Im Zentrum stehen dieses Mal Tools, mit denen sich Administratoren das Leben einfacher machen, indem sie Aufgaben automatisieren und skripten: ... (mehr)

GPG

Statt eines Plaintext-Schlüssels kann Fwknop auch GPG-Schlüssel benutzen. Allerdings dürfen Sie nicht Ihren privaten GPG-Key dafür verwenden, denn das Passwort zum Entschlüsseln muss in »/etc/fwknop/access.conf« stehen. Jedoch können Sie auf dem Client einen existierenden Key verwenden, wenn Sie einen haben. Falls nicht, erfahren Sie jetzt, wie man einen neuen anlegt. Geben Sie am Server dazu die folgenden Befehle ein:

 

Die Default-Optionen von GPG sind in Ordning (DSA- und Elgamal-Schlüssel, 2048-Bit Länge und kein Ablaufdatum). Man sollte keinen Schlüssel länger als 2048 Bits verwenden, denn er muss noch in ein Datenpaket passen. Geben Sie die passenden Server-Namen und E-Mail-Adresse an, und notieren Sie die Passphrase. Die Ausgabe sieht in etwa so aus:

 

Dann importieren Sie den Schlüssel im Ascii-Format:

 

Erzeugen Sie auch auf dem Client einen Key und exportieren Sie ihn:

 

Nun übertragen Sie die Schlüssel über einen sicheren Kanal jeweils auf den anderen Rechner. Wenn Fwknop schon läuft, müssen Sie wie oben beschrieben anklopfen. Nun importieren und signieren Sie beide Schlüssel. Zunächst auf dem Client:

 

Ersetzen Sie dabei »fwknop« durch den Namen, der zut hexadezimaler Key-ID gehört, im Beispiel AAAAAAAA. Auf dem Server verfahren Sie mit dem Client-Key analog. Die Fwknop-Konfiguration für die im Beispiel verwendeten Schlüssel sieht dann so aus wie in Listing 2.

Listing 2

access.conf für GPG-Schlüssel

 

»__GPG_DECRYPT_ID__« ist der Server-Schlüssel, »__GPG_DECRYPT_PW__« das Passwort dafür. »__GPG_REMOTE_ID__« ist die GPG-Key-ID des Client. Starten Sie dann Fwknop zum Testen neu. Der dafür passende Aufruf auf dem Client sieht so aus:

 

Der Server-Schlüssel folgt hinter »--gpg-recip« , die Client-Key-ID nach »--gpg-sign« . Wenn Sie, wie verlangt, die GPG-Passphrase eingegeben haben, schickt Fwknop das Paket an den Server. Nun sollten Sie sich wieder per SSH einloggen können.

Beim derzeitigen Stand der Konfiguration kann sich nur ein einziger Benutzer auf dem Server einloggen. Damit das auch andere tun können, fügen Sie weitere Zeilen mit »GPG_REMOTE_ID« der »access.conf« hinzu. Allerdings muss jeder Schlüssel wieder auf dem Server importiert und signiert werden, genauso wie der jeweilige Benutzer den Server-Key importieren und signieren muss. Für eine normale Login-Umgebung ist das natürlich etwas viel Aufwand, aber er ist für besondere Maschinen mit einer kleinen Gruppe von Admins vielleicht noch vertretbar.

Um den Zugang noch auf einzelne Benutzernamen zu beschränken, verwenden Sie in »/etc/fwknop/access.conf« den Paramter »REQUIRE_USERNAME« . Analog dazu können Sie auch ein bestimmtest Betriebssystem oder eine Quelladresse verlangen. Mehr dazu finden Sie in der Manpage zu »fwknop« .

Artikel als PDF herunterladen

Port Knocking für SSH 728,94 kB

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Fwknop Single Packet Authentication einsatzbereit

Das für Single Packet Authentication bei Firewalls eingesetzte Paket Fwknop steht als produktionsreifes Release 2.0 bereit. 

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite