UTM/AUTH/SSH.lang: Unterschied zwischen den Versionen

| SSH-Einstellungen

| SSH settings }}

|  

| }}

| Artikelanpassung  

| Article adaptation }}

| Einleitung

| Introduction }}

| Der SSH Zugang zur UTM kann in drei fest definierten und einer Benutzerdefinierten Sicherheitsstufe gehärtet werden. <br>Menü {{Menu| Authentifizierung|SSH-Einstellungen}}

| SSH access to the UTM can be hardened in three fixed security levels and one user-defined security level. <br>Menu {{Menu| Authentication|SSH Settings}} }}

| Einstellungen

| Settings }}

| Sicherheitsstufen:

| Security levels: }}

| UTM116_AI_SSHeinst.png

| UTM v12.1 Authentifizierung SSH Einstellungen-en.png }}

| Mittel

| Medium }}

| Standardeinstellungen der UTM, Root Login ist möglich, wenn ein entsprechender User angelegt wurde.

| Default settings of the UTM, root login is possible if a corresponding user has been created. }}

| Hoch

| High }}

| Längere Host Keys, keine potentiell unsicheren Hash-Algorithmen, kein Root Login, auch wenn ein entsprechender User angelegt wurde.

| Longer host keys, no potentially insecure hash algorithms, no root login even if a corresponding user has been created. }}

| Sehr hoch

| Very high }}

| Extrem eingeschränkte Liste von Hash-Algorithmen, Verschlüsselungen und Schlüsselaustausch-Algorithmen, kein Root Login, auch wenn ein entsprechender User angelegt wurde.

| Extremely limited list of hash algorithms, ciphers and key exchange algorithms, no root login even if a corresponding user has been created. }}

| Benutzerdefiniert

| Custom }}

| Der Benutzer definiert seine Liste von Hash-Algorithmen, Verschlüsselungen und Schlüsselaustausch-Algorithmen, Root Login aktivierbar

| The user defines his list of hash algorithms, ciphers and key exchange algorithms, root login activatable }}

| Erlaubte nichtauthentifizierte Verbindungen:

| Allow pending connections:}}

| Menge an gleichzeitig aufgebauten Verbindungen die noch nicht authentifiziert sind.

| The number of simultaneously established connections that have not yet been authenticated. }}

| Anteil der verworfenen nichtauthentifizierten Verbindungen:

| Initial drop chance: }}

| Prozentualer Anteil der Verbindungen die über den erlaubten unauthentifizierten verworfen werden.

| Percentage of connections that are discarded over the allowed unauthenticated ones. }}

| Maximale nichtauthentifizierte Verbindungen:

| Maximum pending connections: }}

| Menge an gleichzeitigen Verbindungen, ab denen alle unauthentifizierten verworfen werden.

| Set of simultaneous connections above which all unauthenticated connections are discarded. }}

| Login Zeit:

| Login grace time: }}

| Zeit in Sekunden, die für die Authentifizierung zur Verfügung steht

| Time in seconds available for authentication }}

| Benutzerdefinierte Einstellungen

| Custom security settings }}

| UTM_v11.8.8_SSH-Einstellungen_Erweitert.png

| UTM v12.1 Authentifizierung SSH Einstellungen Erweitert-en.png }}

| HMAC-Liste:

| HMAC list: }}

| Liste der zugelassenen Keyed-Hash Message Authentication Code Hash-Algorithmen.

| List of approved Keyed-Hash Message Authentication Code hash algorithms. }}

| Cipher-Suite:

| Cipher-Suite: }}

| Legt fest, welche Verschlüsselungen für SSH zugelassen werden.

| Defines which encryptions are permitted for SSH. }}

| KEX-Algorithmus:

| KEX algorithm: }}

| Nur die hier angegeben Schlüsselaustausch-Algorithmen dürfen verwendet werden.

