Offener SSH Server bei Linux Installation mit Netboot-Paket
Verfasst: 10 Dez 2025, 13:41
Hallo zusammen,
wir experimentieren gerade etwas mit den Netboot-Paketen für verschiedene Linux-Distributionen herum. Eher durch Zufall sind wir beim Ansehen des Mint-Pakets über ein Postinstall-Skript gestolpert, welches nach der Betriebssysteminstallation noch ein paar Pakete nachinstalliert. In den Mint-Paketen befindet sich dieses im Pfad ./opsi/postinst.d/01_packages.sh .
Unter den Paketen die nachinstalliert werden, befindet sich jedoch auch "openssh-server". Bei Installation dessen wird dieser (wie in der im Paket enthaltenen service-Datei auch vorgegeben) sofort gestartet und auch nach jedem Systemstart wieder gestartet. Dabei werden (zumindest soweit ich erkennen konnte) keine Änderungen an den Einstellungen des SSH-Servers vorgenommen. Beudeutet, dass das Gerät permanent mit einen SSH-Server ausgestattet wird, an welchem sich auch mit für den Rechner gültigen Credentails (etwa Nutzername und Passwort) angemeldet werden kann.
Das halte ich für sicherheitstechnisch nicht ganz unbedenklich und das möchten wir in unserem Netzwerk auch nur ungerne so verwenden.
Deshalb folgende Fragen von mir:
- Warum wird überhaupt ein SSH-Server auf den Geräten installiert? Ich vermute mal, dass darüber der Client-Agent ausgerollt wird?
- Lässt sich diese Installation (außer durch Abändern der Post-Installationsskripts) unterbinden?
- Kann der SSH-Server nach der Installation des opsi-client-Agents wieder deaktiviert werden?
Liebe Grüße und Danke für eure Antworten und Hilfe
wir experimentieren gerade etwas mit den Netboot-Paketen für verschiedene Linux-Distributionen herum. Eher durch Zufall sind wir beim Ansehen des Mint-Pakets über ein Postinstall-Skript gestolpert, welches nach der Betriebssysteminstallation noch ein paar Pakete nachinstalliert. In den Mint-Paketen befindet sich dieses im Pfad ./opsi/postinst.d/01_packages.sh .
Unter den Paketen die nachinstalliert werden, befindet sich jedoch auch "openssh-server". Bei Installation dessen wird dieser (wie in der im Paket enthaltenen service-Datei auch vorgegeben) sofort gestartet und auch nach jedem Systemstart wieder gestartet. Dabei werden (zumindest soweit ich erkennen konnte) keine Änderungen an den Einstellungen des SSH-Servers vorgenommen. Beudeutet, dass das Gerät permanent mit einen SSH-Server ausgestattet wird, an welchem sich auch mit für den Rechner gültigen Credentails (etwa Nutzername und Passwort) angemeldet werden kann.
Das halte ich für sicherheitstechnisch nicht ganz unbedenklich und das möchten wir in unserem Netzwerk auch nur ungerne so verwenden.
Deshalb folgende Fragen von mir:
- Warum wird überhaupt ein SSH-Server auf den Geräten installiert? Ich vermute mal, dass darüber der Client-Agent ausgerollt wird?
- Lässt sich diese Installation (außer durch Abändern der Post-Installationsskripts) unterbinden?
- Kann der SSH-Server nach der Installation des opsi-client-Agents wieder deaktiviert werden?
Liebe Grüße und Danke für eure Antworten und Hilfe