Änderungen

keine Bearbeitungszusammenfassung
Zeile 271: Zeile 271:  
ingwer.freifunk-mwu.de firmware.freifunk-mwu.de ingwer.freifunk-mainz.de firmware.freifunk-mainz.de firmware.wiesbaden.freifunk.net ingwer.ffmwu.org firmware.ffmwu.org ingwer.ffmz.org firmware.ffmz.org ingwer.ffwi.org firmware.ffwi.org
 
ingwer.freifunk-mwu.de firmware.freifunk-mwu.de ingwer.freifunk-mainz.de firmware.freifunk-mainz.de firmware.wiesbaden.freifunk.net ingwer.ffmwu.org firmware.ffmwu.org ingwer.ffmz.org firmware.ffmz.org ingwer.ffwi.org firmware.ffwi.org
 
</source>
 
</source>
 +
 +
==SSH konfigurieren==
 +
 +
/etc/ssh/sshd_config: Hier wird /etc/ssh/authorized_keys_local als zusätzliche Quelle für erlaubte public keys hinzugefügt.
 +
<source lang=bash>
 +
AuthorizedKeysFile      %h/.ssh/authorized_keys /etc/ssh/authorized_keys_local
 +
</source>
 +
 +
/etc/ssh/sshd_config: Hier wird ein chroot jail für den Zertifikatsuser eingerichtet, so dass ein geleakter private key kein manipulieren des Cert_master zulässt. Die Permissions von /home/cert (wie gesetzt in hooks.sh) verhindern ein überschreiben der Zertifikate, internal-sftp erlaubt nur sftp über die Verbindung.
 +
<source lang=bash>
 +
Match User cert
 +
    ChrootDirectory /home/cert/
 +
    ForceCommand internal-sftp
 +
    AllowTcpForwarding no
 +
    PermitTunnel no
 +
    X11Forwarding no
 +
</source>
 +
 +
/etc/ssh/authorized_keys_local: Hier kommen alle public keys von hosts rein, die Zertifikate abrufen wollen.