Re: server key + passwort auth =?ISO-8859-1?Q?f=FCr?= ssh root login

Sun, 12 Sep 2004 00:14:38 -0700 

Hallo

Jonas Meurer (<[EMAIL PROTECTED]>) wrote:

> wir haben folgendes szenario: einen server, der �ber ssh von mehreren
> leuten mit dem root-passwort verwaltet wird. da gerade f�r root
> ssh-logins aber nicht gerade empfehlenswert sind, wollen wir lieber
> key-authentication benutzen.

Ich w�re ja zuerst auf die Idee gekommen, root-Logins zu verbieten. Das
solltest Du am besten auch jetzt noch tun.

> das problem ist, dass die clients nicht fest deffinierbar oder
> festlegbar sind, es geht also nicht wie herk�mmlich, dass ich einfach
> alle keys der ssh clients nach .ssh/authorized_keys auf dem server
> kopiere.

Ist es nicht egal, auf welchem Rechner sich der private Schl�ssel
befindet? Ich hatte es so verstanden, da� man den �ffentlichen
Schl�ssen auf den Server kopiert, den privaten dann von �berall zum
Anmelden benutzen kann. Du kannst also f�r jeden Benutzer ein
Schl�sselpaar erstellen (lassen) und dann die �ffentlichen Schl�ssel
auf den Server kopieren. Oder einen erstellen und den privaten
Schl�ssel mit Passwort an jeden weiterverteilen, der Zugriff haben
soll.

> am besten w�re ein server key, den alle leute mit root-access dann auf
> ihrer diskette haben sollten, und der trotzdem noch ein passwort zum
> login ben�tigt. ist sowas irgendwie m�glich?

Das Passwort f�r den Schl�ssen kannst Du mit ssh-keygen anlegen oder
ver�ndern. Die Benutzer k�nnen dem SSH-Client mitteilen, wo der private
Schl�ssel ist, den sie verwenden wollen. Aus man ssh:

-i identity_file
             Selects a file from which the identity (private key) for 
             RSA or DSA authentication is read.  The default is 
             $HOME/.ssh/identity for protocol version 1, and 
             $HOME/.ssh/id_rsa and $HOME/.ssh/id_dsa for protocol 
             version 2.

Das l�sst sich auf den Clients auch �ber /etc/ssh_config oder
~/.ssh_config voreinstellen.

Gr��e
        Andreas Janssen

-- 
Andreas Janssen <[EMAIL PROTECTED]>
PGP-Key-ID: 0xDC801674 ICQ #17079270
Registered Linux User #267976
http://www.andreas-janssen.de/debian-tipps.html


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Antwort per Email an