rsa-key Login - Informationen?

Lesenswerte Artikel, Anleitungen und Diskussionen
taker
Posts: 71
Joined: 2004-01-25 14:08

rsa-key Login - Informationen?

Post by taker » 2004-07-21 19:26

Hallo, ich habe hier im board von der rsa-key gelesen das es auch möglich ist diese für den Puttylogin zu nutzen?! Bzw. für den Server Zugriff?! JEtzt habe ich die Forensuche und auch google schon durchgequetscht aber einfach nichts passendes gefunden. Die meisten Links beschränken sich auf Verschlüsslungen im Browser..?!

Ich möchte das gerne jetzt auch aus Sicherheitsgründen für meinen Root und User Zugriff nutzen.

Hat da jemand ne Seite mit Informationen wie man sowas machen kann/sollte. Oder vielleicht ein How To oder sowas? Wäre für jede Information dankbar.

Hoffe es ist ok das ich das hier Frage, aber ich möchte einfach etwas weiteres für die Sicherheit tun..

Grüße
Markus

PS: http://www.dkrz.de/dkrz/services/docs/m ... ?printview

Hab das hier mal gefunden, wollte ma von euch wissen die damit schon arbeiten ob dass das Gebiet abdeckt?! Ob das so funktioniert wie da beschrieben?!

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: rsa-key Login - Informationen?

Post by andreask2 » 2004-07-21 19:37

Hi!

Also ich habe irgendwann mal folgendes Howto über Google gefunden, wenn man so vorgeht funktioniert es auch mit putty:

http://www.redslider.net/putty-openssh-keypairs.html

Allerdings würde ich root-Login grundsätzlich verbieten (einstellbar in der sshd_config). Man sollte zum alltäglichen Arbeiten einen User-Account verwenden, den in die Gruppe wheel aufnehmen, dann kannst Du jederzeit mit diesem User per su root werden. Bedenke dass das Passwort zum verschlüsseln des Privat-key normalerweise das schwächste Glied in dieser Kette ist. Das heißt wenn jemand an Deinen Key kommt, und Du kein oder ein schlechtes Passwort hast, hast Du ein Problem.

Grüße
Andreas

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: rsa-key Login - Informationen?

Post by static » 2004-07-21 19:58

Hi,
ich hab hier vor einiger Zeit ein grösseres HowTo geschrieben - dort wird unter anderem die Authentifizierung per RSA-Keys erklärt, auch für Putty.

.static

taker
Posts: 71
Joined: 2004-01-25 14:08

Re: rsa-key Login - Informationen?

Post by taker » 2004-07-21 20:17

Hallo, Danke für die Tipps. Werde es mir alles mal sorgfältig ansehen und dann entscheiden wie ich vorgehe. Den "arbeitsuser" werde ich auch in die "wheel" Gruppe stecken, das hatte ich bisher noch nicht gemacht - Danke.

Herzlichen Dank für die Links , dann kann ja "nix mehr schief" gehen.

Grüße
Markus

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: rsa-key Login - Informationen?

Post by andreask2 » 2004-07-22 00:21

Hi static!
static wrote:ich hab hier vor einiger Zeit ein grösseres HowTo geschrieben - dort wird unter anderem die Authentifizierung per RSA-Keys erklärt, auch für Putty.
Schöne Anleitung, Kompliment! War mir bisher noch gar nicht untergekommen ;-)
Vielleicht sollte man das mal in ein anderes Format packen und irgendwo etwas besser erreichbar unterbringen, zur Not in den FAQ?


Grüße
Andreas

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: rsa-key Login - Informationen?

Post by static » 2004-07-22 00:36

Hi,
@andreas, thx für das Kompliment!
Wenn die Mods das ähnlich sehen könnten Sie den Thread vielleicht Sticky machen... das liegt aber natürlich nicht in meinem Entscheidungsbereich 8)

.static

taker
Posts: 71
Joined: 2004-01-25 14:08

Re: rsa-key Login - Informationen?

Post by taker » 2004-07-22 20:01

Wäre sehr dafür da bestimmt viele andere auch nach "sicheren" Methoden zum Arbeiten suchen...

Habs jetz ma so gemacht und muss ma RESPEKT sagen. Hat alles geklappt und ist wunderbar ;)
DANKE

Markus


PS: Sorry kleines Update: Habs jetz auf meiner USB Uhr von GMX und hab somit immer Zugriff :D Echt geniale und Sichere Lösung! Respekt für das How To, kann man nur weiter empfehlen - Hat alles gefunzt

pg-computer
Posts: 144
Joined: 2002-09-27 19:28
Location: Drebach / Erzgebirge

Re: rsa-key Login - Informationen?

Post by pg-computer » 2004-07-30 02:33

Hoi Hoi,

seit ich SuSE 9.0 habe und die Option PasswordAuthentication no setze können Sie aber User immer noch per Password einloggen.

Hier mal meine sshd_config:

Code: Select all

#       $OpenBSD: sshd_config,v 1.65 2003/08/28 12:54:34 markus Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes

#RSAAuthentication yes
#PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCreds yes

# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication'
UsePAM yes

#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
UsePrivilegeSeparation no
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem       sftp    /usr/lib/ssh/sftp-server
und hier mal die ssh_config

Code: Select all

#       $OpenBSD: ssh_config,v 1.19 2003/08/13 08:46:31 markus Exp $

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for various options

Host *
#   ForwardAgent no
#   ForwardX11 no
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication no
#   HostbasedAuthentication no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
#   EscapeChar ~
Was muss ich einstellen, damit sich kein User mehr per Passwort einloggen darf? Root ist ja nun schon durch die Option PermitRootLogin no ausgesperrt, aber nun möchte ich noch die komplette Passwortauthentifizierung abschalten. Unter SuSE 7.2 hat dies mit der Option PasswordAuthentication no alles bestens funktioniert.

Danke im Voraus.


Gruß,

Peter

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: rsa-key Login - Informationen?

Post by static » 2004-07-30 02:48

Hi,

vielleicht das hier:
PG-Computer wrote:# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication'
UsePAM yes
.static

pg-computer
Posts: 144
Joined: 2002-09-27 19:28
Location: Drebach / Erzgebirge

Re: rsa-key Login - Informationen?

Post by pg-computer » 2004-07-30 03:36

Hoi,

ja danke, hier gilt natürlich wer Lesen kann ist Klar im Vorteil ;-)
Aber das kann ich heute nicht mehr.... mir tun nur noch die Augen weh und ich will nun endlich ins Bett!!!
Ich konfiguriere hier seit 15 Uhr meinen Server neu und richte alles komplett neu ein *g*


Also dann Gutes Nächtle oder bist du schon wieder aufgestanden? :->


:roll:


Peter

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: rsa-key Login - Informationen?

Post by floschi » 2004-07-30 16:16

static wrote:Wenn die Mods das ähnlich sehen könnten Sie den Thread vielleicht Sticky machen... das liegt aber natürlich nicht in meinem Entscheidungsbereich
Wie wär's mit einer FAQ, kannst du einfach vorschlagen und dich zum Freischalten an arty oder dea wenden ;)