nicht angemeldet
Frage zu SSH Keys
Hallo Forum,
nachdem es mir gelungen ist, vom heimischen Rechner auf meinen Server per SSH und entsprechendem Key zuzugreifen, möchte ich etwas mehr. Ich hatte, bevor ich den Key (Heimrechner zu Server) eingerichtet hatte, bereits eingerichtet, vom Server zum Backupserver per SSH Verbindung zu haben. So konnte ich per rsync nachts die Server synchronisieren, wo es nötig/sinnvoll erschien.
Dieser Key (Server zu Backupserver) ist beim Einrichten des Key (Heimrechner zu Server) verloren gegangen.
Wie richtet man so ein System den ein?
Key von Heim zu Server UND zudem Key vom Server zu Backupserver?
Wer kann mir da weiterhelfen?
Jonas
-
Tach!
Ich hatte, bevor ich den Key (Heimrechner zu Server) eingerichtet hatte, bereits eingerichtet, vom Server zum Backupserver per SSH Verbindung zu haben. So konnte ich per rsync nachts die Server synchronisieren, wo es nötig/sinnvoll erschien.
Es gibt nicht den Key bei SSH, es gibt ein Schlüssel-Paar. Der öffentliche Schlüssel kommt da zu liegen, wo man sich hin verbinden möchte, der private verbleibt beim Nutzer, der sich verbinden möchte.
Dieser Key (Server zu Backupserver) ist beim Einrichten des Key (Heimrechner zu Server) verloren gegangen.
Welcher von beiden?
Wie richtet man so ein System den ein?
Was genau? Wie oben gesagt, der öffentliche kommt auf dem Server. Der private wird so verwendet, wie das Programm das möchte, das man zum Verbinden nehmen möchte. Du musst also etwas klarer werden in deinen Ausführungen.
Key von Heim zu Server UND zudem Key vom Server zu Backupserver?
Beides ist voneinander unabhängig. Auf dem Ziel ist der öffentliche Schlüssel meist eine Zeile in der ...userdir/.ssh/authorized_keys. Private Schlüssel sind üblicherweise in eigenen Dateien mit beliebigem Namen abgelegt.
dedlfix.
-
Was genau? Wie oben gesagt, der öffentliche kommt auf dem Server. Der private wird so verwendet, wie das Programm das möchte, das man zum Verbinden nehmen möchte. Du musst also etwas klarer werden in deinen Ausführungen.
Hallo,
das würde bedeuten, dass ich den Public Key vom Heimrechner löschen könnte? Weil, auf den soll ja gar keiner zugreifen.
Jonas
-
Tach!
Was genau? Wie oben gesagt, der öffentliche kommt auf dem Server. Der private wird so verwendet, wie das Programm das möchte, das man zum Verbinden nehmen möchte. Du musst also etwas klarer werden in deinen Ausführungen.
das würde bedeuten, dass ich den Public Key vom Heimrechner löschen könnte? Weil, auf den soll ja gar keiner zugreifen.
Der Public Key lässt sich jederzeit aus dem Private Key wiederherstellen. Du brauchst den dort im Prinzip nicht aufzubewahren. Andererseits wird der Heimrechner noch lange nicht zugreifbar, wenn da lediglich irgendwo ein öffentlicher Schlüssel rumliegt. Er muss schon da liegen, wo ihn der auf dem Heimrechner laufende SSH-Server - falls da einer läuft - erwartet.
dedlfix.
-
Andererseits wird der Heimrechner noch lange nicht zugreifbar, wenn da lediglich irgendwo ein öffentlicher Schlüssel rumliegt.
Mir gings nur darum, dass er auf dem Heimrechner unnötig ist.
Jonas
-
Wenn ich beim Einrichten des Key-Paares ein Passwort eingebe, bekomme ich bei rsync die Rückfrage Enter passphrase for key '/home/Ich/.ssh/id_rsa':
Den Sinn verstehe ich nicht ganz. Muß ich das Passwort leer lassen beim Anlegen?
Jonas
-
Tach!
Wenn ich beim Einrichten des Key-Paares ein Passwort eingebe, bekomme ich bei rsync die Rückfrage Enter passphrase for key '/home/Ich/.ssh/id_rsa':
Den Sinn verstehe ich nicht ganz. Muß ich das Passwort leer lassen beim Anlegen?
Du kannst den privaten Schlüssel mit einem Passwort schützen, damit der im Falle eines Abhandenkommens nicht so einfach verwendet werden kann. Das ist natürlich nachteilg für automatische Systeme, die dieses Passwort beim Verwenden des Schlüssels nicht eingeben können. Es ist auch nicht sinnvoll, das im Klartext beim Verwender abzulegen, dann kann man es gleich ganz weglassen. Und ja, das geht mit leer lassen beim Anlegen und ist auch keine ungewöhnliche Vorgehensweise.
Vielleicht geht auch noch was mit einem Key-Agenten, den man einmalig beim Start mit dem Passwort versorgt, aber dazu kann ich nichts weiter sagen.
dedlfix.
-
Hi,
Du kannst den privaten Schlüssel mit einem Passwort schützen, damit der im Falle eines Abhandenkommens nicht so einfach verwendet werden kann. Das ist natürlich nachteilg für automatische Systeme, die dieses Passwort beim Verwenden des Schlüssels nicht eingeben können. Es ist auch nicht sinnvoll, das im Klartext beim Verwender abzulegen, dann kann man es gleich ganz weglassen. Und ja, das geht mit leer lassen beim Anlegen und ist auch keine ungewöhnliche Vorgehensweise.
Also läufts darauf hinaus, dass man das Passowrt für manuelles Login auf dem server nimmt (dann wäre allerdings ein Passowrt-Login auf dem normalen SSH-Zugang abgeschaltet werden. Denn sonst macht der Key-Tausch ja mal gar keinen Sinn) und für alle autom. Vorgänge dann den Keytausch ohne Passwort.
Jonas
-
Tach!
Also läufts darauf hinaus, dass man das Passowrt für manuelles Login auf dem server nimmt (dann wäre allerdings ein Passowrt-Login auf dem normalen SSH-Zugang abgeschaltet werden. Denn sonst macht der Key-Tausch ja mal gar keinen Sinn) und für alle autom. Vorgänge dann den Keytausch ohne Passwort.
Kommt darauf an, was man bezweckt. Man hat ja vielleicht nicht immer den Key bei der Hand, dann wäre SSH-Zugang mit Passwort weiterhin notwendig. Man kann so einen Key-Zugang ja auch als reine Komfort-Funktion ansehen, die einem das Eingeben des Passworts erspart. Es ist letztlich eine Abwägungsfrage für dich als Betreiber des Systems, was du erreichen und was du verhindern möchtest.
Allerdings, wenn man mal ins Log eines öffentlich zugänglichen SSH-Servers schaut, wieviele Zugangsversuche mit Passwort dort auflaufen, sollte man schon einen gewissen Drang verspüren, den Passwort-Zugang zu sperren - zumindest für wichtige Nutzerkennungen.
dedlfix.
-
-
-
-
-
-
-