Versions Compared

Version Old Version 9 New Version 10
Changes made by

Marcus Röckrath

Marcus Röckrath

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Dieses Dokument behandelt die Verwendung von Schlüsseln in SSH (SCP, SFTP) Verbindungen.

 


1: Host-Keys

In der Rolle als SSH-Server benötigt ein Rechner Schlüsselpaare, bestehend aus einem geheimen und einem öffentlichen Teil, die in /etc/ssh gespeichert werden:

...

Je nach Konfiguration eines ssh-Clients ist es auch möglich, dass dieser nach einer Nachfrage den veralteten Schlüssel selbst in der known_host-Datei gegen den neuen Schlüssel austauscht.

 

2a: User-Keys - Authentifizierung am eisfair-SSH-Server mit Schlüssel statt Passwort

...

  • Kopieren der *.pub-Schlüsseldateien vom Client in das Verzeichnis /root/externe_ssh_pub_keys, wobei statt der auf dem Herkunftsclient genutzten Dateinamen id_<typ>.pub auf dem eisfair-Server aussagekräftigere Namen wie max_an_client_1_<typ>.pub gewählt werden sollten, damit sich Schlüssel verschiedener Client-Rechner nicht gegenseitig in die Quere kommen.
  • Auf dem eisfair-Server als root anmelden.

  • Die ssh-Konfiguration öffnen und die Schlüssel eintragen:

    Code Block
    languagebash
    SSH_PUBLIC_KEY_N='2'  
SSH_PUBLIC_KEY_1_NAME='Max ED25519-Schluessel von Client 1'
SSH_PUBLIC_KEY_1_ACTIVE='yes'
SSH_PUBLIC_KEY_1='/root/externe_ssh_pub_keys/max_an_client_1_ed25519.pub'
SSH_PUBLIC_KEY_2_NAME='Max RSA-Schluessel von Client 1'
SSH_PUBLIC_KEY_2_ACTIVE='yes'
SSH_PUBLIC_KEY_2='/root/externe_ssh_pub_keys/max_an_client_1_rsa.pub'
  • Die auf den Server übertragenen Schlüssel dürfen nicht vom eisfair-Server gelöscht werden, da jeder erneute Aufruf der ssh-Konfiguration die authorized_keys für root neu erzeugt und daher jederzeit die in der Konfiguration eingetragenen Schlüssel vorhanden sein müssen.

 

2b: User-Keys - Authentifizierung eines eisfair-Users an einem anderen Server/Client mit Schlüssel statt Passwort

...

Das Übertragen und Installieren dieser Schlüssel auf dem Zielrechner geschieht analog zu den Darstellungen im vorangegangenen AbschnittAbschnitt 2a.

 

2c: User-Keys - Authentifizierung eines eisfair-Users an einem anderen eisfair-Server mit Schlüssel statt Passwort

Zunächst sind gemäß Abschnitt 2b auf dem eisfair-Server, der die Rolle des Clients spielt, die entsprechenden Schlüssel zu erzeugen und anschließend nach Abschnitt 2a in den zweiten eisfair-Server (Server-Rolle) zu importieren.

 

Das generelle Abschaltung einer Passwort-Authentifizierung auf einem Server darf erst dann erfolgen, wenn die Authentifizierung mittels Key funktioniert, ansonsten sperrt man sich selbst aus dem Server aus.