Re: server key + passwort auth für ssh root login
Hallo Jonas Meurer ([EMAIL PROTECTED]) wrote: wir haben folgendes szenario: einen server, der über ssh von mehreren leuten mit dem root-passwort verwaltet wird. da gerade für root ssh-logins aber nicht gerade empfehlenswert sind, wollen wir lieber key-authentication benutzen. Ich wäre ja zuerst auf die Idee gekommen, root-Logins zu verbieten. Das solltest Du am besten auch jetzt noch tun. das problem ist, dass die clients nicht fest deffinierbar oder festlegbar sind, es geht also nicht wie herkömmlich, dass ich einfach alle keys der ssh clients nach .ssh/authorized_keys auf dem server kopiere. Ist es nicht egal, auf welchem Rechner sich der private Schlüssel befindet? Ich hatte es so verstanden, daß man den öffentlichen Schlüssen auf den Server kopiert, den privaten dann von überall zum Anmelden benutzen kann. Du kannst also für jeden Benutzer ein Schlüsselpaar erstellen (lassen) und dann die öffentlichen Schlüssel auf den Server kopieren. Oder einen erstellen und den privaten Schlüssel mit Passwort an jeden weiterverteilen, der Zugriff haben soll. am besten wäre ein server key, den alle leute mit root-access dann auf ihrer diskette haben sollten, und der trotzdem noch ein passwort zum login benötigt. ist sowas irgendwie möglich? Das Passwort für den Schlüssen kannst Du mit ssh-keygen anlegen oder verändern. Die Benutzer können dem SSH-Client mitteilen, wo der private Schlüssel ist, den sie verwenden wollen. Aus man ssh: -i identity_file Selects a file from which the identity (private key) for RSA or DSA authentication is read. The default is $HOME/.ssh/identity for protocol version 1, and $HOME/.ssh/id_rsa and $HOME/.ssh/id_dsa for protocol version 2. Das lässt sich auf den Clients auch über /etc/ssh_config oder ~/.ssh_config voreinstellen. Grüße Andreas Janssen -- Andreas Janssen [EMAIL PROTECTED] PGP-Key-ID: 0xDC801674 ICQ #17079270 Registered Linux User #267976 http://www.andreas-janssen.de/debian-tipps.html -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: server key + passwort auth für ssh root login
On 12/09/2004 Andreas Janssen wrote: Jonas Meurer ([EMAIL PROTECTED]) wrote: wir haben folgendes szenario: einen server, der über ssh von mehreren leuten mit dem root-passwort verwaltet wird. da gerade für root ssh-logins aber nicht gerade empfehlenswert sind, wollen wir lieber key-authentication benutzen. Ich wäre ja zuerst auf die Idee gekommen, root-Logins zu verbieten. Das solltest Du am besten auch jetzt noch tun. naja, mit key-only login ist schon ok. jedesmal su ausführen bringt auch nicht mehr sicherheit. Ist es nicht egal, auf welchem Rechner sich der private Schlüssel befindet? Ich hatte es so verstanden, daß man den öffentlichen Schlüssen auf den Server kopiert, den privaten dann von überall zum Anmelden benutzen kann. Du kannst also für jeden Benutzer ein Schlüsselpaar erstellen (lassen) und dann die öffentlichen Schlüssel auf den Server kopieren. Oder einen erstellen und den privaten Schlüssel mit Passwort an jeden weiterverteilen, der Zugriff haben soll. Das Passwort für den Schlüssen kannst Du mit ssh-keygen anlegen oder verändern. Die Benutzer können dem SSH-Client mitteilen, wo der private Schlüssel ist, den sie verwenden wollen. Aus man ssh: tausend dank, du hast recht. es funktioniert einwandfrei. bye jonas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: server key + passwort auth für ssh root login
On Sun, Sep 12, 2004 at 09:15:32AM +0200, Andreas Janssen wrote: befindet? Ich hatte es so verstanden, daß man den öffentlichen Schlüssen auf den Server kopiert, den privaten dann von überall zum Anmelden benutzen kann. Du kannst also für jeden Benutzer ein Aehm, kleine Nachfrage: netzintern arbeite ich schon von Anfang an mit ssh-keys, weil mir die staendige Passworteingabe zu bloed wurde. IMHO ist das aber dann so, dass bei Permit Root login NO in der sshd_config trotzdem kein root-login moeglich ist. Das nur nebenbei. Wichtiger ist mir: bedeutet obiges, dass ich meinen Key einfach aufn USB-Stick, ne Diskette oder sonstwas kopiere, dann irgendwie (wie?) Putty oder einem anderen ssh auf einem x-beliebigen Rechner mitteile, dass dieser Key vorhanden ist, und dann kann ich mit Hilfe dieses Keys, der nur gelesen und nirgendwohin kopiert wird, mich auf dem Server ohne Eingabe eines Passwortes anmelden, so wie zu Hause zwischen Client und Server!? ciao, Dirk -- | Akkuschrauber-Kaufberatung and AEG-GSM-stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: server key + passwort auth für ssh root login
