NRW:Arbeitsgruppe/Technik/Dokumentation/Benutzer/Wartungszugänge

Aus Piratenwiki
Wechseln zu: Navigation, Suche
AG Technik NRW
Verwaltung: Übersicht | Protokolle | Dokumentation | FAQ
Dienste: E-Mail | Lists | Blogs | Domains | RT | Mumble | LAN | Serverstatus


Wartungszugänge

Per VPN kann über ein internes Netz (192.168.42.0) per SSH auf die einzelnen virtuellen Maschinen zugegriffen werden. Dazu wird der öffentliche Schlüssel der Benutzers auf den jeweiligen Systemen hinterlegt.

Wartungszugänge zur Managementconsole der Server, des Backupsystems und Proxmox Hostsysteme sind nur über ein VPN erreichbar, an dem sich die berechtigten Administratoren durch eine Kombination von PKI und persönlichem Passwort anmelden. Die Managementconsole der Servers ist zusätzlich physikalisch vom internen Netz getrennt.

Zugriffsrechte

Übersicht aller Server

Übersicht aller Zugänge

Benutzerverwaltung

Benutzer anlegen

Benutzer ändern

Benutzer löschen

Benutzerinformationen anzeigen

Clients

Public/Private key erzeugen

Um per SSH auf einen Wartungszugang zuzugreifen, wird eine Kombination aus privatem und öffentlichen Schlüssel benötigt. Ein Einstieg in die Materie dazu würde an dieser Stelle zu weit führen und kann im Netz unter Stichpunkten wie Public/Private Key, PKI oder asymmetrisches Kryptosystem nachgelesen werden.

Die Länge des Schlüssels in Bit ist nicht allein für seine Sicherheit relevant. Ebenfalls ist es für die Sicherheit nicht relevant ob ein Schlüsselpaar nach RSA oder DSA Verfahren erzeugt wird. Viel wahrscheinlicher als das Brechen eines Schlüssels über seinen Algorithmus ist es, dass der private Schlüssel in falsche Hände gerät oder durch kein bzw. ein schwaches Passwort geschützt ist. Daher bitte unbedingt ein hinreichend komplexes Passwort für den privaten Schlüssel vergeben, es regelmäßig ändern und den privaten Schlüssel niemals weitergeben oder anderen Zugriff darauf gestatten.

Wichtig: Niemals wird euch jemand der AG Technik NRW danach fragen euren privaten Schlüssel preiszugeben. Es ist immer nur der öffentliche Schlüssel interessant. Den privaten Schlüssel dürft ihr auf keinen Fall herausgeben.

Linux, OSX, BSD

$ ssh-keygen -b 4096 -t rsa

Anschließend liegt das Schlüsselpaar in dem Heimatverzeichnis des Benutzers unter .ssh/

  • id_rsa - dein privater und geheimer Schlüssel
  • id_rsa.pub - dein öffentlicher Schlüssel der weitergegeben werden kann

Windows

  • Das Tool "PuTTYgen" herunterladen
  • Starten
  • Parameters -> Type to generate -> SSH-2 RSA
  • Parameters -> Number of bits in a generated key -> 4096
  • Generate anklicken und zufällige Bewegungen mit der Maus erzeugen
  • Key -> Key comment -> benutzername@computername angeben damit der Schlüssel zugeordnet werden kann
  • Key -> Key passphrase -> Ein ausreichend komplexes und geheimes Passwort angeben und bestätigen
  • Actions -> Save private key -> Privaten Schlüssel an einer sicheren Stelle auf dem Computer speichern (z.b. id_rsa)
  • Actions -> Save public key -> Öffentlichen Schlüssel auf dem Computer speichern (z.b. id_rsa.pub)

Anschließend wird der öffentliche Schlüssel (z.B. id_rsa.pub) an einen Administrator geschickt um ihn zur Nutzeranmeldung zu verwenden.

Passwort des privaten Schlüssels ändern

Es ist wichtig, dass Benutzerpasswörter regelmäßig geändert werden. Das gilt genau so für die Passwörter an privaten Schlüsseln. Durch eine Änderung des Passworts wird keine Änderung am privaten oder öffentlichen Schlüssel selbst vorgenommen.

Linux, OSX, BSD

$ cd .ssh
$ ssh-keygen -f id_rsa -p

Windows

  • Das Tool "PuTTYgen" herunterladen
  • Starten
  • Actions -> Load -> Den privaten Schlüssel suchen und laden
  • Das alte Passwort des privaten Schlüssels eingeben
  • Key -> Key passphrase -> Neues Passwort eingeben und bestätigen
  • Actions -> Save private key -> Privaten Schlüssel mit dem neuen Passwort speichern

SSH Zugriff mit Schlüsseln

Linux, OSX, BSD

Bei UNIX-artigen Betriebssystemen wird meist OpenSSH als Client ausgeliefert. Diese Software sucht im Heimatverzeichnis des aktuellen Benutzern im Verzeichnis .ssh nach einem privaten Schlüssel um die Verbindung aufzubauen. Per console kann man einfach den "ssh" Befehl nutzen:

$ ssh user@access.piratenpartei-nrw.de
Enter passphrase for key '/Users/user/.ssh/id_rsa': ********

Falls mehrere Schlüssel verwendet werden, kann der gewünschte Schlüssel mit dem Parameter -i angegeben werden:

$ ssh -i .ssh/piraten.private user@access.piratenpartei-nrw.de
Enter passphrase for key '/Users/user/.ssh/piraten.private': ********

Windows

Windows wird ohne SSH Client ausgeliefert. Ein offener, umfangreicher, bekannter und stabiler SSH Client heißt "PuTTY" und ist kostenlos erhältlich.

  • Das Tool "PuTTY" herunterladen
  • Starten
  • Connections -> SSH -> Auth -> Private key file for authentication -> Den zuvor generierten privaten Schlüssel auswählen (z.B. id_rsa)
  • Session -> Host Name -> access.piratenpartei-nrw.de eintragen
  • Session -> Saved Sessions -> Einen Namen für diese Konfiguration eingeben, damit man es nicht jedes mal erneut einstellen muss
  • Session -> Open
  • Den Benutzernamen und das Passwort für den privaten Schlüssel eingeben

Schlüssel für OpenSSH konvertieren

Tools wie PuTTYgen erzeugen einen öffentlichen Schlüssel im SSH2 Format. Dieses ist nicht für die Verwendung in .ssh/authorized_keys für OpenSSH kompatibel. Der öffentliche Schlüssel muss vorher umgewandelt werden.

$ ssh-keygen -i -f id_rsa_ssh2.pub > id_rsa_openssh.pub

Fehler die man nur einmal macht

  • Eine uidnumber doppelt vergeben
    • Führt dazu, dass Systembenutzer ihre Identitäten wechseln. Lösung: Aufpassen bzw. nachträglich ändern.