |- | ||
| class="Leerzeile" colspan="3" | {{h3| {{#var:Einstellungen}} | | | class="Leerzeile" colspan="3" | {{h3| {{#var:Einstellungen}} |{{Kasten| {{#var:Einstellungen}} }} }} | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="9" | {{Bild| {{#var:Sicherheitsstufen--Bild}}| ||{{#var:SSH Einstellungen}}|{{#var:Authentifizierung}}|icon=fa-save}} | |||
|- | |- | ||
| rowspan="4" | {{b| {{#var: | | rowspan="4" | {{b| {{#var:Sicherheitsmodus}} }} ||{{Button| {{#var:Mittel}} |dr|class=available}} || {{#var:Mittel--desc}} | ||
|- | |- | ||
| {{Button| {{#var:Hoch}} |dr}} || {{#var:Hoch--desc}} | | {{Button| {{#var:Hoch}} |dr|class=available}} || {{#var:Hoch--desc}} | ||
|- | |- | ||
| {{Button| {{#var:Sehr hoch}} |dr}} || {{#var:Sehr hoch--desc}} | | {{Button| {{#var:Sehr hoch}} |dr|class=available}} || {{#var:Sehr hoch--desc}} | ||
|- | |- | ||
| style="min-width: 160px;" | {{Button| {{#var:Benutzerdefiniert}} |dr}} || {{#var:Benutzerdefiniert--desc}} | | style="min-width: 160px;" | {{Button| {{#var:Benutzerdefiniert}} |dr|class=available}} || {{#var:Benutzerdefiniert--desc}} | ||
|- | |- | ||
| {{b| {{#var:nichtauthentifizierte Verbindungen}} }} || {{ic| 10 |c|w=80px}} || {{#var:nichtauthentifizierte Verbindungen--desc}} | | {{b| {{#var:nichtauthentifizierte Verbindungen}} }} || {{ic| 10 |c|w=80px}} || {{#var:nichtauthentifizierte Verbindungen--desc}} | ||
|- | |- | ||
| {{b| {{#var:Anteil verworfene nichtauthentifizierten Verbindungen}} }} || {{ic| 30 |c|w=80px}} || {{#var:Anteil verworfene nichtauthentifizierten Verbindungen--desc}} | | {{b| {{#var:Anteil verworfene nichtauthentifizierten Verbindungen}} }} || {{ic| 30 |c|w=80px}} % || {{#var:Anteil verworfene nichtauthentifizierten Verbindungen--desc}} | ||
|- | |- | ||
| {{b| {{#var:Maximale nichtauthentifizierte Verbindungen}} }} || {{ic| 100 |c|w=80px}} || {{#var:Maximale nichtauthentifizierte Verbindungen--desc}} | | {{b| {{#var:Maximale nichtauthentifizierte Verbindungen}} }} || {{ic| 100 |c|w=80px}} || {{#var:Maximale nichtauthentifizierte Verbindungen--desc}} | ||
|- | |- | ||
| {{b| {{#var:Login Zeit}} }} || {{ic| 120 |c|w=80px}} || {{#var:Login Zeit--desc}} | | {{b| {{#var:Login Zeit}} }} || {{ic| 120 |c|w=80px}} || {{#var:Login Zeit--desc}} | ||
|- class="Leerzeile" | |||
| | |||
|} | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
| class="Leerzeile" colspan="3" |<br> | |||
{{h3| {{#var:Benutzerdefinierte Einstellungen}} | {{Kasten| {{#var:Benutzerdefinierte Einstellungen}} }}}} | |||
|- | |- | ||
| class=" | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
{{ | | class="Bild" rowspan="3" | {{Bild| {{#var:Benutzerdefinierte Einstellungen--Bild}} }} | ||
|- | |- | ||
| rowspan="3" | {{b| {{#var:HMAC-Liste}} }} || {{Button| {{#var:Mittel}} |dr}} <br>{{code| hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1-96,hmac-md5-96 }} || rowspan="3" | {{#var:HMAC-Liste--desc | | rowspan="3" | {{b| {{#var:HMAC-Liste}} }} || {{Button| {{#var:Mittel}} |dr}} <br>{{code| hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1-96,hmac-md5-96 }} || rowspan="3" | {{#var:HMAC-Liste--desc}} | ||
|- | |- | ||
| {{Button| {{#var:Hoch}} |dr}} <br>{{code| hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com }} | | {{Button| {{#var:Hoch}} |dr}} <br>{{code| hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com }} | ||
Zeile 67: | Zeile 72: | ||
| {{b| {{#var:Root-Zugriff erlauben}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Root-Zugriff erlauben--desc}} | | {{b| {{#var:Root-Zugriff erlauben}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Root-Zugriff erlauben--desc}} | ||
|} | |} | ||
---- | |||
=== {{#var:Root-Zugriff}} === | === {{#var:Root-Zugriff}} === | ||
