PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH und .ssh/authorized_keys



devent
11.01.08, 00:26
Hallo
ich verstehe das ganze System von SSH und .ssh/authorized_keys nicht.
Ich habe das Tutorial von http://suso.org/docs/shell/ssh.sdf durchgelesen und versucht danach SSH einzurichten.

Also auf dem Host habe ich mittels ssh-keygen ein Private/Public Schluessel erstellt mit einer passphrase. Dann kopiere ich den Public-Key auf die remove Maschine. Wenn ich das ganze richtig verstanden habe, muss der Public-Key in die .ssh/authorized_keys. Per Zeile wird ein Public-Key abgelegt?

Wenn ich mich dann mit ssh einlogge:

ssh sshadmin@vserver.devent.org dann fragt er mich nach dem Password fuer den user sshadmin und ich bin eingeloggt. Muss er mich nicht auch noch nach der Passphrase des Public-Keys fragen? Woher weis ich ob die Daten mit dem Public-Key verschluesselt werden? Ohne die authorized_keys kann ich mich auch ohne Probleme verbinden.

Die authorized_keys sieht so aus:

ssh-rsa 5GMNv48bcEnH6bS21HNvU3/4sdXgPEGGxundnochmehr sshadmin@vserver.devent.org

Muss man noch irgendwas in /etc/ssh/ssh_config auf dem Host/Remove eintragen, damit RSA Public/Private key benutzt wird?

klemens
11.01.08, 02:24
brrr - zu später stunde tu ich mich auch schwer mit den Einzelheiten.

Ich verwende ebenfalls authorized_keys, aber ohne Passphrase. authorized_keys funktioniert erst, wenn die Rechte der Datei stimmen. Verzeichnis und Datei darf nur vom user lesbar sein. Ansonsten fällt ssh aufs login-Password zurück.

Ev. hilft ein
ssh -vv

lg
Klemens

drcux
11.01.08, 02:43
ssh -vvv user@host

sagt da schon einiges aus...

marce
11.01.08, 07:01
Du musst auf dem Client den key erzeugen und den in der ath-Keys auf dem Server abelegen - so wie ich dich verstehe hast Du es umgekehrt gemacht...

bluesky666
11.01.08, 07:40
also ich mache es immer nach dieser Anleitung und es funktioniert einwandfrei
http://archiv.debianhowto.de/de/sshconfig/index.html
wenn es richtig läuft stell ich die Passwort Abfrage ab und gehe nur noch per Key auf den jeweiligen Rechner ist einfach sicherer

marce
11.01.08, 07:43
also ich mache es immer nach dieser Anleitung und es funktioniert einwandfrei
http://archiv.debianhowto.de/de/sshconfig/index.html
wenn es richtig läuft stell ich die Passwort Abfrage ab und gehe nur noch per Key auf den jeweiligen Rechner ist einfach sicherer
na, dann verlierst Du hoffentlich nicht den Key an jemanden, der nichts damit anzufangen weiss :-)

Der Satz ist durchaus ein bisschen missverständlich formuliert...

Sagen wir so: Keys sind meist sicherer als reine Login/PW-Auth. Aber nur, wenn auch der Key ein PW hat...

heatwalker
11.01.08, 12:19
Sagen wir so: Keys sind meist sicherer als reine Login/PW-Auth. Aber nur, wenn auch der Key ein PW hat...

Da kann ich jetzt nicht wirklich folgen. Ein SSH Key ist in meinen Augen immer
sicherer als ein Login per PW. Solange ich sicherstellen kann, das mein Privater
Schlüssel nicht in falsche Hände gerät und mein öffentlicher Schlüssel sicher übermittelt wird, sehe ich kein Problem einen Key ohne Passwort zu generieren.

marce
11.01.08, 12:24
Solange
und in diesem Wort liegt das Problem :-)

heatwalker
11.01.08, 12:51
Die Skepsis kann ich wohl nachvollziehen.
Allerdings setze ich soviel Vernunft voraus, dass die Schlüssel (weder Privat noch Öffentlich) per mail über das Internet versandt werden und die entsprechenden Server gegen unbefugten lokalen Zugriff gesichert sind.

