Zur Administration von Servern ist oft ein Zugriff von entfernten Managementstationen über unsichere Netze notwendig. Dabei müssen im Sinne der Informationssicherheit drei Ziele verfolgt werden:
- Authentizität von Client und Server,
- Vertraulichkeit der übertragenen Daten und
- Integrität der übertragenen Daten.
Mit diesem Dokument werden weiterführende Handlungsempfehlungen zur Konfiguration von Remote Linux Authentifizierung mittels PAM und SSH gegeben. Die Zielgruppen sind:
- Linux Administrator*innen
- Nutzer*innen der von KIM bereitgestellten Virtuellen Maschinen und
- Nutzer*innen von SSH zum Login auf Servern
Die vorgeschlagenen Maßnahmen wurden getestet unter Debian 8.5 und OpenSSH 6.7.
Anmerkungen
Obgleich im Einzelfall nicht alle beschriebenen Maßnahmen umsetzbar sind oder die erforderlichen Maßnahmen darüber hinaus gehen, bieten sich diese Gesichtspunkte als Checkliste an.
Alles was mit "Exkurs" gekennzeichnet ist, sind entweder dargestellte alternative Ansätze oder gehören nicht unbedingt zum Mindeststand für einen Server im KIM.
Versionshistorie
Autoren: Thomas Zink (tz), Christoph Becker (cb), Stefan Brütsch (sb)
Version | Datum | Autoren | Kommentar |
---|---|---|---|
1.0 | 2017-02-09 | tz, cb, sb | |
1.1 | 2018-12-18 | cb | Argumente für "PermitRootLogin no" und sudo konkretisiert |