==== {{#var:Root mit Benutzerauthentifizierung}} ==== | ==== {{#var:Root mit Benutzerauthentifizierung}} ==== | ||
{{Hinweis| | <div class="Einrücken"> | ||
{{Hinweis-box|{{#var:Root mit Benutzerauthentifizierung--desc }}|g|fs__icon=em2}} | |||
</div> | |||
==== {{#var:Root Zugriff per Public-Key}} ==== | ==== {{#var:Root Zugriff per Public-Key}} ==== | ||
{{#var:Root Zugriff per Public-Key--desc}}< | <div class="Einrücken"> | ||
{{#var:Root Zugriff per Public-Key--desc}} | |||
</div> | |||
{| class="sptable pd5 zh1 Einrücken" | |||
{| class="sptable pd5 zh1" | |||
|- | |- | ||
! {{#var:Schritt}} !! {{#var:desc}} | ! {{#var:Schritt}} !! {{#var:desc}} | ||
| class="bild" rowspan="7" | {{Bild| {{#var:PuTTY Key Generator--Bild}}|{{#var:PuTTY Key Generator--cap}} }} | |||
|- | |- | ||
| rowspan="2" | {{#var:SSH-RSA Schlüsselpaar erstellen}} || <i class="fab fa-windows"></i> {{#var:SSH-RSA Schlüsselpaar erstellen--win}} | | rowspan="2" | {{#var:SSH-RSA Schlüsselpaar erstellen}} || <i class="fab fa-windows"></i> {{#var:SSH-RSA Schlüsselpaar erstellen--win}} <li class="list--element__alert list--element__warning" id=PuTTY>{{#var:Anpassung PuTTY Key}}</li> | ||
{{Einblenden|{{#var:Schritt-für-Schritt-Anleitung anzeigen}}|{{#var:hide}}|bigdezent}} | |||
{{Gallery3 | PuTTY Key Generatir - Key - Parameters for saving key files.png | {{#var:Neuere Version PuTTY Key Generator Schritt 1--desc}} | Abb1={{#var:Abb}} 1 | |||
| PuTTYgen - Private Key File Parameteres.png | {{#var:Neuere Version PuTTY Key Generator Schritt 2--desc}} | Abb2={{#var:Abb}} 2 | |||
| i=2}} | |||
|- | |- | ||
| <i class="fab fa-linux"></i> {{#var:SSH-RSA Schlüsselpaar erstellen--linux}} | | <i class="fab fa-linux"></i> {{#var:SSH-RSA Schlüsselpaar erstellen--linux}} | ||
Zeile 102: | Zeile 116: | ||
| {{#var:Public-Key aktivieren}} || {{#var:Public-Key aktivieren--desc}} | | {{#var:Public-Key aktivieren}} || {{#var:Public-Key aktivieren--desc}} | ||
|- | |- | ||
| rowspan="3" | {{#var:Privaten Schlüssel einbinden}} || <i class="fab fa-windows"></i> {{#var:Privaten Schlüssel einbinden--Win}} || class="bild" rowspan="4" | {{Bild| {{#var:Privaten Schlüssel hinzufügen-- | | rowspan="3" | {{#var:Privaten Schlüssel einbinden}} || <i class="fab fa-windows"></i> {{#var:Privaten Schlüssel einbinden--Win}} || class="bild" rowspan="4" | {{Bild| {{#var:Privaten Schlüssel hinzufügen--PuTTY--Bild}} | {{#var:Privaten Schlüssel hinzufügen--PuTTY--cap}} }}<br>{{Bild| {{#var:PuTTY Configurations Profil--Bild}} | {{#var:PuTTY Configurations Profil--cap}} }} | ||
|- | |- | ||
| | | <li class="list--element__alert list--element__warning">{{#var:Privaten Schlüssel einbinden--PuTTY-Hinweis}}</li> | ||
|- | |- | ||
| <i class="fab fa-linux"></i> {{#var:Privaten Schlüssel einbinden--Linux}} | | <i class="fab fa-linux"></i> {{#var:Privaten Schlüssel einbinden--Linux}} | ||
Zeile 115: | Zeile 129: | ||
=== CLI === | === CLI === | ||
<div class="Einrücken"> | |||
{{#var:CLI--Webinterface--Einstellungen}} | {{#var:CLI--Webinterface--Einstellungen}} | ||
Zeile 121: | Zeile 136: | ||
{{#var:CLI--Webinterface--Ergebnis}} | {{#var:CLI--Webinterface--Ergebnis}} | ||
</div> | |||
application|variable |value | application|variable |value | ||
Zeile 151: | Zeile 167: | ||
|USE_OTP |0 | |USE_OTP |0 | ||
<div class="Einrücken"> | |||
{{#var:Secmode--desc}} | {{#var:Secmode--desc}} | ||
{{#var:Konfiguration--Variable}} | {{#var:Konfiguration--Variable}} | ||
</div> | |||
{| class="sptable pd5" style="width:15em" | {| class="sptable pd5 Einrücken" style="width:15em" | ||
|- | |- | ||
! value !! {{#var:Bedeutung}} | ! value !! {{#var:Bedeutung}} | ||
Zeile 169: | Zeile 186: | ||
|} | |} | ||
<div class="Einrücken"> | |||
