Suche


drucken PDF

Wie kann ich den SSH-Schlüssel von OVH installieren?



Einleitung:


Damit unsere Mitarbeiter auf Ihrem Dedicated Server eingreifen können, ohne Ihr root-Passwort zu kennen, können Sie bei Bedarf (zum Beispiel im Rahmen der Bearbeitung eines Störungstickets) einen SSH-Schlüssel auf Ihrem Server installieren. Nur speziell geschulte Mitarbeiter bei OVH können diesen Schlüssel verwenden. Dank dieses Schlüssels verfügt OVH über root-Rechte auf Ihrem Server, ohne das root-Passwort kennen zu müssen, und kann deshalb sehr schnell Probleme mit Ihrem Server diagnostizieren. Im Rahmen einer Outsourcing-Anfrage benötigen wir diesen Schlüssel sogar zwingend. Auch wenn ein Angriff (ohne Ihr Wissen) von Ihrer Maschine ausgeht ist dieser Schlüssel für uns die einzige Möglichkeit, schnell Zugang zu Ihrem Server zu bekommen und den Angriff zu stoppen.


Vorgehensweise:


Wenn der Schlüssel nicht oder nicht mehr auf Ihrem Server installiert ist, dann können Sie ihn auf diese Weise installieren:

oder Verwenden Sie das Shellinterface Webmin: https://nsXXXX.ovh.net:10000/shell/

  • Geben Sie danach folgenden Befehl ein:

wget ftp://ftp.ovh.net/made-in-ovh/cle-ssh-public/installer_la_cle.sh -O installer_la_cle.sh ; sh installer_la_cle.sh


Wenn alles geklappt hat wurde eine Datei authorized_keys2 erzeugt; diese enthält Zeilen der Form:

root@julien root# cat /root/.ssh/authorized_keys2
from="XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net
from="::ffff:XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net



Problemlösung:


Auch wenn der Schlüssel korrekt installiert ist ist es möglich, daß unsere Mitarbeiter sich nicht mit Ihrer Maschine verbinden können. Dann wird der Zugang verweigert oder nach dem root-passwort gefragt (OVH hat Ihr root-Passwort NICHT, daher der nutzen des SSH-Schlüssels. Sie müssen dann foglende Punkte überprüfen:

1. Ist die Datei /root/.ssh/authorized_keys2 vorhanden (Ist der SSH-Schlüssel installiert?)?

2. Ist der SSH-Server korrekt konfiguriert, um Verbindungen von root zu akzeptieren? Dazu müssen Sie folgende Parameter in der Datei /etc/ssh/sshd_config überprüfen:

PermitRootLogin yes
'AuthorizedKeysFile' .ssh/authorized_keys2
UsePAM yes

Und anschließend falls notwendig den SSH-Server neu starten.

3. Ist das Stammverzeichnis des Benutzers root auch /root? Dazu müssen Sie die Konfiguration des benutzers root überprüfen:

root@julien /# grep root /etc/passwd
root:x:0:0:root:/root:/bin/bash


Das 6. Element der Zeile (Elemente werden durch : getrennt) muss /root sein.
Wenn das der Fall ist und trotzdem kein Zugang mit dem SSH-Schlüssel möglich ist, dann können Sie bei unserem Kundendienst einen Outsourcing-Eingriff bestellen, um den Zugang neu zu konfigurieren. Da dafür der direkte physische Zugriff auf ihren Server notwendig ist, wird dieser Eingriff mit 83,30 € inkl. MwSt berechnet (siehe auch: Kostenpflichtige Eingriffe, die OVH im Rahmen des Outsourcings übernehmen kann).


Deaktivierung des Schlüssels:


Wenn Sie möchten daß OVH nicht mehr die Möglichkeit hat, sich per SSH mit Ihrer Maschine zu verbinden, dann können Sie den SSH-Schlüssel deaktivieren. Von diesem Vorgehen raten wir jedoch ausdrücklich ab, da OVH dann nicht mehr für eine Diagnose, ein Hack-Problem oder oder eine Outsourcing-Dienstleistung auf Ihrem Server eingreifen kann. Die Behebung eines Problems, das mit einem SSH-Zugang mit Hilfe dieses Schlüssels schnell gelöst werden könnte wird so wahrscheinlich einen (Viel) längeren Zeitraum dauern.

Um den von OVH verwendeten Schlüssel zu deaktivieren genügt es, die Datei authorized_keys2 zu editieren und diese zwei Zeilen auszukommentieren (mit Hilfe des Zeichens #):

root@julien root# cat /root/.ssh/authorized_keys2
  1. from="XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net
  2. from="::ffff:XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net