Im Gegensatz zum SSH-Klienten ist der SSH-Server unter Ubuntu standardmäßig nicht installiert.
# apt-get install openssh-server
installieren .
Die Konfiguration des SSH-Servers '''sshd''' findet über die Datei '''/etc/ssh/sshd_config''' statt.
* Die Voreinstellungen sind aber durchweg akzeptabel.
Wer den '''sshd''' auf einem Gateway oder Router betreibt oder aus einem anderen Grund mehrere Netzwerkschnittstellen verwendet (bspw.
* WLAN), der möchte dort vielleicht die '''ListenAddress'''-Direktive benutzen, um den Server nur an bestimmten Netzwerk-Schnittstellen laufen zu lassen.
Außerdem kann es sinnvoll sein, '''PermitRootLogin''' auf '''no''' zu setzen.
* Dann kann sich niemand direkt als ''root'' einloggen, sondern man meldet sich unter seinem Benutzernamen an und ruft dann '''su''' oder '''sudo -s''' auf.
* Dies ist aber unter Ubuntu nur relevant, sollte man dem "root"-Benutzerkonto ein Passwort zugewiesen haben.
Mit den Direktiven '''AllowUsers''' und '''AllowGroups''' oder '''DenyUsers''' und '''DenyGroups''' lässt sich noch genauer festlegen, welche Benutzer sich anmelden dürfen und welche nicht.
* Dies empfiehlt sich besonders bei Servern. '''AllowGroups admin''' verbietet bspw.
* allen Benutzern, die keine Mitglieder der Gruppe ''admin'' sind, den Zugriff.
Wer sich ausschließlich über das noch sicherere anmelden will, der sollte die Benutzung von Passwörtern mit '''PasswordAuthentication no''' abschalten.
Falls lange Wartezeiten bei der Anmeldung am SSH-Server auftreten, könnte das an einer fehlgeschlagenen Namensauflösung liegen.
* Da man SSH normalerweise sowieso über die IP benutzt, können diese DNS-Anfragen in der '''sshd_config''' deaktiviert werden.
* Der dafür nötige Eintrag wäre '''UseDNS no'''.
Nach erfolgter Änderung der Datei '''sshd_config''' muss der Server mit dem Befehl:
sudo reload ssh
neugestartet werden, damit die Änderungen wirksam werden.
'''Hinweis'''
Standardmäßig wird der SSH-Server beim Booten geladen.
* Ab ist Upstart für den Autostart des SSH-Servers zuständig.
* Wie man den Autostart deaktiviert, wird im beschrieben.
= Appendixes =
= Appendixes =
== Key material handling ==
== Key material handling ==
Version vom 19. Januar 2023, 23:45 Uhr
topic kurze Beschreibung
Beschreibung
Installation
Syntax
Parameter
Optionen
Umgebungsvariablen
Exit-Status
Konfiguration
Dateien
Anwendung
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Siehe auch
Links
Projekt-Homepage
Weblinks
Einzelnachweise
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5
TMP
Appendixes
Key material handling
Key material identifies the cryptographic secrets that compose a key. All key material must be treated as RESTRICTED data, meaning that: * Only individual with specific training and need-to-know should have access to key material.
Key material must be encrypted on transmission.
Key material can be stored in clear text, but only with proper access control (limited access).
This includes: * OpenSSH server keys (/etc/ssh/ssh_host_*key)
Client keys (~/.ssh/id_{rsa,dsa,ecdsa,ed25519} and ~/.ssh/identity).
Client key size and login latency
In order to figure out the impact on performance of using larger keys - such as RSA 4096 bytes keys - on the client side, we have run a few tests:
On an idle, i7 4500 intel CPU using OpenSSH_6.7p1, OpenSSL 1.0.1l and ed25519 server keys the following command is ran 10 times:
time ssh localhost -i .ssh/id_thekey exit
Results:
Client key
Minimum
Maximum
Average
RSA 4096
120ms
145ms
127ms
RSA 2048
120ms
129ms
127ms
ed25519
117ms
138ms
120ms
Keep in mind that these numbers may differ on a slower machine, and that this contains the complete login sequence and therefore is subject to variations. However, it seems safe to say that the latency differences are not significant and do not impact performance sufficiently to cause any concern regardless of the type of key used.