Sysop:OpenSSH
restrict scp
sftp_chroot
Key best practices
- neither use nor create any DSA host and user keys, use only RSA keys
- openssh-blacklist and openssh-blacklist-extra packages should be installed on the server
Use all keys with maximal size:
- DSA: 1024 bits
- RSA: 4096 bits
- ECDSA: 521 bits (since OpenSSH Version 5.7)
ssh-agent
Reference:
start agent:
ssh-agent
add keyfiles:
ssh-add -c /path/to/key/file
Es empfiehlt sich die Keys mit der Option -c hinzuzufügen. Damit werdet ihr bei jeder Benutzung des Keys nach einer Bestätigung gefragt. Dies sollte eine nicht beabsichtigte Nutzung eures Keys verunmöglichen. Dies ist gerade bei Hosts wo ihr euch mit ForwardAgent angemeldet habt wichtig. Diese Option nimmt den Zugriff auf den Agent auf den entfernten Host mit und stellt eure lokalen Keys auch dort zur Verfügung, ohne dass die Keys dort lokal vorhanden sind. Dies ist bei sogenannten JumpHosts sehr praktisch, hat jedoch den Nachteil, dass ein potentieller Angreifer, der sich auf dem entfernen Hosts befindet, eure ssh-Keys auslesen könnte. Lädt ihr die Keys mit der Option -c dann müsst ihr jeden Zugriff auf den Schlüssel bestätigen und der unerlaubte Zugriff könnte so bemerkt und verweigert werden.
Wichtig: Die Option ForwardAgent sollte nicht per default für alle Hosts eingeschalten sein. Sondern nur für spezielle Hosts, wie z.B. jump-Hosts bei denen eure einzige Tätigkeit darauf ist euch einfach weiter zu verbinden. Solltet ihr auf einem Host, dann trotzdem einmal den Agent für eine weitergehende Verbindung brauchen, so empfiehlt sich ein zusätzlicher Login mit ssh -A HOST auf dem Host, der nur für diese kurze weitere Verbindung gebraucht wird. Damit haltet ihr die Möglichkeit, dass eure ssh-keys von potentiellen Angreifern ausgelesen werden, möglichst klein.