Frage zu SSH mit Key und der id_dsa.pub

[twisterchen]

Hallo

Verständisfrage:

Die id_dsa.pub kann ich doch jedem geben, der mir erlauben möchte, auf seinen rootserver zuzugreiffen.

Die id_dsa sollte niemandem in die Hände fallen oder ?

Gruss
Twisterchen

[elch_mg]

Ganz genau so ist es. Die id_dsa-Datei (oder auch id_rsa) ist dein Private key, und mit .pub hinten dran ists dein Public Key. Natürlich kannst du die Dateien auch vollkommen anders benennen, wichtig ist nur, dass du weisst, welches dein privater und welches dein öffentlicher Schlüssel ist. Im Zweifelsfall guck einfach in die Dateien rein ;)

Das Ganze fällt unter den Oberbegriff Asymmetrische Verschlüsselung, und falls du nicht weisst, was es damit auf sich hat, klick auf das Wort ;)

[twisterchen]

Vielen Dank :!:

[gierig]

Arrrrggg NEIN FALSCH!

Also klar der Private Key bleibt bei dir und nur bei dir !
Der Puplic kommt auf dem Server wo DU dich anmelden möchtest.

Wenn du irgentjemanden deinen Puplic Key gibst hat er NICHST davon
außer das er dir Zugang zu seinem Rechner damit einrichten kann.

Also nix da mit ich gebe den Puplic Key weg und jeder kann sich dann
Anmelden. Wäre auch Logisch und sehr schwachsinnig, da der PUPLIC Key ja
dazugedacht ist ihn wegzugeben.

Und nein, wenn du User hast die sich anmelden wollen, dann bitte
für jeden User seinen eignen KEY. Lass dir die Puplic Keys von denen
geben und binde sie ein.

[elch_mg]

Hab ich was verpasst? Was ist falsch?

[Roger Wilco]

Arrrrggg NEIN FALSCH!

Arrrrggg DOCH RICHTIG! ;)

Du hast da was verdreht, lies nochmal das Ursprungsposting. Zwar ist deine Ausführung auch korrekt, geht aber an dem vorbei, was der OP wissen wollte.

PS: Es ist "Public".

[gierig]

Arrrggg Stimmt.

Asche auf mein Haubt.
Sorry, da habe ich wieder die hälfte überlesen.

[gierig]

Arrrggg Stimmt.

Asche auf mein Haubt.
Sorry, da habe ich wieder die hälfte überlesen.

Public, Public, Public.... irgentwann lerne ich es.

Grummel und dann noch doppel Post... Heute ist nicht mein Tag.

[twisterchen]

Mir gings nur darum zu wissen ob ich den publickey jedem ix beliebigem geben kann ohne das ich mir sorgen machen muss.

Aber mein Frage wurde ja schon beantwortet.

[elch_mg]

es heisst Haupt! *gg*

[captaincrunch]

Mir gings nur darum zu wissen ob ich den publickey jedem ix beliebigem geben kann ohne das ich mir sorgen machen muss.

Je nach gewählter Schlüssellänge musst du dir (noch) keine Sorgen machen... ;)

[twisterchen]

Je nach gewählter Schlüssellänge musst du dir (noch) keine Sorgen machen... ;)

Meinst du damit die Bit Verschlüsselung ? hier habe ich 2048 genommen, wenn wir schondabei sind

dsa oder rsa ?

[captaincrunch]

Meinst du damit die Bit Verschlüsselung ?

Nein, ich meine die Länge des/der Schlüssel in Bit.

hier habe ich 2048 genommen

Je nachdem, von welcher Art von Bedrohung du ausgehst, bist du damit wohl (nach aktuellem Stand der Technik) noch ein paar Jahre auf der sicheren Seite.

dsa oder rsa ?

Ich hatte hier irgendwann mal eine Quelle gepostet, warum RSA als minimal sicherer anzusehen ist, kannst ja mal danach suchen. Grundsätzlich sollte es für dich aber keinen wirklichen Unterschied machen.

[twisterchen]

Vielen Dank

[eof__]

hi

Was geschieht eigentlich bei:

user: cp -pf authorized_keys known_hosts
admin: rm /home/*/.ssh/auhorized_keys
user: ssh -i known_hosts host

Nur mal so eine Ueberlegung. :oops:
(Habe ich da jetzt was uebersehen?)

greetz
eof__

[Roger Wilco]

Es wird (vorausgesetzt die ersten 2 Schritte laufen auf dem Server, der dritte auf dem Client ab) nichts passieren, außer dass kein Login auf dem Server möglich ist. Mal davon abgesehen, dass in ~/.ssh/authorized_keys nur die Public Keys stehen, bei der Option -i aber ein Private Key angegeben werden muss...

[eof__]

autsch :oops: :roll: *brett_entfern*, Verwechslung.

aber das beruhigt mich auch irgenwie.

edit: Dennoch, gibt es ausser Fremdschluesselhinterlegung noch eine Moeglichkeit an authorized_keys heranzukommen, etwa ueber eine .config mit
benutzerdefinierten Pfad zu eigenen authorized_keys oder send_env?

Worauf ich hinaus will, ist das Admins den Standardpfad dafuer nutzen, und
man sich besser angewoehnen sollte alles (.ssh/*) zu ueberwachen.