HOSTBLOGGER.de

Moijn!

Hm. Nach einiger Bastelei habe ich jetzt herausbekommen, dass der "private key" für Putty und OpenSSH (ersteres unter Windows, letzteres auf meiner Linux-Kiste) jeweils anders aussieht und man das eine Format erst in das andere konvertieren muss. Ein kleiner Hinweis auf solche Spezialitäten wäre nett gewesen, aber das Ganze ist ja wohl nicht nur eine Sicherheitsfrage, sondern auch ein kleiner Test, um die Halb- von den Volldaus zu scheiden. Ein bisschen komme ich mir vor, als hätte ich eine Wurst gekauft, deren Verpackung nicht von jedem Käufer zu öffnen ist, sondern nur von Kunden mit Fleischerhandwerksausbildung und Spezialkurs in Wurstverpackung und Wurstkonsum unter Berücksichtigung von Unterschieden lokaler Schweinedarmqualitäten. Andererseits bin ich mir im klaren darüber, dass sich mit einer Wurst in einer Fleischerei wesentlich weniger Schaden anrichten lässt als mit einer SSH auf einem Server, den sich viele verschiedene Wustkonsumenten, äh, Kunden teilen (nehme ich jedenfalls an, ich bin noch nie mit einer Landmettwurst bei meinem Fleischer Amok gelaufen ...), und da ein SSH-Zugang noch lange nicht bei jedem Webhoster Standard ist, ducke ich mich und beschließe, still und zufrieden zu sein.
Was mich an diesem Verfahren allerdings wirklich stört, ist die Tatsache, jetzt immer meine(n) 'private key(s)' mit mir herumtragen zu müssen, um auch mal von Unterwegs (z.B. beim Kunden) Zugriff auf meinen Webspace bei Manitu zu bekommen (sowas kommt gelegentlich vor, zum Beispiel für eine schnelle on-the-fly-Änderung an Webseiten etc.) - ich bin bekennender USB-Stick-Hasser! Und außerdem: Was ist eigentlich mit den Schlaubergern, die Ihren 'private key' nicht mit einer Passphrase versehen und sich dann den Key klauen lassen? Für manche Anwendungszwecke ist ein passphraseloser Key ja sogar erwünscht und nötig, z.B. um automatisierte rsyncs durchführen zu können; mir wird trotzdem immer ganz schlecht bei dem Gedanken, dass man auf diese Art und Weise sogar die letzte Bastion, die der Passwortabfrage, umgehen kann. Uargh. Na, ich bin mal gespannt, wie die anderen Kunden reagieren - vielleicht bin ja auch nur ich alleine so überempfindlich.

Viele Grüße von der Waterkant

Helge

Das ist vom Prinzip ein guter Gedanke. Allerdings ist ein Key ja nichts anderes als ein "Passwort" (genauer: Eine Art der Authentifizierung), so gesehen ist ein Key mit Passwort nur ein Passwort mit Passwort. Sicherlich würde es das noch sicherer, aber auch unpraktischer machen (wenn das erzwungen würde).

Die Vorstellung, dass einem der Key gestohlen würde, ist unangenehm, aber IMHO nicht schlimmer, als wenn einem ein Passwort gestohlen wird. Die Gefahr, dass ein Dritter mit einem Key etwas anzufangen weiß, ist geringer als bei einem Passwort.

Wer ganz auf Nummer sicher gehen will, kann das Einloggen mit seinem Key zusätzlich SERVER-seitig mit einer Shell-Aktion verbinden:

command="$HOME/lala.sh",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-dss [KEY] [KEY-NAME]

(eine entsprechende lala.sh vorausgesetzt).

Ein Rest-Risiko bleibt bei jeder Form der Autorisation. Beim Passwort das Risiko, dass einem das Passwort unbemerkt gestohlen wird, beim Key via Stick eher, dass einem das Speichermedium abhanden kommt.

Stop! Dann hatte ich da eben was missverstanden. Der PRIVATE-Key ist ja per Passwort sicherbar, das ist Sache des Clients, sprich des Key-Generators (z.B. PuttyGen). Das hat NICHTS mit dem Server zu tun, dieser weiß nichts von dem Passwort, mit dem der private Teil des Keys zusätzlich gesichert wurde!

Hallo!

Wie kann man diesen Satz verstehen "Unsinn, der sich zwar nicht auf den Server oder das Netzwerk auswirkte, aber uns Arbeit gemacht hat." Was wird per SSH für Unsinn gemacht, der den Server-Betreiber stört?