PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH - ssh_host_rsa_key und ssh_host_rsa_key.pub



FaxMax
20.12.12, 19:28
Hallo Community,

erst mal code:

sshserver-VirtualBox ~ # ls -la /etc/ssh/
total 176
drwxr-xr-x 2 root root 4096 Nov 19 19:16 .
drwxr-xr-x 143 root root 12288 Dec 20 19:21 ..
-rw-r--r-- 1 root root 125749 Apr 2 2012 moduli
-rw-r--r-- 1 root root 1667 Nov 19 19:16 ssh_config
-rw-r--r-- 1 root root 2487 Nov 19 18:53 sshd_config
-rw------- 1 root root 668 Nov 19 18:22 ssh_host_dsa_key
-rw-r--r-- 1 root root 615 Nov 19 18:22 ssh_host_dsa_key.pub
-rw------- 1 root root 227 Nov 19 18:22 ssh_host_ecdsa_key
-rw-r--r-- 1 root root 187 Nov 19 18:22 ssh_host_ecdsa_key.pub
-rw------- 1 root root 1675 Nov 19 18:22 ssh_host_rsa_key
-rw-r--r-- 1 root root 407 Nov 19 18:22 ssh_host_rsa_key.pub
-rw-r--r-- 1 root root 302 Jan 10 2011 ssh_import_id
sshserver-VirtualBox ~ # ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
2048 cd:72:8c:7c:65:50:76:5f:62:9e:3b:b2:1f:a5:eb:65 root@sshserver-VirtualBox (RSA)
sshserver-VirtualBox ~ # ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub
2048 cd:72:8c:7c:65:50:76:5f:62:9e:3b:b2:1f:a5:eb:65 root@sshserver-VirtualBox (RSA)
sshserver-VirtualBox ~ # ssh-keygen -l -f /etc/ssh/ssh_host_dsa_key
1024 05:7f:d7:46:47:15:64:dd:6f:73:a2:b6:30:5c:72:0d root@sshserver-VirtualBox (DSA)
sshserver-VirtualBox ~ # ssh-keygen -l -f /etc/ssh/ssh_host_dsa_key.pub
1024 05:7f:d7:46:47:15:64:dd:6f:73:a2:b6:30:5c:72:0d root@sshserver-VirtualBox (DSA)
sshserver-VirtualBox ~ # ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key
256 6b:e9:79:0a:e8:73:4c:0f:dd:8e:0b:53:ab:a5:3a:50 root@sshserver-VirtualBox (ECDSA)
sshserver-VirtualBox ~ # ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key.pub
256 6b:e9:79:0a:e8:73:4c:0f:dd:8e:0b:53:ab:a5:3a:50 root@sshserver-VirtualBox (ECDSA)
sshserver-VirtualBox ~ #


So jetzt zur Frage wieso sind hier immer 2 Keys angelegt? wenn doch eh der Inhalt der selbe ist. Die Keys dienen ja dazu um die Echtheit des Server zu identifizieren, also ein "man in the middle" angriff abzuwehren.

Grüße Max

DrunkenFreak
20.12.12, 19:46
Der Inhalt ist nicht derselbe. Das eine ist ein Publickey und das andere der zugehörige Privatekey. Der öffentliche Schlüssel wird dir vorgelegt, damit du den Host identifizieren kannst. Über den privaten Schlüssel wird dann wahrscheinlich in Verbindung mit dem öffentlichen Schlüssel die Verschlüsselung ausgehandelt und hergestellt.

FaxMax
20.12.12, 19:57
Der Inhalt ist nicht derselbe. Das eine ist ein Publickey und das andere der zugehörige Privatekey. Der öffentliche Schlüssel wird dir vorgelegt, damit du den Host identifizieren kannst. Über den privaten Schlüssel wird dann wahrscheinlich in Verbindung mit dem öffentlichen Schlüssel die Verschlüsselung ausgehandelt und hergestellt.

Ok ich glaub, dass ich es jetzt verstanden hab. Die Schlüssel aus ~/.ssh/* sind dann für die Authentisierung des Users Zuständig und die unter /etc/ssh/* sind dann für die Verbindung da. Richtig so?

DrunkenFreak
20.12.12, 19:59
Die Schlüssel in /etc/ssh werden vom Server genutzt. Die öffentlichen Schlüssel werden bei dir in $HOME/.ssh/known_hosts eingetragen.

Die Schlüssel, die üblicherweise in $HOME/.ssh liegen, sind für die Authentifizierung da. Der Server bietet dir den öffentlichen Schlüssel an und du hast den privaten dazu. Passen sie zueinander, kann die Verbindung aufgebaut werden.

FaxMax
20.12.12, 20:04
Ok danke,

kannst du mir noch erklären wieso die Ausgabe identisch ist?


sshserver-VirtualBox ~ # ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
2048 cd:72:8c:7c:65:50:76:5f:62:9e:3b:b2:1f:a5:eb:65 root@sshserver-VirtualBox (RSA)
sshserver-VirtualBox ~ # ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub
2048 cd:72:8c:7c:65:50:76:5f:62:9e:3b:b2:1f:a5:eb:65 root@sshserver-VirtualBox (RSA)

Grüße Max

zyrusthc
20.12.12, 20:41
Schau dir mal den Inhalt mit cat an....

FaxMax
20.12.12, 20:58
Hallo zyrusthc,

dann mal anders gefragt wieso ist der Fingerprint identisch?

Grüße Max

zyrusthc
20.12.12, 20:59
Weil die Keys zusammen gehören.

Greeez Oli

FaxMax
20.12.12, 21:02
heißt das jetzt dass der Fingerprint aus Public und Private erstellt wird? oder passt der einfach "zufällig" auf beide?

Grüße Max

zyrusthc
20.12.12, 21:06
Ich würde mal sagen ein ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
Gibt dir den Fingerprint der dazugehörigen pub aus!

[zyrus@workstation ~]$ ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key
2048 48:39:49:f1:5d:a4:cd:ae:17:f4:22:07:a3:11:2e:4d /etc/ssh/ssh_host_rsa_key.pub (RSA)



Greeez Oli

FaxMax
20.12.12, 21:09
Ok... kannst du das ein bisschen erklären oder deine Quelle preisgeben ?
also wie du darauf kommst...

FaxMax
20.12.12, 21:13
ok ich denke ich hab den Beweis, dass es so ist.


mkdir /tmp/keys
cp /etc/ssh/ssh_host_rsa_key /tmp/keys/
ssh-keygen -l -f /tmp/keys/ssh_host_rsa_key
/tmp/keys/ssh_host_rsa_key is not a public key file.

zyrusthc
20.12.12, 21:14
Lies mal http://www.lysium.de/blog/index.php?/archives/186-How-to-get-ssh-server-fingerprint-information.html

Greeez Oli

FaxMax
20.12.12, 21:19
Ok danke Oli,

da das Thema jetzt gelöst ist kann es auch geschlossen werden :)

Grüße Max