| Only the key exchange algorithms specified here may be used. }}

| Root-Zugriff erlauben

| Allow root access }}

| Nur möglich bei {{Button| Mittel |dr}} oder {{Button| Benutzerdefiniert |dr}}

| Only possible with {{Button| Medium |dr}} or {{Button| Custom |dr}} }}

| Root-Zugriff

| Root access }}

| Root mit Benutzerauthentifizierung

| Root with user authentication }}

| '''Hinweis'''<br>Es besteht kein Root Zugriff über die ''Benutzer''authentifizierung im Modus "hoch" und "sehr hoch". Hier ist nur die Authentifizierung per ''Public Key'' möglich.{{a|5}}Wird dennoch ein Root Zugriff mit Benutzerauthentifizierung in den Sicherheitsstufen "Hoch" und "Sehr hoch" gewünscht, können die Listen aus diesen Modi im Modus "Benutzerdefiniert" hineinkopiert und Root aktiviert werden.

| '''Note'''<br>There is no root access via ''user'' authentication in the ''high'' and ''very high'' mode. Here, only authentication via ''Public Key'' is possible.{{a|5}}If, nevertheless, root access with user authentication in the security levels ''high'' and ''very high'' is desired, the lists from these modes can be copied into the ''User Defined'' mode and root activated. }}

| Root Zugriff per Public-Key

| Root access via public key }}

| Um per ssh-public-key eine Authentifizierung ohne Passwort über eine SSH-Konsole durchzuführen sind folgende Schritte notwendig:

| The following steps are necessary to carry out authentication without a password via an SSH console using ssh-public-key: }}

| Schritt

| Step }}

| Erstellen eines SSH-RSA Schlüsselpaares

| Creating an SSH-RSA Key Pair }}

| Dieses kann auf einem Windowssystem mit einem Zusatzprogramm wie z.B. "puttygen" generiert werden.  

| This can be generated on a Windows system with an additional programme such as "puttygen". }}

| Auf einem Linux/Unix System steht das Tool "ssh-keygen" zur Verfügung, welches mit der Option {{code| ssh-keygen -t rsa }} ausgeführt wird.

| On a Linux/Unix system, the tool "ssh-keygen" is available, which is executed with the option {{code| ssh-keygen -t rsa }}. }}

{{var | Putty Key Generator--Bild

| Putty_KG_NewKey.png

| Putty_KG_NewKey.png }}

{{var | Putty Key Generator--cap

| Schlüsselpaar Generieren

| Generate Key Pair }}

| Speicherort des Schlüssels

| Location of the key }}

| Der öffentliche Teil des Schlüssels kann nach der Erstellung mit "puttygen" mit {{Button| Save public key}} und {{Button| Save private key }} gespeichert werden, standardmäßig im Dokumenten-Verzeichnis des Windows-Benutzers.

| The public part of the key can be saved after creation with "puttygen" with {{Button| Save public key}} and {{Button| Save private key }}, by default in the document directory of the Windows user. }}

| Bei Linux/Unix befinden sich dieser im Benutzerverzeichnis unter /home/benutzer/.ssh/

| For Linux/Unix, these are located in the user directory under /home/user/.ssh/ }}

| Format public key

| Format public key }}

| 2=Die Puttygen-Datei muss diesbezüglich noch angepasst werden:

| 3=The Puttygen file must still be adapted in this regard:

| In der Linuxdatei "id_rsa.pub" ist dieses schon so eingerichtet.

| This is already set up in the Linux file "id_rsa.pub". }}

| Den öffentlichen Schlüssel auf die UTM übertragen

| Transfer the public key to the UTM }}

| 2=Nun wird dieser Schlüssel kopiert und über eine SSH-Konsole mit dem folgenden CLI-Kommando hinzugefügt:

| 3=Now this key is copied and added via an SSH console with the following CLI command:

| RSA-Schlüssel auf der UTM aktivieren

| Activate RSA key on the UTM }}

| Um den RSA-Schlüssel zu nutzen, wird dieser mit dem folgenden CLI-Kommando aktiviert:<br>

| To use the RSA key, it is enabled with the following CLI command:<br>.

