Appliance-Kit › Appliance-Anleitung › Erstellen einer VPS-Vorlage › Einrichten von zwei SSH-Serverinstanzen

Einrichten von zwei SSH-Serverinstanzen

In diesem Schritt wird ein zweiter SSH-Server eingerichtet, sodass der VPS sowohl für den Client, der ihn mietet, als auch für den VPS-Provider (sowie für Administratoren des CA 3Tera AppLogic-Grids selbst) zugänglich ist, während jede SSH-Instanz seine eigenen Konfiguration beibehält und keine Änderungen die Funktionsweise der anderen Instanz stören. Die erste SSH-Instanz, wie von der Betriebssysteminstallation konfiguriert wurde, wird von den VPS-Benutzern verwendet und von ihnen konfiguriert. Die sekundäre Instanz dient dem Zugriff vom Grid aus für den VPS-Anbieter/Administrator.

Beachten Sie, dass das eigentliche Setup mit dem Betriebssystemtyp und der SSH-Serverversion variieren kann. Bei den hier genannten Beispielen wird vorausgesetzt, dass das Betriebssystem im Unix-Stil und der Server als OpenSSH vorliegen.

Die zwei Instanzen des SSH-Servers können mit unterschiedlichen Sicherheitseinstellungen konfiguriert werden, um die bestimmten Anforderungen der VPS-Benutzer zu erfüllen.

1. Kopieren Sie die Konfiguration von SSHD in ein neues Unterverzeichnis, zum Beispiel:
   mkdir /etc/ssh_grid
   cp /etc/ssh/sshd_config /etc/ssh_grid
2. Bearbeiten Sie die ursprüngliche Konfigurationsdatei (//etc/ssh/sshd_config) und:
   • Entfernen Sie ggf. alle ListenAddress-Richtlinien.
   • Fügen Sie der Konfigurationsdatei die folgenden Zeilen hinzu (ohne Leerzeilen dazwischen):
     # $$propN: 1111:primary_ip
     ListenAddress 1111
3. Bearbeiten Sie die kopierte Konfigurationsdatei (/etc/ssh_grid/sshd_config), und nehmen Sie die folgenden Änderungen vor:
   • Deaktivieren Sie umgekehrte DNS-Suchen:
     UseDNS no (oder bei einigen SSH-Implementierungen "LookupClientHostnames no")
   • Deaktivieren Sie Kennwortanmeldungen:
     PasswordAuthentication no
   • Lassen Sie eine Root-Anmeldung zu (nur mit Schlüssel):
     PermitRootLogin without-password
   • Legen Sie einen benutzerdefinierten Schlüsseldateinamen fest, der nur für "Root" funktioniert:
     AuthorizedKeysFile /root/.ssh/alt_authorized_keys
   • Deaktivieren Sie die GSSAPI-Authentifizierung (kann von der CA 3Tera AppLogic-Steuereinrichtung nicht verwendet werden):
     GSSAPIAuthentication no
   • Entfernen Sie alle ListenAddress-Optionen
4. Erstellen Sie für den zweiten SSH-Server ein neues automatisches Startskript für den zweiten SSH-Server:
   # get service IP address
   f=/var/run/applogic/appliance.desc
   p=instance:`udlparse elst $f instance`/interface:default
   addr=`udlparse get $f $p/ip`
   
   # start ssh daemon
   sshd -f /etc/ssh_grid/sshd_config -o ListenAddress=$addr