* Denny Schierz schrieb/wrote:
Da ich auf dem Root einen wesentlich h�heren Upload habe, ist die Verteilung von dort sinnvoller. Nun, ein freistehender Server im Netz besitzt von sich aus schon eine recht gro�e Angriffsfl�che. Sollte ich nun Keys auf den Server packen, k�nnten Angreifer bequem auf meine Router zugreifen, da ich meinen Schl�sseln eigentlich selten eine Passphrase verpasse. Lokal habe ich meine Schl�ssel auf enen USB Stick, mit verschl�sselten Dateisystem. Dem Server sein Key m�chte ich dagegen nicht auf den Routern haben, auch wenn ich dem eine Passphrase verpassen k�nnte. Es ist zu umst�ndlich, zumal Router kommen und gehen.
Also w�re eine altbackende Passwort Anmeldung am vorzuziehen, halt nur von diesem Server. Bei allen anderen muss der Key vorliegen.
Okay, ganz einfache L�sung.
Du generierst Dir ein Schl�sselpaar (mit Kennwort) f�r die Kommunikation mit den Routern:
ssh-keygen -f ~/.ssh/router-dist-key
router-dist-key.pub hinterlegst Du auf den Routern in der passenden .ssh/authorized_keys und schreibst noch etwas vor die betreffende Zeile:
from="rootserver.denny.example.com" 1024 35 0537157489199183258169....
In Deine ~/.ssh/config auf dem Rootserver schreibst Du:
Host router1 router2 (Bin mir nicht ganz sicher wg. Listenformat)
CheckHostIP no (Sind ja vermutlich alles dyn. IPs)
IdentityFile $HOME/.ssh/router-dist-keyDamit wird f�r die Verbindung zu Deinen Routern dieser Key verwendet, und die Router nehmen mit diesem Key nur Verbindungen von Deinem Rootserver an.
Wenn Dir das mit den authorized_keys zu stressig ist, baust Du Dir einfach ein Schmalspur-DEB, das die Datei automatisch hinbringt. Das wird vom Installationsaufwand wohl zu verkraften sein.
-martin
-- +-------------------------+------------------------+ | Martin Schmitt | Schmitt Systemberatung | | http://www.scsy.de/~mas | http://www.scsy.de | +-------------------------+------------------------+
signature.asc
Description: OpenPGP digital signature