| Authentifizierung per Public-Key aktivieren

| Activate authentication via public key }}

| Um sich über eine SSH-Konsole per Public-Key Authentifizieren zu können, muss dieses aktiviert werden. Das entsprechende CLI-Kommando auf der UTM lautet: {{code|extc global set variable "GLOB_SSH_PUBKEY_AUTH" value 1}}<br>

| To be able to authenticate via an SSH console using a public key, this must be activated. The corresponding CLI command on the UTM is: {{code|extc global set variable "GLOB_SSH_PUBKEY_AUTH" value 1}}<br>.

| Privaten Schlüssel einbinden

| Integrate private key }}

| Unter Putty muss nun noch die Datei mit dem Privaten Schlüssel im Menü ''Category'' → ''Connection'' → ''SSH'' → ''Auth'' hinzugefügt werden und im Feld Host Name wird der Benutzer mit übergeben im Format root@<IP-Adresse>.

| Under Putty, the file with the private key must now be added in the menu ''Category'' → ''Connection'' → ''SSH'' → ''Auth'' and in the field Host Name, the user is transferred in the format root@<IP address>. }}

{{var | Privaten Schlüssel einbinden--Putty-Hinweis

| '''Achtung!'''<br> Mit Putty kann im Modus "hoch" und "sehr hoch" keine SSH Sitzung geöffnet werden. Die dort geforderten Key-Exchange Algorithmen werden von Putty nicht unterstützt.

| '''Attention!'''<br> No SSH session can be opened with Putty in "high" and "very high" mode. The key exchange algorithms required there are not supported by Putty. }}

| Mit dem SSH-Client unter Linux genügt das Kommando {{code| ssh root@<IP-Adresse>}} da hier der Key an einer definierten Stelle im System abgelegt ist.

| With the SSH client under Linux, the command {{code| ssh root@<IP address>}} is sufficient, as the key is stored at a defined location in the system. }}

{{var | Privaten Schlüssel hinzufügen--Putty--Bild

| Putty_Keyfile.png

| Putty_Keyfile.png }}

{{var | Privaten Schlüssel hinzufügen--Putty--cap

| Privaten Schlüssel zu einem Putty Profil hinzufügen

| Adding a Private Key to a Putty Profile }}

{{var | Putty Configurations Profil--Bild

| Putty_root_login.png

| Putty_root_login.png }}

{{var | Putty Configurations Profil--cap

| Putty Profil

| Putty profile }}

| Die Einstellungen, die im Webinterface vorgenommen werden sind auf dem CLI über die nachfolgenden Befehle sichtbar.

| The settings made in the web interface are visible on the CLI via the following commands. }}

| Das Ergebnis sollte ähnlich wie folgt aussehen:

| The result should look similar to the following: }}

| Die Variable ''SECMODE'' zeigt an, welche SSH Konfiguration gegenwärtig aktiv ist.

| The variable ''SECMODE'' indicates which SSH configuration is currently active. }}

| Es gibt vier Konfigurationen, die dieser Variablen zugeordnet werden können:

| There are four configurations that can be assigned to this variable: }}

| Bedeutung

| Meaning }}

| Wird die Variable im CLI einer anderen Konfiguration zugeordnet, dann muss diese Anweisung durch den Neustart der Anwendung SSHD aktiviert werden.

| If the variable is assigned to a different configuration in the CLI, then this instruction must be activated by restarting the SSHD application. }}

| Hinweis: Sicherheitsvorkehrungen bei Konfigurationstests

| Note: Safety precautions during configuration tests }}

| Wird geplant, über das Webinterface oder das CLI, neue Verschlüsselungen oder die SSH Einstellungen zu manipulieren, sollte '''vor''' der Umstellung eine SSH-Verbindung zur UTM bestehen. Bestehende SSH-Verbindungen werden nicht durch die Umstellung der Verschlüsselung oder der SSH Einstellungen unterbrochen.

| If it is planned to manipulate new encryptions or the SSH settings via the web interface or the CLI, an SSH connection to the UTM should be established '''before''' the changeover. Existing SSH connections are not interrupted by changing the encryption or SSH settings. }}

{{var |  

|  

| }}

{{var |  

|  

| }}

|  

|  }}