Sollten diese Dinge nicht gegeben sein, ist es vollkommen wurscht ob ich
per Login/Auth oder SSH Key auf den Server zugreife. Denn im Falle von
Passwörtern werden dann vermutlich Wörter wie Hund, Katze, Maus, verwendet. :ugly:

BedriddenTech
11.01.08, 15:40
Den öffentlichen Schlüssel kannst du meinetwegen auch per Bittorrent in die Welt pusten, das stört überhaupt nicht. :)

cane
11.01.08, 16:06
Allerdings setze ich soviel Vernunft voraus, dass die Schlüssel (weder Privat noch Öffentlich) per mail über das Internet versandt werden und die entsprechenden Server gegen unbefugten lokalen Zugriff gesichert sind.

Solche Konzepte verwässern fast immer:

Ich kenne kaum Server auf die man nicht auch mal von remote connecten muss, somit liegt der Schlüssel schonmal auf dem Desktop, auf dem Notebook und auf dem Smartphone.

Meine Empfehlung: Schlüssel immer mit Passwort und dann meinetwegen irgendnen Password-manager der das Passwort für die Sitzung speichert.

mfg
cane

devent
11.01.08, 22:26
also ich mache es immer nach dieser Anleitung und es funktioniert einwandfrei
http://archiv.debianhowto.de/de/sshconfig/index.html
wenn es richtig läuft stell ich die Passwort Abfrage ab und gehe nur noch per Key auf den jeweiligen Rechner ist einfach sicherer

Danke, jetzt funktionier es:)

bluesky666
16.01.08, 09:46
also meine Keys haben natürlich auch noch ein Passwort, ich meinte damit nur das ich im SSH die Passwortabfrage komplett deaktiviert habe, in dieser Kombination ist es glaube ich schon sehr sicher, und natürlich gebe ich niemand anderes meine Keys *g* und zjmm mitnehmen der Keys gibts ja nen USB Stick und z.B. Putty portable falls man an ner Windows Kiste sitzt dann hat man die Konfig und alles auf nem Stick (welcher natürlich verschlüsslelt ist)

exponator
16.01.08, 12:59
also ich mache es immer nach dieser Anleitung und es funktioniert einwandfrei
http://archiv.debianhowto.de/de/sshconfig/index.html


Hi
ich habe es ebenso gemacht, wie dort beschrieben.
Bei mir allerdings wird die Option IdentifyFile mit 'bad configuration options' angemeckert.

Ich benutze folgende Version: OpenSSH_4.6p1, OpenSSL 0.9.8e 23 Feb 2007

greez exponator

marce
16.01.08, 13:03
Option IdentifyFile mit 'bad configuration options' angemeckert.
Sicher, dass Du nicht IdentityFile2 meinst?

Den von Dir angegebenen Parameter finde ich dort in der Doku gar nicht...

exponator
16.01.08, 15:38
Hi marce

Sicher, dass Du nicht IdentityFile2 meinst?
Den von Dir angegebenen Parameter finde ich dort in der Doku gar nicht...

Genau. Du hast recht. Diese Option meine ich 'IdentityFile2'.
Steht beim angegebenen Link unter 4. Authentifizierung über öffentliche Schlüssel ziemlich unten auf der Seite im Unterpunkt 4.2

exponator
19.01.08, 18:12
Hi marce
folgendes habe ich jetzt versucht:


fw@server:~/.ssh> ssh -vvv fw@laptop
OpenSSH_4.6p1, OpenSSL 0.9.8e 23 Feb 2007
debug1: Reading configuration data /home/fw/.ssh/config
/home/fw/.ssh/config: line 4: Bad configuration option: IdentifyFile2
/home/fw/.ssh/config: terminating, 1 bad configuration options


Warum funktioniert das nicht bei mir, wie laut Anleitung unter Punkt 4.1 angegeben?