{{#var:Konfiguration--Variable--desc}} | {{#var:Konfiguration--Variable--desc}} | ||
extc value set application "sshd" variable SECMODE value 1 | extc value set application "sshd" variable SECMODE value 1 | ||
appmgmt restart application "sshd" | appmgmt restart application "sshd" | ||
</div> | |||
=== {{#var:Hinweis--Sicherheitsvorkehrungen bei Konfigurationstests}} === | === {{#var:Hinweis--Sicherheitsvorkehrungen bei Konfigurationstests}} === | ||
<div class="Einrücken"> | |||
{{Hinweis| | {{Hinweis-box|{{#var:Hinweis--Sicherheitsvorkehrungen bei Konfigurationstests--desc}}|g|fs__icon=em2}} | ||
</div> | |||
---- | ---- |
Aktuelle Version vom 20. Februar 2024, 13:59 Uhr
SSH Zugang zur UTM einrichten
Letzte Anpassung zur Version: 12.6.0
Neu:
- Aktualisierung zum Redesign des Webinterfaces
Einleitung
Der SSH-Zugang zur UTM kann in drei fest definierten und einer benutzerdefinierten Sicherheitsstufe unter
gehärtet werden.
Root-Zugriff
Root mit Benutzerauthentifizierung
notempty
Hinweis
Es besteht kein Root Zugriff über die Benutzerauthentifizierung im Modus "hoch" und "sehr hoch". Hier ist nur die Authentifizierung per Public Key möglich.
Wird dennoch ein Root Zugriff mit Benutzerauthentifizierung in den Sicherheitsstufen "Hoch" und "Sehr hoch" gewünscht, können die Listen aus diesen Modi im Modus "Benutzerdefiniert" hineinkopiert und Root aktiviert werden.
Es besteht kein Root Zugriff über die Benutzerauthentifizierung im Modus "hoch" und "sehr hoch". Hier ist nur die Authentifizierung per Public Key möglich.
Root Zugriff per Public-Key
Um per ssh-public-key eine Authentifizierung ohne Passwort über eine SSH-Konsole durchzuführen sind folgende Schritte notwendig:
CLI
Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem CLI über die nachfolgenden Befehle sichtbar.
extc value get application "sshd"
Das Ergebnis sollte ähnlich wie folgt aussehen:
application|variable |value
-----------+------------------------+-----
sshd |CIPHER_LIST |
|CIPHER_LIST_H |chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
|CIPHER_LIST_M |aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
|CIPHER_LIST_P |chacha20-poly1305@openssh.com
|HMAC_LIST |
|HMAC_LIST_H |hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
|HMAC_LIST_M |hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
|HMAC_LIST_P |hmac-sha2-256-etm@openssh.com
|KEX_LIST |
|KEX_LIST_H |curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
|KEX_LIST_M |ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
|KEX_LIST_P |curve25519-sha256@libssh.org
|LOGIN_GRACE_TIME |10
|PERMIT_ROOT_LOGIN |no
|PERMIT_ROOT_LOGIN_H |no
|PERMIT_ROOT_LOGIN_M |yes
|PERMIT_ROOT_LOGIN_P |no
|RATE_ALLOW_PENDING_CONNS|10
|RATE_MAX_PENDING_CONNS |100
|RATE_START_DROP_CHANCE |30
|SECMODE |2
|USE_HOSTKEY_DSA |0
|USE_HOSTKEY_EC25519 |1
|USE_HOSTKEY_ECDSA |1
|USE_HOSTKEY_RSA |1
|USE_OTP |0
Die Variable SECMODE zeigt an, welche SSH Konfiguration gegenwärtig aktiv ist.
Es gibt vier Konfigurationen, die dieser Variablen zugeordnet werden können:
value | Bedeutung |
---|---|
0 | Sehr hoch |
1 | Hoch |
2 | Mittel |
3 | Benutzerdefiniert |
Wird die Variable im CLI einer anderen Konfiguration zugeordnet, dann muss diese Anweisung durch den Neustart der Anwendung SSHD aktiviert werden.
extc value set application "sshd" variable SECMODE value 1 appmgmt restart application "sshd"
Hinweis: Sicherheitsvorkehrungen bei Konfigurationstests
notempty
Wird geplant, über das Webinterface oder das CLI, neue Verschlüsselungen oder die SSH Einstellungen zu manipulieren, sollte vor der Umstellung eine SSH-Verbindung zur UTM bestehen. Bestehende SSH-Verbindungen werden nicht durch die Umstellung der Verschlüsselung oder der SSH Einstellungen unterbrochen.