Hallo Michael, hallo Leute, Am Montag, 27. September 2004 11:25 schrieb Michael Schachtebeck:
Joerg Rossdeutscher schrieb am 09/26/2004 08:24 PM:
Keys benutze ich nicht, weil mir die auch mal eben schnell von meiner Workstation gemopst werden könnten, das ist mir zu unsicher, und ich habe auch keinen Bock auf die notwendigen Sicherheitsmaßnahmen an meiner Workstation (Kiste lock'en bevor man zur Kaffeemaschine geht und wieder freischalten, wenn man zurückkommt und so...)
... und Deine lokalen Daten sind Dir egal? Ich lös das mit einem sehr kurzen Bildschirmschoner-Timeout. Bis da jemand an die Tastatur kommt, ist schon der Screensaver mit Passwortabfrage da ;-)
AFAIK sind die Keys Host-gebunden, es funzt also nicht ohne weiteres, einfach mal den privaten Schluessel auf eine andere Kiste zu kopieren und ihn dort zu benutzen (ich habe das gerade probiert: privaten Key von Rechner A nach Rechner B kopiert, von Rechner A aus kann ich mich mit dem Key ohne Passwort auf Rechner C einloggen, von Rechner B aus erfolgt trotz des kopierten privaten Schluessels eine Passwortabfrage beim Einlogversuch auf Rechner C).
Dann hast Du was verkehrt gemacht ;-) Als ich auf meinen Laptop umgezogen bin, habe ich den Key übernommen und er funktioniert wie gewohnt. Kopiere mal ~/.ssh komplett, vielleicht hast Du nur die falsche oder zu wenig Dateien erwischt.
Auf jeden Fall sind Keys, verbunden mit einem sicheren Passwort, die mit Abstand sicherste Methode, weil es einem Angreifer eben nicht reicht, nur den privaten Schluessel oder nur das Passwort zu kennen - denn er braucht beides.
Das ist dann aber eine serverseitige Einstellung, und auf die hat man als User nicht immer Einfluss. Aber auch ohne diese Kombination sind SSH-Keys sicherer als Passwörter, weil ein paar Buchstaben eines Passworts leichter rauszukriegen (oder zu knacken) sind als 1024 bit eines SSH-Keys ;-) Ein weiterer Vorteil: SSH-Keys kann man auf dem Zielrechner mit command=... stark in ihrer Verwendbarkeit einschränken. Beispiel: bei der FAQ kommt man nur per SSH-Key schreibend ans CVS. Und Kris hat mit command="/usr/bin/cvs server" den Key so limitiert, dass man wirklich *nur* im CVS arbeiten kann. Mit Passwörtern geht sowas nicht (ohne weiteres). So, noch ein paar Lesetipps für alle Leser dieses Threads: 8. SSH - Secure Shell Einsatz unter Linux http://suse-linux-faq.koehntopp.de/ch/ch-ssh.html und darin insbesondere 8.3. Wie erstellt man einen SSH-Key? Wie kommt der Key auf den Zielrechner? http://suse-linux-faq.koehntopp.de/q/q-ssh-keygen.html 8.4. Wie geht SSH ohne Passwort? http://suse-linux-faq.koehntopp.de/q/q-ssh-without_passwd.html Gruß Christian Boltz --
Bitte? Ich glaub ich steh im Wald! wenn rings um dich lauter Bäume sind dann hast Du vermutlich recht. [> David Haller und Bernhard Walle in suse-linux]