https://wiki.easycow.de/index.php?action=history&feed=atom&title=SSH_Key_Authentication_only_ESXi_4.1SSH Key Authentication only ESXi 4.1 - Versionsgeschichte2026-05-01T03:11:11ZVersionsgeschichte dieser Seite in CowwwikiMediaWiki 1.45.1https://wiki.easycow.de/index.php?title=SSH_Key_Authentication_only_ESXi_4.1&diff=338&oldid=prevBenjaminfras: Die Seite wurde neu angelegt: „SSH mit Passwortauthentifizierung gilt als äußerst bedenklich, vor allem wenn dieses global aus dem Internet erreichbar ist. Der unterdessen nicht mehr ganz akt…“2013-02-18T21:52:32Z<p>Die Seite wurde neu angelegt: „SSH mit Passwortauthentifizierung gilt als äußerst bedenklich, vor allem wenn dieses global aus dem Internet erreichbar ist. Der unterdessen nicht mehr ganz akt…“</p>
<p><b>Neue Seite</b></p><div>SSH mit Passwortauthentifizierung gilt als äußerst bedenklich, vor allem wenn dieses global aus dem Internet erreichbar ist. Der unterdessen nicht mehr ganz aktuelle ESXi 4.1 kann jedoch mit wenigen Handgriffen auch mit Keyfile konfiguriert werden. Wie das geht, erfahrt ihr hier in diesem Artikel.<br />
<br />
<br />
= Vorbereitungen =<br />
<br />
Ich gehe davon aus, dass ihr mit bereits einen SSH-Key erzeugt habt. Falls nicht, könnt ihr das unter Ubuntu mit folgendem Befehl nachholen:<br />
<br />
$ ssh-keygen -t rsa<br />
<br />
<br />
Anschließend könnt ihr den Key auf den entfernten Server übertragen:<br />
<br />
$ ssh-copy-id -i ~/.ssh/id_rsa.pub ''root@xxx.xxx.xxx.xxx''<br />
<br />
<br />
Die Anmeldung via Key-File könnt ihr so überprüfen:<br />
<br />
$ ssh ''root@xxx.xxx.xxx.xxx'' -i ~/.ssh/id_rsa<br />
<br />
<br />
= ESXi 4.1 =<br />
<br />
Um einen Sicherheitsgewinn zu bekommen, müssen wir aber die Passwortauthentifizierung deaktivieren. Das muss direkt über SSH oder Console am Hypervisor vorgenommen werden.<br />
<br />
<br />
== inetd.conf ==<br />
<br />
Um die Passwortauthentifizierung zu deaktivieren müssen wir '''-s''' in der /etc/inetd.conf ergänzen, sodass die Zeile wie folgt aussieht:<br />
<br />
<pre><br />
# Internet server configuration database <br />
<br />
# Remote shell access <br />
<br />
ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i -s -K60 <br />
</pre><br />
<br />
<br />
Damit die Änderung übernommen wird muss ''inetd'' gekillt und neugestartet werden:<br />
<br />
<pre><br />
$ ps aux | grep inetd<br />
<br />
16091017 16091017 busybox inetd<br />
<br />
$ kill 16091017<br />
<br />
$ inetd<br />
</pre><br />
<br />
<br />
== bootbank ==<br />
<br />
Damit das authorized_keys nicht nach dem Neustart verloren geht, muss ein kleines tar-Paket gebaut werden, welches nach dem Reboot wieder an der richtigen Stelle entpackt wird:<br />
<br />
$ tar -C / -czf "/bootbank/home.tgz" /.ssh<br />
<br />
<br />
Anschließend das File /bootbank/boot.cfg bearbeiten und "--- home.tgz" am Ende hinzufügen:<br />
<br />
<pre><br />
cat /bootbank/boot.cfg<br />
kernel=b.z<br />
kernelopt=<br />
modules=k.z --- s.z --- c.z --- oem.tgz --- license.tgz --- m.z --- state.tgz ---home.tgz<br />
build=4.1.0-800380<br />
updated=7<br />
bootstate=0<br />
</pre><br />
<br />
<br />
= Quellen =<br />
<br />
http://plone.lucidsolutions.co.nz/linux/vmware/esxi/enabling-ssh-with-public-key-authentication-on-vmware-esxi-4</div>Benjaminfras