Eerder schreef ik al een artikel over hoe je SSH login met public key opzet. Nu is het tijd om de beveiliging iets verder op te voeren. Met een SSH login ingesteld moet het inloggen een wachtwoord worden uitgeschakeld. Dit zorgt alleen maar voor een extra veiligheidsrisico. Onderstaande stappen geven uitleg hoe je dit doet. Bedenk dat het heel belangrijk is dat je via je public key kunt inloggen. Anders kun je aan het eind van het verhaal niet meer inloggen. De enige manier is dan door fysiek op de server in te loggen.

Als eerste moet je verbinden met de server die je wilt instellen:

user@host:~$ ssh remotehost

Zodra we verbonden zijn met de server gaan we de ssh configuratie aanpassen:

remoteuser@remotehost:~$ sudo nano /etc/ssh/sshd_config

In dit bestand moeten drie waarden op 'no' worden gezet:

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

Sla het bestand op.
Om de wijzigingen door te voeren moet de ssh deamon nog worden herstart:

remoteuser@remotehost:~$ sudo /etc/init.d/ssh reload

Verbreek nu de verbinding met de server:

remoteuser@remotehost:~$ exit

Om te testen of we zonder public key kunnen inloggen moet de lokale private key tijdelijk worden hernoemd:

user@host:~$ mv ~/.ssh/id_dsa ~/.ssh/id_dsa.tmp

Vervolgens proberen we in te loggen op de server:

user@host:~$ ssh remotehost

Als alles goed is gegaan krijg je nu geen toegang maar:

Permission denied (publickey).

Hernoem nu je privatekey weer:

user@host:~$ mv ~/.ssh/id_dsa.tmp ~/.ssh/id_dsa

En probeer nogmaals in te loggen. Dit zou nu wel moeten lukken.

user@host:~$ ssh remotehost

Hiermee is je server weer iets beter beveiligd tegen misbruik.