scp + public key

[theomega]

Hallo Leute,
folgende Situation:
Zwei Server, beide mit Public-Key-Authentification, ein Client-PC, alle mit Linux.
Der Public-Key liegt auf beiden Servern, der Private key nur auf dem Client (auf beiden Servern der gleiche Public-Key). Rootlogin ist verboten und Rootbefehle sind nur per sudo möglich. Das funktioniert 1A führt nur bei einer Situation zu Problemen:

Nehmen wir mal an, ich will die sshd_config von dem einen Server auf den zweiten kopieren. (die hat chmod 700, mein arbeitsbenutzer darf sie also nicht lesen) Ich kann jetzt auf keinem der beiden Server scp benutzen weil ich ja auf dem server den benötigten private-key nicht habe. Deshalb gehe ich im Moment so vor:
Ich kopiere auf dem server die datei ins home des benutzers (per sudo) und chown sie für meinen arbeitsbenutzer, dann kopiere ich per scp die datei auf meinen rechner hier. Dann kopiere ich wieder per scp die Datei auf den zweiten Server, und verschiebe sie per sudo an die richtige stelle.

Geht das nicht einfacher?

Wie haltet ihr es, liegen eure Private-Keys auch auf den servern? Dass hieße halt das sobald ein Server kompromitiert wird es automatisch alle anderen auch sind.

Wer hat einen Tipp?

Danke
TO

[static]

Hi
Auch wenn ich's bisher nie genutzt habe: Da müsste dir der ssh-agent weiterhelfen. Laut meinem "Linux Server Hacks"-Buch in etwa folgendermassen:

1. Lokal ssh-agent starten
2. Mit ssh-add die Private Keys dem Agenten hinzufügen
3. Auf den Servern überprüfen, dass in der SSHd Config ForwardAgent auf yes gesetzt ist.

Wenn du jetzt von Server 1 einen Transfer zu Server 2 startest wird die SSH-Key Abfrage an deinen Client automatisch weitergeleitet und vom Agenten beantwortet.

.static