OnkelHartwig Zuhause

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
howtos:sshexpert

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
howtos:sshexpert [2017/12/02 15:48] – [SSH Server konfigurieren] morquaihowtos:sshexpert [2022/02/18 08:09] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 60: Zeile 60:
 ==== Signieren eines Hostkeys ==== ==== Signieren eines Hostkeys ====
 Man kann natürlich denselben CA Keys benutzen wie für die Benutzerauthentifizierung, sinnvoller ist es aber einen eigenen CA-Key für Hosts anzulegen\\ Man kann natürlich denselben CA Keys benutzen wie für die Benutzerauthentifizierung, sinnvoller ist es aber einen eigenen CA-Key für Hosts anzulegen\\
-  ssh-keygen -b 2048 -t rsa -C "Meine Certification Authority" -N "Passphrase" -f id_rsa_ca+  ssh-keygen -b 2048 -t rsa -C "Meine Certification Authority" -N "Passphrase" -f id_rsa_hostca 
 +Das signieren der Host Keys funktioniert (fast) genauso wie bei User Keys: 
 +  ssh-keygen -s id_rsa_hostca -I "serveradmin@example.com" -h -n server1.example.com -V +52w /etc/ssh/ssh_host_rsa_key.pub 
 +Jeder in der /etc/ssh/sshd_config angegebene Key muss einzeln signiert werden, i.d.R. sind dies 
 +  /etc/ssh_host_dsa_key.pub 
 +  /etc/ssh_host_ecdsa_key.pub 
 +  /etc/ssh_host_ed25519_key.pub 
 +  /etc/ssh_host_rsa_key.pub 
 +Der Benutzer muss nun in seiner ~/.ssh/known_hosts folgende Eintrag machen, um allen Hostkeys, die mit dem Key id_rsa_hostca signiert sind, zu vertrauen. Dazu benötigt er den Public Key der signierenden SSH Keys. Folgender Befehl fügt nun die entsprechende Zeile zur known_hosts Datei hinzu (am Ende) 
 +  echo '@cert-authority *.example.com ' $(cat id_rsa_hostca) >>~/.ssh/known_hosts 
 +===== Das war es auch schon ===== 
 +Mit einer solchen Konfiguration kann nun der Server sicherstellen, das die Benutzer vertrauenswürdig sind und andererseits der Benutzer sicher sein wirklich mit dem erwarteten Server verbunden zu sein.\\ 
 +Da Vertrauen zeitlich begrenzt sein kann besteht die Möglichkeit jeder Signatur einen Gültigkeitszeitraum zuzuordnen. Insbesondere kann sichergestellt werden, das bei Benutzern der SSH-Key, wie von Passworten gewohnt, regelmäßig neu erstellt wird. Derjenige, der die Signatur eines User Keys durchführt muss nur den alten und den neuen Public Key vergleichen. Ein gleicher Public Key bedeutet auch, das der gleich Private Key zum Einsatz kam. 
 +   
 + 
 + 
      
      
  
howtos/sshexpert.1512229704.txt.gz · Zuletzt geändert: 2017/12/02 15:48 von morquai

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki