* Hans-Peter wrote on Wed, Jan 24, 2007 at 16:53 +0100:

Frage: wenn ich nun von einem Linux Server auf den anderen springen möchte (mit ssh <adresse>) brauche ich wieder keys. Ist das nun dumm, wenn ich einfach das private id_rsa File in mein jeweiliges Home/.ssh Verzeichnis kopiere?

Oder wäre es besser, zwei neue Schlüsselpaare zu erzeugen um je von einem Server auf den anderen zu springen? Bei vielen Servern würde das dann aber nicht mehr funktionieren???

RSA Schlüssel zu kopieren, ist im Prinzip nur zu Backupzwecken eine gute Idee - ansonsten kann die Sicherheit ja nicht höher werden, nur sinken. Keys am besten in der vertrautesten verfügbaren Umgebung aufheben. Für Liebesbriefe reicht ein Windows PC vermutlich; natürlich kann man hier beliebig viel Aufwand treiben (Hardwaresicherheitsmodule z.B.). Es wäre sicherer, zwei neue Schlüsselpaare zu erzeugen, solange die Unixmaschinen mindestens so sicher wie die Windowsbüchse ist. Schwer zu sagen, was zu trifft. Das funktioniert auch mit vielen Servern; ich denke, paar hundert oder tausend keys könnte man da schon konfigurieren. Aber wer soll sich die ganzen Passphrases merken? Am besten verwendest Du wohl "authentication agent forwarding". Auf der Win-Büchse startest Du `pagent' und lädts da Deinen key rein. Dann geht putty ohne Passwort. In der session erlaubst Du agent forwarding. Dann putty's Du zu server1. Dabei wird eine Agentverbindung weitergeleitet. Wenn Du nun von server1 ein "ssh server2" machst, fragt server2 auf dieser Weiterleitung bei dem pagent nach keys. Er bietet die server2. Falls einer akzeptiert wird, authentifiziert server2 Dich über den pagent key. Falls server1's SSH auch agent-forwarding erlaubt (weil entsprechend konfiguriert oder -A), dann kannst Du von server2 auch weitergehen. Das kann man im Prinzip beliebig ausbauen. Das sieht dann so aus (war eine Zeile, klar): st@ws4:~ # time ssh -A root@gatekeeper2 ssh -A 192.168.2.18 \ ssh -A 192.168.4.18 ssh -A 192.168.4.21 ssh -A 192.168.2.21 \ ssh -A gatekeeper2 hostname gatekeeper2 real 0m2.170s ging einmal über 192.168.1.18->192.168.4.18, zurück 192.168.4.21->192.168.1.21 und zurück zu gatekeeper2, hat zwar 2 Sekunden gedauert, weil verdammt viel Kryptographie; das letzte SSH musste durch fünf agent-forwarding (Weiterleitungen) zurücktunneln (bis ws4!). Wer Spass will, schreibt da noch überall ein -v ran (wurden bei mir über 500 Zeilen) :) Da sieht man dann aber, wieviele Tunnel da benutzt werden etc (muss ja alles sicher bleiben) - da freut man sich über die 2 Sekunden, wenn man sieht, was da alles vermacht ist :)

Sorry falls dies offensichtlich ist, habe leider nichts zu diesem Thema auf dem Netz/Büchern gefunden.

Suche "agent weiterleitung" oder "agent forwarding"; da gibt's z.B. http://www.openssh.com/de/features.html

...

,Agent'-Weiterleitung

Ein Authentifizierungsagent, der auf dem Laptop oder der lokalen Maschine des Anwenders läuft, kann benutzt werden, um den RSA- oder DSA-Authentifizierungsschlüssel des Anwenders bereitzuhalten. OpenSSH leitet die Verbindung automatisch an den Authenfizierungsagenten über jede Verbindung weiter, und es gibt keine Notwendigkeit, die RSA-Authentifizierungsschlüssel auf jeder Maschine im Netzwerk zu haben (mit Ausnahme der lokalen Maschine des Benutzers). Die Authentifizierungsprotokolle geben die Schlüssel niemals preis; sie können nur dazu benutzt werden, um abzufragen, ob der Benutzer einen entsprechenden Schlüssel hat. Eventuell könnte der Agent auf einer Smart-Card beruhen, die alle Authentifizierungsberechnungen macht.

Prima, hätte ich mal gleich das kopiert, hätte ich mir ne lange Mail erspart lol oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org