Mittwoch, 24. Oktober 2007
SSH-Zugang beim Webhosting ab sofort nur noch per PublicKey
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Möglicherweise oute ich mich jetzt als "unversierter Benutzer", aber sollte der Zugang nicht über den PrivateKey erfolgen?
Bei RSA ist es prinzipiell wurst wie rum das geschieht. Der Algorithmus ist bei beiden Keys derselbe, allein die persönliche Handhabung (welcher wird veröffentlicht, welcher nicht) entscheidet darüber was Public und was Private ist. Ansonsten sind die Daten der Schlüssel gleichwertig (signieren ist auch nur verschlüsseln (eines Hashwertes), das Gegenstück ist wie bei der Verschlüsselung der jeweils andere Schlüssel).
Dürfte eigentlich bei den anderen Algorithmen auch ähnlich sein, ganz genau weiß ichs da aber nicht.
Dürfte eigentlich bei den anderen Algorithmen auch ähnlich sein, ganz genau weiß ichs da aber nicht.
Moijn!
Hm. Nach einiger Bastelei habe ich jetzt herausbekommen, dass der "private key" für Putty und OpenSSH (ersteres unter Windows, letzteres auf meiner Linux-Kiste) jeweils anders aussieht und man das eine Format erst in das andere konvertieren muss. Ein kleiner Hinweis auf solche Spezialitäten wäre nett gewesen, aber das Ganze ist ja wohl nicht nur eine Sicherheitsfrage, sondern auch ein kleiner Test, um die Halb- von den Volldaus zu scheiden. Ein bisschen komme ich mir vor, als hätte ich eine Wurst gekauft, deren Verpackung nicht von jedem Käufer zu öffnen ist, sondern nur von Kunden mit Fleischerhandwerksausbildung und Spezialkurs in Wurstverpackung und Wurstkonsum unter Berücksichtigung von Unterschieden lokaler Schweinedarmqualitäten. Andererseits bin ich mir im klaren darüber, dass sich mit einer Wurst in einer Fleischerei wesentlich weniger Schaden anrichten lässt als mit einer SSH auf einem Server, den sich viele verschiedene Wustkonsumenten, äh, Kunden teilen (nehme ich jedenfalls an, ich bin noch nie mit einer Landmettwurst bei meinem Fleischer Amok gelaufen ...), und da ein SSH-Zugang noch lange nicht bei jedem Webhoster Standard ist, ducke ich mich und beschließe, still und zufrieden zu sein.
Was mich an diesem Verfahren allerdings wirklich stört, ist die Tatsache, jetzt immer meine(n) 'private key(s)' mit mir herumtragen zu müssen, um auch mal von Unterwegs (z.B. beim Kunden) Zugriff auf meinen Webspace bei Manitu zu bekommen (sowas kommt gelegentlich vor, zum Beispiel für eine schnelle on-the-fly-Änderung an Webseiten etc.) - ich bin bekennender USB-Stick-Hasser! Und außerdem: Was ist eigentlich mit den Schlaubergern, die Ihren 'private key' nicht mit einer Passphrase versehen und sich dann den Key klauen lassen? Für manche Anwendungszwecke ist ein passphraseloser Key ja sogar erwünscht und nötig, z.B. um automatisierte rsyncs durchführen zu können; mir wird trotzdem immer ganz schlecht bei dem Gedanken, dass man auf diese Art und Weise sogar die letzte Bastion, die der Passwortabfrage, umgehen kann. Uargh. Na, ich bin mal gespannt, wie die anderen Kunden reagieren - vielleicht bin ja auch nur ich alleine so überempfindlich.
Viele Grüße von der Waterkant
Helge
Hm. Nach einiger Bastelei habe ich jetzt herausbekommen, dass der "private key" für Putty und OpenSSH (ersteres unter Windows, letzteres auf meiner Linux-Kiste) jeweils anders aussieht und man das eine Format erst in das andere konvertieren muss. Ein kleiner Hinweis auf solche Spezialitäten wäre nett gewesen, aber das Ganze ist ja wohl nicht nur eine Sicherheitsfrage, sondern auch ein kleiner Test, um die Halb- von den Volldaus zu scheiden. Ein bisschen komme ich mir vor, als hätte ich eine Wurst gekauft, deren Verpackung nicht von jedem Käufer zu öffnen ist, sondern nur von Kunden mit Fleischerhandwerksausbildung und Spezialkurs in Wurstverpackung und Wurstkonsum unter Berücksichtigung von Unterschieden lokaler Schweinedarmqualitäten. Andererseits bin ich mir im klaren darüber, dass sich mit einer Wurst in einer Fleischerei wesentlich weniger Schaden anrichten lässt als mit einer SSH auf einem Server, den sich viele verschiedene Wustkonsumenten, äh, Kunden teilen (nehme ich jedenfalls an, ich bin noch nie mit einer Landmettwurst bei meinem Fleischer Amok gelaufen ...), und da ein SSH-Zugang noch lange nicht bei jedem Webhoster Standard ist, ducke ich mich und beschließe, still und zufrieden zu sein.
