Hallo Liste :) Daten kopiere ich mit "scp durch mein Netzwerk. Nervig finde ich dabei, dass man eigentlich immer ein Password verwenden muss. Ist es machbar scp so zu konfigurieren, dass ich zum kopieren keine Passwörter brauche?? -- -- Mfg Stefan Hornbostel http://bronx666.coderlinks.de
On Donnerstag, 23. Oktober 2003 13:31, Stefan Hornbostel wrote:
Hallo Liste :)
Daten kopiere ich mit "scp durch mein Netzwerk. Nervig finde ich dabei, dass man eigentlich immer ein Password verwenden muss. Ist es machbar scp so zu konfigurieren, dass ich zum kopieren keine Passwörter brauche??
Jupp. Geht ganz einfach: http://www.cs.umd.edu/~arun/misc/ssh.html MfG, Gerd -- ------------------------------------------------------------------------ gmichalk@freegates.be \\_// (. .) Powered by SuSE Linux 8.2 -------------------------------------oOOo-oOOo--------------------------
On 23 Oct 2003 at 13:31, Stefan Hornbostel wrote:
Hallo Liste :)
Daten kopiere ich mit "scp durch mein Netzwerk. Nervig finde ich dabei, dass man eigentlich immer ein Password verwenden muss. Ist es machbar scp so zu konfigurieren, dass ich zum kopieren keine Passwörter brauche??
Tach Stefan, zuerst mit ssh-keygen einen Schlüssel generieren, danach den Public-Key in die authorized-keys auf den jeweiligen Maschinen eintragen. Die Dateien liegen in ~/.ssh. Danach werden alle SSH Aktionen ohne Passwortabfrage ausgeführt. Gruß Daniel
On Thursday 23 October 2003 13:31, Stefan Hornbostel wrote:
Daten kopiere ich mit "scp durch mein Netzwerk. Nervig finde ich dabei, dass man eigentlich immer ein Password verwenden muss. Ist es machbar scp so zu konfigurieren, dass ich zum kopieren keine Passwörter brauche??
Ja. Ist es. Die folgende Anleitung ist spezifisch für Suse Linux. 1. Generiere einen Key für Deine SSH. $ ssh-keygen -t dsa -b 2048 ... Password: .... Du hast jetzt in ~/.ssh/id_dsa Deinen Private Key. Den läßt Du in Ruhe. Und in ~/.ssh/id_dsa.pub den Public Key. 2. Installiere den Public Key auf dem Zielrechner. Dazu erzeugst Du auf dem Zielrechner im Home des Zielusers ein Verzeichnis .ssh, falls es noch nicht existiert. Dort legst Du eine Datei ~/.ssh/authorized_keys an, an die Du den Inhalt der id_dsa.pub des Quellusers vom Quellrechner anfügst. $ cat ~/.ssh/id_dsa.pub | ssh zieluser@zielrechner "mkdir .ssh; cat >> .ssh/authorized_keys" Password: ... 3. Logge Dich testhalber auf dem Zielrechner als Zieluser ein. ssh müßte nun nicht mehr nach dem Paßwort des Zielusers fragen, sondern nach dem Paßwort des Keys, so wie Du es beim Anlegen des Keys eingegeben hast. Du kannst das auch am Prompt erkennen. 4. Starte auf dem Quellrechner ssh-agent. Speziell in Suse Linux ist dies schon vorbereitet. Du mußt lediglich in ~/.xsession die Variable "usessh" am Anfang des Scriptes auf "yes" setzen und Dich neu einloggen. 5. Lade den Key in den ssh-agent. $ ssh-add Password: ... Der Key ist nun Bestandteil des ssh-agent und da die gesamte X-Session am Agent hängt, von allen Prozessen Deines X. 6. Logge Dich testhalber auf dem Zielrechner als Zieluser ein ssh müßte nun nicht mehr nach Paßworten fragen. 7. Verwende fish fish://zieluser@zielrechner/home/zieluser/ im Konqueror oder jeder anderen KDE-Anwendung. fish verwendet intern implizit ssh und scp. Du brauchst nur noch die Maus zu schubsen. Kristian
[scp ohne Passwort]
Ich denke, bei der ganzen Geschichte sollte man aber eines bedenken: So bequem es auch ist, man sollte genau ueberlegen, fuer welche Rech- ner und fuer welche User man so ein scp oder auch ein ssh ohne Eingabe eines Passwortes zulaesst. Wenn man naemlich quasi alle verfuegbaren Rechner innerhalb eines Netzwerkes so ausstattet und einer davon wird kompromitiert (z.B. wegen eines Security-Lochs), dann stehen alle an- deren Rechner (die womoeglich eigentlich sicher waeren, weil dort das Security-Loch nicht vorhanden ist) offen wie ein Scheunentor. Nur mal so als Gedanke... CU, Th.
