Christian Schmidt wrote:
Daniel Jung schrieb am 01.11.2000:
Ich frage mich die ganze Zeit nur, ob der Server auf der anderen Seite, so er meinen publik-key denn kennt, dann freiwillig aufhört, mich nach meinem Passwort zu fragen.
Ja, es sei denn, er wurde so konfiguriert, daß er diese Authentifizierungsmethode nicht zuläßt. Aber in der Regel wird "RSAAuthentication" wohl eingeschaltet sein (festzustellen in /etc/sshd_config auf dem Server).
Oder sollte ich vielleicht besser den Gedanken vergessen, dass ssh ja quasi "so ähnlich" ist wie telnet?
Na ja, "so ähnlich" stimmt schon, immerhin ist der Hauptverwendungszweck ungefähr der gleiche. SSH kann eben zusätzlich noch etwas mehr (z.B. beliebige TCP-Verbindungen durch den verschlüsselten Kanal umleiten) und der Authentifizierungsvorgang ist etwas anders bzw. kann mit verschiedenen Methoden arbeiten. Und natürlich sind durch die Verschlüsselung, (Host-)Authentifizierung etc. die internen Abläufe deutlich anders, aber davon sieht man ja von außen normalerweise nichts. (Ein wenig Einblick in die Vorgänge bekommt man, wenn man ssh mit der Option -v aufruft -- kann ganz nützlich sein, um festzustellen, warum ein Login nicht klappt.)
Bei Erstellung des Schlüsselpaares kann man noch eine Passphrase eingeben. Ich habe hier mit meinem "lokalen" Server folgende Erfahrung gemacht: Gebe ich eine Passphrase ein, so werde ich bei jedem Login nach dieser Passphrase gefragt. Gebe ich keine ein, so läuft das Login halt ohne. ;-)
Richtig. Die Passphrase wird benutzt, um den privaten RSA-Schlüssel zu verschlüssln. So ist der Schlüssel auch dann noch sicher, wenn die Datei damit jemand anderem in die Hände fällt ("gute" Passphrase vorausgesetzt). Damit ist natürlich bei jeder Benutzung die Eingabe der Passphrase erforderlich. Der völlige Verzicht auf eine Passphrase macht die Sache zwar bequemer, bedeutet aber einen (je nach Umgebung) mehr oder weniger großen Verlust an Sicherheit und ist deshalb im allgemeinen nicht zu empfehlen. (Mitunter geht's aber nicht anders, wenn z.B. bei automatischen Abläufen eine Passphrase-Eingabe nicht in Frage kommt.) Mittels ssh-agent / ssh-add ist es immerhin möglich, die Passphrase-Eingabe auf einmal pro Sitzung zu reduzieren. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com