11.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben?

11.7.1

Die Anmeldung mit einem SSH-Key ist mit Abstand die sicherste (Absicherung des SSH-Keys vorausgesetzt ;-) - schon aufgrund der Schlüssellänge im Vergleich zur Länge eines durchschnittlichen Passworts.

Was muss man also tun, um ausschließlich den Login per SSH-Key zu erlauben?

Der erste Schritt ist, seinen Public-Key auf den Server zu kopieren, sonst kommt man hinterher nicht mehr rein. Siehe dazu die Frage Wie erstellt man einen SSH-Key? Wie kommt der Key auf den Zielrechner?

Anschließend ergänzt bzw. ändert man auf dem Server die Datei /etc/ssh/sshd_config, sodass die folgenden Einträge enthalten sind:

PubkeyAuthentication yes
UsePAM no
PasswordAuthentication no

Alle andere Einträge in dieser Datei bitte nicht ändern.

Nach Änderung der Konfiguration muss der sshd neu gestartet werden:

rcsshd restart

Jetzt geht es in die Testphase:

• Ist der Login mit SSH-Key problemlos möglich?
• Geht der Login als ein User ohne hinterlegten Public Key wirklich nicht?

SSH dürfte jetzt nicht mehr nach dem Passwort fragen, höchstens nach der Passphrase des SSH-Keys.

Vorsichtsmaßnahme bei entfernten Servern

Falls man diese Änderung auf einem Server macht, auf den man keinen physikalischen Zugriff hat, sollte man sich vor Beginn der Umkonfiguration einen "Backup-sshd" starten. Das geht mit sshd -p 2222, der Login erfolgt dann mit ssh -p 2222 user@server. Dieser sshd wird durch rcsshd restart nicht beeinflusst und akzeptiert weiterhin Logins mit Passwort.

Nach Ende der Testphase nicht vergessen, den sshd auf Port 2222 zu killen und anschließend nochmal mit ssh -p 2222 user@server testen, ob er wirklich beendet wurde.