Unterschiede zwischen den Revisionen 3 und 6 (über 3 Versionen hinweg)
Revision 3 vom 2008-11-05 15:24:08
Größe: 935
Autor: napoleon
Kommentar:
Revision 6 vom 2009-06-24 08:11:51
Größe: 2711
Autor: net
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
=== OpenSSH: Public Key Authentication konfigurieren === == OpenSSH: Public Key Authentication konfigurieren ==
Als "Public Key Authentication" bezeichnet man eine Methode, um sich z.B. an einem SSH-Server mit Hilfe eines Schlüsselpaares anzumelden. Das Schlüsselpaar besteht dabei aus dem ''Private Key'' und dem ''Public Key''. Der öffentliche Schlüssel wird auf dem Server hinterlegt, während der private Schlüssel sich allein im Besitz des Clients befindet und unter allen Umständen geheim gehalten werden sollte.
Zeile 3: Zeile 4:
   1. Key generieren:
      ssh-keygen -b 2048 -t rsa
      erzeugt in ~/.ssh die Dateien id_rsa und id_rsa.pub
      '''Achtung!''' Dabei auf eine Passphrase zu verzichten, bedeutet ein erhebliches Sicherheitsrisiko. Falls der private Key in fremde Hände gerät, kann weltweit von jedem System aus ein ssh-Zugang eingeleitet werden.
      Zusätzlich kann man bei Bedarf mit dem Parameter -f $DATEINAME bestimmen wie die Dateinamen des neu erzeugten Schlüsselpaars heissen sollen.
   2. "Authorization" Datei sicher anlegen:
      Datei ~/.ssh/authorized_keys anlegen und auf mode 600 setzen:
      touch ~/.ssh/authorized_keys ; chmod 600 ~/.ssh/authorized_keys
   3. Authorization Datei füllen:
      Public Keys vertrauenswürdiger Rechner in die authorized_keys aufnehmen, ein Key pro Zeile, z.B. mit
      cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys"
Neben verbesserter Sicherheit bietet dieses Verfahren den Vorteil, dass man kein Passwort eingeben muss, um sich an einem Server anzumelden, solange man die Schlüssel nicht mit einer sogenannten ''"Passphrase"'' sichert. Der Nachteil dieses Systems ist, dass man seinen privaten Schlüssel immer dabei haben muss (Laptop, USB-Stick, ...), wenn man von unterwegs auf den jeweiligen Dienst zugreifen möchte.
<<BR>>
<<BR>>
Um eine "Public Key Authentication" f&uuml;r die Anmeldung an SSH-Servern des FB3 per OpenSSH einzurichten, sind die folgenden Schritte zu beachten:


=== 1. Key generieren: ===
 Um ein Schl&uuml;sselpaar zu erzeugen, kann auf dem Client-Rechner das folgende Kommando ausgef&uuml;hrt werden:

 {{{
ssh-keygen -b 2048 -t rsa
}}}

 Es erzeugt in {{{~/.ssh}}} die Dateien {{{id_rsa}}} (''Private Key'') und {{{id_rsa.pub}}} (''Public Key''). Mit dem Parameter {{{-f $DATEINAME}}} k&ouml;nnen die Dateinamen und -pfade angepasst werden.<<BR>><<BR>>

 (!) '''Achtung!''' Dabei auf eine ''Passphrase'' zu verzichten, bedeutet ein erhebliches Sicherheitsrisiko. Falls der ''Private Key'' in fremde Hände gerät, kann weltweit von jedem System aus ein ssh-Zugang eingeleitet werden.<<BR>>

=== 2. "Authorization" Datei sicher anlegen: ===
 Der soeben erzeugte ''Public Key'' ({{{~/.ssh/id_rsa.pub}}}) kann nun auf dem Server installiert werden. Wenn man ihn im eigenen Home-Verzeichnis des Fachbereichs hinterlegt, ist er automatisch auf den meisten Linux/Unix-Rechnern des Fachbereichs verf&uuml;gbar. Dazu muss zun&auml;chst die Datei angelegt werden, in die alle verwendeten ''Public Keys'' eingetragen werden. Die Datei sollte aus Sicherheitsgr&uuml;nden nur f&uuml;r den Benutzer les- und schreibbar sein (Mode 600).

 {{{
touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
}}}

=== 3. Authorization Datei füllen: ===
 Als letztes muss noch der ''Public Key'' in die eben erzeugte Datei {{{authorized_keys}}} aufgenommen werden. Es k&ouml;nnen auch mehrere ''Public Keys'' aufgenommen werden, wobei zu beachten ist, dass jeder Schl&uuml;ssel in einer eigenen Zeile stehen muss.

 {{{
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
}}}

OpenSSH: Public Key Authentication konfigurieren

Als "Public Key Authentication" bezeichnet man eine Methode, um sich z.B. an einem SSH-Server mit Hilfe eines Schlüsselpaares anzumelden. Das Schlüsselpaar besteht dabei aus dem Private Key und dem Public Key. Der öffentliche Schlüssel wird auf dem Server hinterlegt, während der private Schlüssel sich allein im Besitz des Clients befindet und unter allen Umständen geheim gehalten werden sollte.

Neben verbesserter Sicherheit bietet dieses Verfahren den Vorteil, dass man kein Passwort eingeben muss, um sich an einem Server anzumelden, solange man die Schlüssel nicht mit einer sogenannten "Passphrase" sichert. Der Nachteil dieses Systems ist, dass man seinen privaten Schlüssel immer dabei haben muss (Laptop, USB-Stick, ...), wenn man von unterwegs auf den jeweiligen Dienst zugreifen möchte.

Um eine "Public Key Authentication" für die Anmeldung an SSH-Servern des FB3 per OpenSSH einzurichten, sind die folgenden Schritte zu beachten:

1. Key generieren:

  • Um ein Schlüsselpaar zu erzeugen, kann auf dem Client-Rechner das folgende Kommando ausgeführt werden:

    ssh-keygen -b 2048 -t rsa

    Es erzeugt in ~/.ssh die Dateien id_rsa (Private Key) und id_rsa.pub (Public Key). Mit dem Parameter -f $DATEINAME können die Dateinamen und -pfade angepasst werden.

    (!) Achtung! Dabei auf eine Passphrase zu verzichten, bedeutet ein erhebliches Sicherheitsrisiko. Falls der Private Key in fremde Hände gerät, kann weltweit von jedem System aus ein ssh-Zugang eingeleitet werden.

2. "Authorization" Datei sicher anlegen:

  • Der soeben erzeugte Public Key (~/.ssh/id_rsa.pub) kann nun auf dem Server installiert werden. Wenn man ihn im eigenen Home-Verzeichnis des Fachbereichs hinterlegt, ist er automatisch auf den meisten Linux/Unix-Rechnern des Fachbereichs verfügbar. Dazu muss zunächst die Datei angelegt werden, in die alle verwendeten Public Keys eingetragen werden. Die Datei sollte aus Sicherheitsgründen nur für den Benutzer les- und schreibbar sein (Mode 600).

    touch ~/.ssh/authorized_keys
    chmod 600 ~/.ssh/authorized_keys

3. Authorization Datei füllen:

  • Als letztes muss noch der Public Key in die eben erzeugte Datei authorized_keys aufgenommen werden. Es können auch mehrere Public Keys aufgenommen werden, wobei zu beachten ist, dass jeder Schlüssel in einer eigenen Zeile stehen muss.

    cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

SSH/OpenSSH_PubKey_Config (zuletzt geändert am 2023-05-08 07:59:39 durch manal)