Mailinglist Archive: opensuse-de (2118 mails)
| < Previous | Next > |
AW: SSH key ablegen
- From: Alexander Jäger <alex@xxxxxxxxxx>
- Date: Wed, 31 Aug 2005 08:48:56 +0200
- Message-id: <IHEOIKMKKOCGFNLFDMLJCEJNDCAA.alex@xxxxxxxxxx>
> Hallo Hans-Martin, hallo Michael, hallo Alexander, hallo Leute,
>
> Am Montag, 29. August 2005 18:50 schrieb Hans-Martin Flesch:
> > Michael Raab schrieb:
> > > Am Mo, den 29.08.2005 schrieb Alexander Jäger um 18:27:
> > >>server2:/var/backup/.ssh # ll
> > >>drwxrwxrwx 2 backup www 4096 Aug 29 13:50 .
>
> ~/.ssh ist also für *alle* schreibbar. Das dürfte die Ursache für das
> Problem sein. Reduziere die Rechte mal auf 755 oder sogar 700.
>
hat leider nicht gewirkt
> [...]
> > >>in der sshd.config wurde PubkeyAuthentication auf yes gesetzt,
> > >> danach sshd reloaded, oder muss er danach restartet werdne?
>
> reload müsste eigentlich reichen.
> Außerdem ist die Anmeldung per PubKey üblicherweise per Default möglich
> - Du hättest also nichtmal etwas anpassen müssen ;-)
>
nein, der entsprechende config punkt war mittels # auskommentiert
> [...]
> > Und sie muss (glaube ich) für root lesbar sein...
>
> Für root sind alle Dateien lesbar - unabhängig von ihren
> Zugriffsrechten ;-)
>
> Falls der SSH-Key immer noch nicht akzeptiert wird, schiebe mal ~/.ssh
> auf beiden Rechnern beiseite und probier das Ganze nochmal mit
> folgender Anleitung, die bisher immer funktioniert hat:
>
> 9.3. Wie erstellt man einen SSH-Key? Wie kommt der Key auf den
> Zielrechner?
> http://suse-linux-faq.koehntopp.de/q/q-ssh-keygen.html
>
>
> Zum Thema "Absicherung des Keys mit Passphrase" vs. "Eingabe der
> Passphrase" empfehle ich ebenfalls einen Blick in die FAQ:
>
> 9.4. Wie geht SSH ohne Passwort?
> http://suse-linux-faq.koehntopp.de/q/q-ssh-without_passwd.html
>
> Darin wird auch auf keychain hingewiesen - für einen Backup-Cronjob
> halte ich das allerdings für deutlich oversized. Ich setze auf einem
> Rechner zwecks Backup eine Kombination selbstgeschriebener Scripte ein:
> - ein Startscript, das einen ssh-agent startet - statt stdout per "eval"
> auszuführen, leite ich es in eine Datei /root/.ssh-agent-config um.
> - ein kleines Script, um die Passphrase (für die Dauer der Uptime)
> freizuschalten. Inhalt: ein eval-Aufruf (siehe unten) und ein Aufruf
> von ssh-add
>
> Im Freischalt-Script und im Backup-Script brauchst Du dann nur ein
> eval `cat /root/.ssh-agent-config´
> (Da fällt mir gerade ein, dass source /root/.ssh-agent-config auch
> gehen müsste.)
>
> Mit dieser Konstruktion ist die Passphrase während der Uptime des
> Rechners verfügbar und muss nicht neu eingegeben werden. Nach einem
> Reboot (egal ob beabsichtigt, wegen Stromausfall oder auch wegen
> Diebstahl) ist der SSH-Key erstmal wieder gesperrt.
>
> Komplette Scripte auf Anfrage ;-)
>
>
> Gruß
>
> Christian Boltz
da wäre ich nicht abgeneigt wnen ich mal in die scripte reinlinsen dürfte,
wobei es mich wirklich wundert, warum der einfach nicht den key akzeptieren
will
Gruß
und nochmal danke für die bissherige Mühen
Alexander
| < Previous | Next > |