Was mich an diesem Verfahren allerdings wirklich stört, ist die Tatsache, jetzt immer meine(n) 'private key(s)' mit mir herumtragen zu müssen, um auch mal von Unterwegs (z.B. beim Kunden) Zugriff auf meinen Webspace bei Manitu zu bekommen (sowas kommt gelegentlich vor, zum Beispiel für eine schnelle on-the-fly-Änderung an Webseiten etc.) - ich bin bekennender USB-Stick-Hasser! Und außerdem: Was ist eigentlich mit den Schlaubergern, die Ihren 'private key' nicht mit einer Passphrase versehen und sich dann den Key klauen lassen? Für manche Anwendungszwecke ist ein passphraseloser Key ja sogar erwünscht und nötig, z.B. um automatisierte rsyncs durchführen zu können; mir wird trotzdem immer ganz schlecht bei dem Gedanken, dass man auf diese Art und Weise sogar die letzte Bastion, die der Passwortabfrage, umgehen kann. Uargh. Na, ich bin mal gespannt, wie die anderen Kunden reagieren - vielleicht bin ja auch nur ich alleine so überempfindlich.
Viele Grüße von der Waterkant
Helge
Das ist vom Prinzip ein guter Gedanke. Allerdings ist ein Key ja nichts anderes als ein "Passwort" (genauer: Eine Art der Authentifizierung), so gesehen ist ein Key mit Passwort nur ein Passwort mit Passwort. Sicherlich würde es das noch sicherer, aber auch unpraktischer machen (wenn das erzwungen würde).
Die Vorstellung, dass einem der Key gestohlen würde, ist unangenehm, aber IMHO nicht schlimmer, als wenn einem ein Passwort gestohlen wird. Die Gefahr, dass ein Dritter mit einem Key etwas anzufangen weiß, ist geringer als bei einem Passwort.
Wer ganz auf Nummer sicher gehen will, kann das Einloggen mit seinem Key zusätzlich SERVER-seitig mit einer Shell-Aktion verbinden:
command="$HOME/lala.sh",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-dss [KEY] [KEY-NAME]
(eine entsprechende lala.sh vorausgesetzt).
Ein Rest-Risiko bleibt bei jeder Form der Autorisation. Beim Passwort das Risiko, dass einem das Passwort unbemerkt gestohlen wird, beim Key via Stick eher, dass einem das Speichermedium abhanden kommt.
Die Vorstellung, dass einem der Key gestohlen würde, ist unangenehm, aber IMHO nicht schlimmer, als wenn einem ein Passwort gestohlen wird. Die Gefahr, dass ein Dritter mit einem Key etwas anzufangen weiß, ist geringer als bei einem Passwort.
Wer ganz auf Nummer sicher gehen will, kann das Einloggen mit seinem Key zusätzlich SERVER-seitig mit einer Shell-Aktion verbinden:
command="$HOME/lala.sh",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-dss [KEY] [KEY-NAME]
(eine entsprechende lala.sh vorausgesetzt).
Ein Rest-Risiko bleibt bei jeder Form der Autorisation. Beim Passwort das Risiko, dass einem das Passwort unbemerkt gestohlen wird, beim Key via Stick eher, dass einem das Speichermedium abhanden kommt.
Moijn nochmal!
Ich bin bisher immer davon ausgegangen, dass man als sicherheitsbewusster Mensch seinen Key standardmäßig mit einer Passphrase versieht und passphraselose Keys wirklich nur dann verwendet, wenn es absolut nicht anders geht - aus einem einfachen Grunde: Meine Passworte habe ich im Kopf, und zwar nur dort. Wenn jemand ein Passwort von mir wissen will, muss er mich schon übel foltern - jedenfalls kann ich es nicht so einfach verlieren oder mich beklauen lassen. Ein 'Password' in Form einer Datei kriege ich dagegen nicht in meine Wetware, so dass ich diese Datei zwangsläufig mit einer ebendort gespeicherten Passphrase überschlüsseln muss, wenn ich mich wirklich sicher fühlen will; für mich erhöht sich der Aufwand für ein SSH-Login also deutlich.
Um nicht als Chefparanoiker dazustehen: Meine eigenen Daten auf dem Manitu-Server sind mir relativ egal, weil stets im privaten Backup. Wer wirklich wichtiges auf einem mehr oder weniger öffentlichen Webserver speichert, hätte es eh nicht besser verdient, als gehackt zu werden - mir macht Sorge, dass ein böser Bube mit meinem SSH-Login Unsinn anrichten könnte, für den dann ich geradestehen müsste. Auf SSH will ich aber nicht verzichten, also muss ich den erhöhten Aufwand akzeptieren. Und wie gesagt: Automatisierbare Scriptaktionen via SSH (die man natürlich mit einem serverseitigen Script wie oben einschränkt) sind ja auch was feines, das gleicht den erhöhten Aufwand im Alltag wieder aus.
