Rechner mit identen ssh-Keys
Ich habe einen Backup-Gateway-Rechner aufgesetzt, der idente SSH-Keys (/etc/ssh) und idente IP-Adressen und Konfigurationen hat. Nun möchte ich diesen Rechner für Testzwecke in das Netz hängen. Reicht es wenn ich die IP-Adressen der beiden NICs ändere, sowie den Namen und das Routing ändere? Man kann auf den Rechner auch nür mit Keys zugreifen. Ist es ein Problem wenn /etc/ssh ident ist? Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb:
Ist es ein Problem wenn /etc/ssh ident ist?
Du wirst einige deutliche Warnmeldungen erhalten, denn in den Dateien known_hosts und authorized_keys in den .ssh Verzeichnissen der user stehen auf dem System mit den geänderten Namen/ip-Adressen die verdächtigen alten Namen/Adressen. Gruß Franz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 26. Februar 2007 19:35 schrieb Franz Linter:
Al Bogner schrieb:
Ist es ein Problem wenn /etc/ssh ident ist?
Du wirst einige deutliche Warnmeldungen erhalten, denn in den Dateien known_hosts und authorized_keys in den .ssh Verzeichnissen der user stehen auf dem System mit den geänderten Namen/ip-Adressen die verdächtigen alten Namen/Adressen.
.ssh und authorized_keys sind auf beiden Rechnern ident, Grundsätzlich klappt es den Reserve-Rechner ohne Tastatur und Monitor anschließen und weiterzuarbeiten. Ich bin mir eben nur nicht sicher, ob die identen Keys auf beiden Rechnern in irgendeiner Weise ein Problem werden könnten. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb:
Am Montag, 26. Februar 2007 19:35 schrieb Franz Linter:
Al Bogner schrieb:
Ist es ein Problem wenn /etc/ssh ident ist? Du wirst einige deutliche Warnmeldungen erhalten, denn in den Dateien known_hosts und authorized_keys in den .ssh Verzeichnissen der user stehen auf dem System mit den geänderten Namen/ip-Adressen die verdächtigen alten Namen/Adressen.
.ssh und authorized_keys sind auf beiden Rechnern ident, Grundsätzlich klappt es den Reserve-Rechner ohne Tastatur und Monitor anschließen und weiterzuarbeiten. Ich nehme an, du willst beide Systeme (gateway und backupgateway) ins Netz stellen, sonst müstest du ja nicht die Adressen und Namen ändern. Sobald du vom Backuprechner andere Systeme mit ssh ansprichst oder von anderen Systemen den backuprechner, wirst du die Warnmeldungen erhalten, weil für ssh unterschiedliche Systeme den gleichen Schlüssel einsetzen, bzw. ein Schlüssel mit einem anderen Rechnernamen/ip-Adresse daherkommt, was einem Angriff gleichkommt, wenn man von deinem Test absieht.
Ich bin mir eben nur nicht sicher, ob die identen Keys auf beiden Rechnern in irgendeiner Weise ein Problem werden könnten.
weiß ich leider auch nicht. Wenn ich Systeme ersetze, die über ssh verwaltet oder angesprochen werden, dann bekommt das neue System immer die alte /etc/ssh. Ich vermeide den parallen Betrieb. Die beschriebenen Warnungen kommen, ich mal auf ein ersetztes System zugreifen muss und es wieder ins Netz zusammen mit dem Vorgänger hänge. Franz
Al
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 26.02.07 schrieb Franz Linter
Du wirst einige deutliche Warnmeldungen erhalten, denn in den Dateien known_hosts und authorized_keys in den .ssh Verzeichnissen der user stehen auf dem System mit den geänderten Namen/ip-Adressen die verdächtigen alten Namen/Adressen.
Das läßt sich abstellen: siehe "CheckHostIP" in ssh_config(5). Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Al Bogner
-
Franz Linter
-
Martin Schröder