SSH absichern

  • Moin *,

    nachdem kodi bei mir ganz erfreulich läuft, möchte ich dem System nun den letzten Schliff verpassen. Darunter fällt auch das Härten der Software.

    Ausgangssituation ist, dass OpenELEC (5.0.8) ein vollständiges Linux mit scharfgeschaltetem SSH-Server mit root-Zugang bietet. Darüber hinaus gibt es ein wohl dokumentiertes Default-Password, welches zu allem Überfluss auch nicht zu ändern ist:

    Zitat

    What is the SSH login?
    Currently the login into OpenELEC has fixed settings.
    Login: root
    Password: openelec
    Note that these values are case-sensitive


    http://wiki.openelec.tv/index.php/OpenELEC_FAQ#SSH_Login

    Zitat

    How do I change the SSH password?
    At the moment it's not possible to change the root password as it's held in a read-only filesystem. However, for the really security conscious advanced user, you can change the password if you build OpenELEC from source. Also you can consider logging in with ssh keys and disabling password logins.


    http://wiki.openelec.tv/index.php/Open…Password_change

    Unter Security-Aspekten ist das inakzeptabel. Insbesondere ist bitter, dass ich zwar meinen PubKey auf das System kopieren kann und die Authentifizierung damit auch funktioniert, aber dieses Verhalten nicht erzwungen werden kann. Dafür müsste ich AFAIK die SSH-Konfiguration anpassen, was mir aber wegen fehlender Schreibrechte auf dem Dateisystem verweigert wird:

    Code
    kodi:~ # mount -v -o remount,rw /storage
    kodi:~ # mount -v -o remount,rw /flash
    kodi:~ # touch /etc/ssh/sshd_config 
    touch: /etc/ssh/sshd_config: Read-only file system

    Wie gehe ich damit am besten um? Als minimales Ziel sollte die SSH-Authentifizierung über Passwort abgeschaltet werden.
    TNX

    cu,
    Serafina Pekkala

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!