Viele Grüße!
Helge
Ich bin bisher immer davon ausgegangen, dass man als sicherheitsbewusster Mensch seinen Key standardmäßig mit einer Passphrase versieht und passphraselose Keys wirklich nur dann verwendet, wenn es absolut nicht anders geht - aus einem einfachen Grunde: Meine Passworte habe ich im Kopf, und zwar nur dort. Wenn jemand ein Passwort von mir wissen will, muss er mich schon übel foltern - jedenfalls kann ich es nicht so einfach verlieren oder mich beklauen lassen. Ein 'Password' in Form einer Datei kriege ich dagegen nicht in meine Wetware, so dass ich diese Datei zwangsläufig mit einer ebendort gespeicherten Passphrase überschlüsseln muss, wenn ich mich wirklich sicher fühlen will; für mich erhöht sich der Aufwand für ein SSH-Login also deutlich.
Um nicht als Chefparanoiker dazustehen: Meine eigenen Daten auf dem Manitu-Server sind mir relativ egal, weil stets im privaten Backup. Wer wirklich wichtiges auf einem mehr oder weniger öffentlichen Webserver speichert, hätte es eh nicht besser verdient, als gehackt zu werden - mir macht Sorge, dass ein böser Bube mit meinem SSH-Login Unsinn anrichten könnte, für den dann ich geradestehen müsste. Auf SSH will ich aber nicht verzichten, also muss ich den erhöhten Aufwand akzeptieren. Und wie gesagt: Automatisierbare Scriptaktionen via SSH (die man natürlich mit einem serverseitigen Script wie oben einschränkt) sind ja auch was feines, das gleicht den erhöhten Aufwand im Alltag wieder aus.
Viele Grüße!
Helge
Stop! Dann hatte ich da eben was missverstanden. Der PRIVATE-Key ist ja per Passwort sicherbar, das ist Sache des Clients, sprich des Key-Generators (z.B. PuttyGen). Das hat NICHTS mit dem Server zu tun, dieser weiß nichts von dem Passwort, mit dem der private Teil des Keys zusätzlich gesichert wurde!
Oh, ja, da haben wir aneinander vorbeigeredet. Der 'public key' heißt ja nicht umsonst so, um den mach' ich mir keine Sorgen ...
Hallo!
Wie kann man diesen Satz verstehen "Unsinn, der sich zwar nicht auf den Server oder das Netzwerk auswirkte, aber uns Arbeit gemacht hat." Was wird per SSH für Unsinn gemacht, der den Server-Betreiber stört?
Wie kann man diesen Satz verstehen "Unsinn, der sich zwar nicht auf den Server oder das Netzwerk auswirkte, aber uns Arbeit gemacht hat." Was wird per SSH für Unsinn gemacht, der den Server-Betreiber stört?
Sauber! So muss das sein! Dazu hatte ich im vBulletin-Forum mal eine Anleitung geschrieben. Sollte sich mit "putty winscp h75" via Google finden lassen.
Dazu hatte ich im vBulletin-Forum mal eine Anleitung geschrieben. Sollte sich mit "putty winscp h75" via Google finden lassen.
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
Mo, 13.02.2012 09:09
Und auf deutsch heißt das was?
"Ich hab meine Rechnung nicht
gezahlt?"
Mo, 13.02.2012 07:51
Ich halte Wikis auch für besse
r, allerdings sollte etwas an
Arbeit in die Strukturierung g
esteckt werden, sonst we [...]
zu Daxig
So, 12.02.2012 00:53
Wie hast du denn die Bestellun
g erwartet? Würde mich wirklic
h mal interessieren - ich find
e das jetzt nicht ungewö [...]
zu Daxig
Sa, 11.02.2012 22:05
das ist gängige Praxis... Wenn
ich etwas haben will, was (au
ch) per Webformular zu haben i
st muss ich die Bestellu [...]
Sa, 11.02.2012 17:42
das glaubst du doch selber nic
ht
zu .my.cnf
Sa, 11.02.2012 11:48
Chuck Norris gibt den Daten ei
nen Roundhouse-Kick, dann komp
rimieren die sich selber.
Sa, 11.02.2012 10:54
Gibts da schon einen Verhandlu
ngstermin? Wenn ich in der Näh
e bin, würd ich mir das glatt
noch ansehen kommen.
Fr, 10.02.2012 23:05
... ja wieso eigentlich nicht?
Bei Kunden mit Neuanschluss w
ird in der Regel eher selten e
in DSL-Modem daheim ruml [...]
Fr, 10.02.2012 20:54
Ist schon klar^^ nur ich hab s
chon lustige Erfahrungen mit Ö
sterreichern gemacht, grade mi
t Technik (wobei man das [...]
Fr, 10.02.2012 20:46
Finde ich auch.
Der Anwalt hä
tte auf das Angebot eingehen s
ollen, aber wer nicht hören wi
ll....
