...
Diese Host-Schlüssel sind sozusagen das Ausweispapier des Servers, die bei Aktivierung des ssh-Servers in der eisfair-Konfigurationsschicht automatisch erzeugt werden, die Erweiterung pub kennzeichnet den öffentlichen Schlüssel.
Im Zuge der Härtung des eisfair-ssh-Systems durch das Base-Update 2.3.9 werden nur noch ed25519- und rsa-(4096 Bit)-Schlüssel - sofern nicht vorhanden - erzeugt. Eventuell noch vorhandene id_host_dsa, id_host_ecdsa und id_host (rsa1) Schlüssel werden nicht gelöscht, gelten aber als unsicher und sollten daher, wenn es keine gravierenden Gründe für deren Beibehaltung gibt, aus /etc/ssh gelöscht werden. Ein älterer id_host_rsa-Key mit weniger als 4096 Bit sollte aus den gleichen Gründen mit 4096 Bit neu erzeugt werden. Server-Host-Keys können im SSH Administrationsmenü neu erzeugt werden.
Bei einer Kontaktaufnahme per ssh übermittelt der ssh-Server dem Client - nachdem sich die beiden Partner auf einen Schlüsseltyp geeinigt haben - den öffentlichen Schlüssel. Auf Client-Seite wird dieser öffentliche Schlüssel bei erstmaliger Verbindung mit diesem Server, eventuell nach Bestätigungsnachfrage, in ~/.ssh/known_hosts (in /root/.ssh/known_host für den User root) eingetragen und zukünftig als geprüft und genehmigt angesehen:
...
Je nach Konfiguration eines ssh-Servers Clients ist es auch möglich, dass dieser nach einer Nachfrage den veralteten Schlüssel selbst in der known_host-Datei gegen den neuen Schlüssel austauscht.
...
Statt der Eingabe eines Passwortes zur Authentifizierung am Server ist es möglich, sich per Schlüssel am Server zu legitimisieren. Diese Art der Authentifizierung ermöglicht, das dass Skripte automatisiert Daten per ssh, sftp oder rsync zwischen zwei Rechnern übertragen können, z. B. zu Backupzwecken oder Synchronisierung von Datenbeständen.
Hierzu ist es notwendig, sich auf dem Client-PC entsprechende Schlüsselpaare zur erzeugen. Diese Schlüssel bilden sozusagen Ausweispapiere eines Users, vergleichbar den Host-Keys eines Servers. Unter Linux und MobaXTerm dient hierzu das Programm ssh-keygen:
...
Nun muss der öffentliche Teil (.pub) dieser Schlüsselpaare auf den eisfair-Server übertragen und in die authorized_keys-Datei all der User auf dem Server eingefügt werden, mit deren Account man sich mit ssh verbinden möchte. Diese Datei befindet sich in ~/.ssh, also /home/<username>/.ssh bzw. /root/.ssh.
Es ist nicht ratsam, diese externen Authentifizierungs-Schlüssel in das Verzeichnis ~/.ssh zu kopieren, da die Schlüsselnamen mit denen lokal auf dem eisfair-Server erzeugten User-Schlüssel kollidieren können. Besser ist es im Homeverzeichnis des lokalen eisfair-Users eine eigenes Verzeichnis für externe öffentliche Schlüssel anzulegen z. B. externe_ssh_pub_keys, wovon ich im Weiteren ausgehe.
...