Hallo Thomas, hallo Leute, Am Donnerstag, 23. Oktober 2003 15:42 schrieb Thomas Hertweck:
[scp ohne Passwort]
Ich denke, bei der ganzen Geschichte sollte man aber eines bedenken: So bequem es auch ist, man sollte genau ueberlegen, fuer welche Rech- ner und fuer welche User man so ein scp oder auch ein ssh ohne Eingabe eines Passwortes zulaesst. Wenn man naemlich quasi alle verfuegbaren Rechner innerhalb eines Netzwerkes so ausstattet und einer davon wird kompromitiert (z.B. wegen eines Security-Lochs), dann stehen alle an- deren Rechner (die womoeglich eigentlich sicher waeren, weil dort das Security-Loch nicht vorhanden ist) offen wie ein Scheunentor. Nur mal so als Gedanke...
Der Einwand ist nicht verkehrt ;-) Allerdings halte ich das Risiko für vertretbar, wenn man den Key mit einem Passwort schützt, das man dann einmalig per ssh-add eingibt. Zur Erhöhung der Sicherheit kann man ja die "lifetime" angeben (ssh-add -t xxx), dann wird der Schlüssel nach Ablauf dieser Zeit wieder gesperrt. Ein Angreifer hat dann prinzipiell zwei Möglichkeiten: a) er muss das Passwort für den Key rausbekommen, was nicht einfacher oder schwieriger ist als das Passwort für die einzelnen Rechner zu knacken. Na gut, es ist nur ein Passwort für viele Rechner - im Gegenzug dürfte der Key aber besser verschlüsselt sein ;-) b) er muss den ssh-agent socket "entführen", sprich: $SSH_AUTH_SOCK entsprechend setzen. [1] Dann kann er den Key nutzen, bis die ssh-agent-Sitzung abgelaufen ist. Andererseits: man kann ja die Aktionen, die mit dem Schlüssel auf dem Zielrechner erlaubt sind, passend einschränken - das geht beim Zugriff mit Passwort-Login AFAIK nicht. Bei passender Konfiguration erhält man also einen Sicherheitsgewinn. Gruß Christian Boltz PS: Keys _ohne_ Passwortschutz würde ich nicht empfehlen. [1] Es gäbe noch eine Möglichkeit, die Sicherheit zu erhöhen: der ssh-agent bzw. ssh könnte nachprüfen, ob er gerade im richtigen Prozess oder einem Kindprozess davon (-> pstree) aufgerufen wurde. Damit würde eine "Entführung" durch Setzen von $SSH_AUTH_SOCK wohl verhindert werden, da AFAIK ein neues Login kein Kindprozess eines bestehenden Logins sein kann. Ich weiß allerdings nicht, ob die OpenSSH-Programmierer so was basteln wollen - reicht jemand einen FeatureRequest ein? Oder gibt es sowas schon und ich habs nur noch nicht gefunden? -- Es kann dadurch , daß der Rechner ( wenn er an Trenn - zeichen umbricht [Ratti erklärt ) die falschen Stellen den Begriff erwischt , zu ganz gräß "Plenken" - lichen Effekten kommen in suse-linux] !
participants (6)
-
Christian Boltz -
Daniel Bauer -
Gerd-Christian Michalke -
Kristian Köhntopp -
Thomas Hertweck -
XHorny@t-online.de