am Sun, dem 12.09.2004, um 19:05:38 +0200 mailte Dirk Salva folgendes: bedeutet obiges, dass ich meinen Key einfach aufn USB-Stick, ne Diskette oder sonstwas kopiere, dann irgendwie (wie?) Putty oder einem anderen ssh auf einem x-beliebigen Rechner mitteile, dass dieser Key vorhanden ist, und dann kann ich mit Hilfe dieses Keys, der nur gelesen und nirgendwohin kopiert wird, mich auf dem Server ohne Ja. Eingabe eines Passwortes anmelden, so wie zu Hause zwischen Client und Server!? Passphrase. Falls die leer ist, dann ohne Abfrage. Ich würde aber abraten, einen SSH-Key ohne Passphrase via Döskette/USB-Stick umherzutragen, überleg, was bei Verlust geschieht. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: server key + passwort auth für ssh root login
On 12/09/2004 Dirk Salva wrote: Aehm, kleine Nachfrage: netzintern arbeite ich schon von Anfang an mit ssh-keys, weil mir die staendige Passworteingabe zu bloed wurde. IMHO ist das aber dann so, dass bei Permit Root login NO in der sshd_config trotzdem kein root-login moeglich ist. Das nur nebenbei. naja, laut sshd_config(5) erlaubt die PermitRootLogin option auch without-password, was zur folge hat, dass nurnoch key logins erlaubt sind. Wichtiger ist mir: bedeutet obiges, dass ich meinen Key einfach aufn USB-Stick, ne Diskette oder sonstwas kopiere, dann irgendwie (wie?) Putty oder einem anderen ssh auf einem x-beliebigen Rechner mitteile, dass dieser Key vorhanden ist, und dann kann ich mit Hilfe dieses Keys, der nur gelesen und nirgendwohin kopiert wird, mich auf dem Server ohne Eingabe eines Passwortes anmelden, so wie zu Hause zwischen Client und Server!? jo, ganz genau. deshalb ist ein key nur sicher, wenn du ihn sicher verwaltest. und deshalb hat mein key trotzdem noch ein nicht zu einfaches passwort, damit niemand mit dem key alleine was anfangen _könnte_! bye jonas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: server key + passwort auth für ssh root login
On Sun, Sep 12, 2004 at 07:20:38PM +0200, Jonas Meurer wrote: netzintern arbeite ich schon von Anfang an mit ssh-keys, weil mir die staendige Passworteingabe zu bloed wurde. IMHO ist das aber dann so, dass bei Permit Root login NO in der sshd_config trotzdem kein root-login moeglich ist. Das nur nebenbei. naja, laut sshd_config(5) erlaubt die PermitRootLogin option auch without-password, was zur folge hat, dass nurnoch key logins erlaubt sind. Aha. Um also ein login via ssh als root komplett abzuwehren, reicht PermitRootLogin NO *nicht* aus? Was denn? Vielleicht noch ein DenyUsers root einfuegen? ciao, Dirk -- | Akkuschrauber-Kaufberatung and AEG-GSM-stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: server key + passwort auth für ssh root login
Hallo Dirk Salva ([EMAIL PROTECTED]) wrote: On Sun, Sep 12, 2004 at 07:20:38PM +0200, Jonas Meurer wrote: netzintern arbeite ich schon von Anfang an mit ssh-keys, weil mir die staendige Passworteingabe zu bloed wurde. IMHO ist das aber dann so, dass bei Permit Root login NO in der sshd_config trotzdem kein root-login moeglich ist. Das nur nebenbei. naja, laut sshd_config(5) erlaubt die PermitRootLogin option auch without-password, was zur folge hat, dass nurnoch key logins erlaubt sind. Aha. Um also ein login via ssh als root komplett abzuwehren, reicht PermitRootLogin NO *nicht* aus? Was denn? Vielleicht noch ein DenyUsers root einfuegen? Das hast Du falsch verstanden. Mit PermitRootLogin without-password kann sich Root noch anmelden, aber nicht mehr über die PasswordAuthentication. Allerdings: ,--- |Note that other authentication methods (e.g., keyboard-interactive/PAM) |may still allow root to login using a password. `--- Mit PermitRootLogin No sollte es dann gar nicht mehr gehen. Grüße Andreas Janssen -- Andreas Janssen [EMAIL PROTECTED] PGP-Key-ID: 0xDC801674 ICQ #17079270 Registered Linux User #267976 http://www.andreas-janssen.de/debian-tipps.html -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
server key + passwort auth für ssh root login
hallo, wir haben folgendes szenario: einen server, der über ssh von mehreren leuten mit dem root-passwort verwaltet wird. da gerade für root ssh-logins aber nicht gerade empfehlenswert sind, wollen wir lieber key-authentication benutzen. das problem ist, dass die clients nicht fest deffinierbar oder festlegbar sind, es geht also nicht wie herkömmlich, dass ich einfach alle keys der ssh clients nach .ssh/authorized_keys auf dem server kopiere. am besten wäre ein server key, den alle leute mit root-access dann auf ihrer diskette haben sollten, und der trotzdem noch ein passwort zum login benötigt. ist sowas irgendwie möglich? bye jonas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)