Remote-Zugriffe mit kurzzeitig gültigen OpenSSH-Zertifikaten

Mit temporär gültigen OpenSSH-Zertifikaten lässt sich eine Mehrfaktorauthentifizierung für große Umgebungen realisieren – auch bei höherem Schutzbedarf.

Artikel verschenken

18.12.2018, 11:26 Uhr

Lesezeit: 20 Min.

iX Magazin

Von

Michael Ströder

Remote-Zugriffe mit kurzzeitig gültigen OpenSSH-Zertifikaten
- Konfigurationsoption AuthenticationMethods
- Kontrollierter Zugriff auf AuthorizedKeysFile
- Mit PKCS11-Providern Smartcards einbinden
- Signierte Zertifikate: TrustedUserCAKeys
- Remote-Zugriff mit Listen beschränken
- Schutz des CA-Schlüssels
- Erforderliche Zertifizierungsrichtlinien
- Schutz gegen Umleitung durch UserKnownHostsFile
- Prüfsummen der Host-Schlüssel speichern
- Signieren der Zertifikate mit ssh-keygen
- Fazit

Artikel in iX 7/2018 lesen

Administratoren greifen meist über das SSH-Protokoll auf ihre Unix-Systeme zu. Es überträgt die Daten verschlüsselt und bietet je nach SSH-Implementierung und eingesetztem Betriebssystem verschiedene Authentifizierungs- und Autorisierungsmöglichkeiten.

Auf einem großen Teil der Client- und Serversysteme kommt heute das freie OpenSSH zum Einsatz. Das kann man mit Fug und Recht "Hidden Champion" der Administrationswerkzeuge nennen. Ursprünglich für OpenBSD entwickelt, gibt es OpenSSH in einer portablen Variante für viele Unix-artige Betriebssysteme und insbesondere Linux. Selbst Microsofts PowerShell-Team portierte die Software auf Windows.

Konfigurationsoption AuthenticationMethods

Neben einer Anmeldung nur per Passwort existiert eine Variante mit asymmetrischer Verschlüsselung. Beides ist standardmäßig aktiviert, was sich aber in der Konfigurationsdatei sshd_config mit der folgenden Zeile auf die rein schlüsselbasierte Anmeldung einschränken lässt:

Immer mehr Wissen. Das digitale Abo für IT und Technik.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Boox Note Air3 C ist ein E-Reader und digitaler Notizblock, mit dem man lesen, schreiben und zeichnen kann. Er ist offen für (Hör-)Bücher aus vielen Quellen.

Das Bild zeigt zwei Kreditkarten von Mastercard und Visa.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

Immer mehr Wissen. Das digitale Abo für IT und Technik.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Äußerlich verschlissen, aber innen fit? Alte Macs kann man mit einem modernen macOS aufrüsten und weiternutzen, obwohl Apple das nicht vorsieht.

Hackintosh mit Sonoma bauen

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Boox Note Air3 C ist ein E-Reader und digitaler Notizblock, mit dem man lesen, schreiben und zeichnen kann. Er ist offen für (Hör-)Bücher aus vielen Quellen.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Remote-Zugriffe mit kurzzeitig gültigen OpenSSH-Zertifikaten

Konfigurationsoption AuthenticationMethods

Immer mehr Wissen. Das digitale Abo für IT und Technik.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Immer mehr Wissen. Das digitale Abo für IT und Technik.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Boox Note Air3 C im Test: Hybrid-Tablet mit farbigem E-Paper-Display

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.