Ich wollte für einen Bekannten ein OpenElec (Kodi) auf einem RaspberryPi via SSH nach außen zugänglich machen. Das eigentliche Problem ist, dass man die Zugangsdaten (Username root oder Passwort openelec) in der Kommandozeile nicht ändern kann, aufgrund von deaktiviertem sudo. So entsteht, wenn man eine Portweiterleitung im Router auf den Raspberry einstellt, eine unangenehme Sicherheitslücke. Wenn man das Passwort nicht ändern kann, bleibt noch die Möglichkeit den Zugang zu SSH über Passwörter zu deaktivieren. Schlau gedacht und damit /etc/ssh/sshd_config angepasst: PasswordAuthentication no. Schade, das Filesystem ist read-only, speichern nicht möglich. Einen Remount mit rw ging nicht.

Aber man kann dem SSHDaemon trotzdem Startparameter unterschieben.
Der SSHD Start wird in folgender Datei definiert:
/usr/lib/systemd/system/sshd.service.
Und die sucht Konfigurationen wiederum hier:
/storage/.cache/services/sshd.conf.
In Zeile 2 kann man nun folgendes eintragen:
SSH_ARGS="-o 'PasswordAuthentication no'".
Beim nächsten Neustart ist die Passwortabfrage deaktiviert.
Darum vorsicht, den Public Key vorher in
/storage/.ssh/authorized_keys kopieren.