Re: Welke SSH key?

To: debian-user-dutch@lists.debian.org
Subject: Re: Welke SSH key?
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Thu, 15 Jun 2017 22:59:52 +0200
Message-id: <[🔎] b9b753b5-ec06-f314-18e7-5981966aca7d@vandervlis.nl>
In-reply-to: <[🔎] 1892460651.11280805.1497526974139.JavaMail.zimbra@appbakkers.nl>
References: <[🔎] 41454781-ebc8-5929-63d5-3d02c00b627c@vandervlis.nl> <[🔎] 1892460651.11280805.1497526974139.JavaMail.zimbra@appbakkers.nl>

Hallo Germ,

Bedankt voor je uitgebreide verhaal.

Op 15-06-17 om 13:42 schreef Germ van Ek | AppBakkers BV:
> Goeiendag,
> 
> De 'ssh-agent' is een sleutelbos, hier kan je meerdere types sleutels
> in kwijt.
> 
> Commando's die je mogelijk nodig hebt:
> 
> # Om via SSH in te loggen met een specifieke key 
> ssh -i /pad-naar-key
> 
> # Om een key aan een bestaande agent toe te voegen 
> ssh-add /pad-naar-key

Hmm, ja, wellicht gewoon 2 keys unlocken.

> Je kunt verschillende keys gebruiken om bij een bepaalde host in te
> loggen. Deze keys staan in de map .ssh, dan het authorized_keys
> bestand. Dit kan je inzien via bijvoorbeeld: 
> vim ~/.ssh/authorized_keys
> 
> De meeste Desktop besturingssystemen, ik gebruik momenteel Fedora,
> maar volgens mij heeft Debian dat ook wel, gebruiken een 'fork' van
> ssh-agent die automatisch je desktop sleutelbos (keyring) koppelt, in
> mijn geval de gnome-keyring. Dat betekent dat ik ook in de grafische
> sleutelbos keys kan toevoegen. Dit is dan standaard permanent.

Ik begrijp dat mechanisme niet goed genoeg, daarom gebruik ik het niet.
Verder werk ik graag op de commandline.

Ik gebruik niet mijn desktop account om in te loggen op andere machines,
maar een account wat ik alleen op de commandline benader. Ook uit
veiligheidsredenen.

> Je kunt ook meerdere private keys (identities) toevoegen in de
> configuratie van je ssh client, de IdentityFile regel mag je herhalen
> voor elke private key die je gebruikt. 

Aha, interessant.

> In mijn geval gebruik ik het
> overigens bewust niet. Ik heb ook een 'oude' key, maar als ik op
> servers probeer in te loggen die mijn nieuwe key nog niet hebben
> krijg ik een access denied, dan weet ik dat ik de key nog moet
> vervangen en kan dan alsnog met ssh -i inloggen. Als ik mijn oude key
> aan mijn SSH configuratie zou toevoegen zou ik dit niet zien.

Misschien een goed idee, maar voor mij zou het betekenen dat mijn script
niet meer werkt. Dus lastig, tenzij ik eerst alles vervang.

> vim ~/.ssh/config IdentityFile /pad/naar/je/private/key
> 
> Ik heb zelf alle configuratie alleen voor specifieke hosts,
> waarschijnlijk kan je zelf ook wel zoiets verzinnen voor jouw
> situatie: Host *.klanta.nl *.klantb.net *.klantc.net 123.123.123.* 
> ForwardAgent yes

Ik merk dat ik meerdere private keys kan hebben, ik heb nu een nieuwe
RSA key aangemaakt van het moderne type.

> Host *.andereklant.nl ForwardAgent yes IdentityFile
> /home/mijnusername/.ssh/id_rsa IdentitiesOnly yes
> 
> RSA is de nieuwe 'standaard' encryptie voor SSH sleutels. Het is een
> slecht onderbouwde reden, maar in de basis zou ik zeggen dat het
> Debian security team over het algemeen wel redelijk weet waar ze mee
> bezig zijn, dus als zij een bepaald type key als 'standaard'
> gebruiken zou ik daar normaal gesproken niet van afwijken. Betere
> onderbouwing is vast op internet wel te vinden. Ik kan mij in mijn
> werkzame leven van meer dan 10 jaar niet herinneren dat ik ooit DSA
> keys heb gebruikt voor 'eigen' servers, dus ik denk dat die al even
> verouderd zijn.

Ik heb ook maar gekozen voor RSA. Ik heb de tijd nog meegemaakt dat we
van telnet naar SSH gingen, en toen had je al DSA en RSA.
Maar er is op een gegeven moment een RSA versie 2 gekomen die ze RSA
genoemd hebben, het oude type heet nu RSA1.

Groeten,
Paul

> Met vriendelijke groet, Germ van Eck Appbakkers B.V. | Aagje
> Dekenstraat 51 | 8023 BZ Zwolle | T. +31 (0) 38 3032600 | W.
> www.appbakkers.nl
> 
> ----- Oorspronkelijk bericht -----
>> Van: "Paul van der Vlis" <paul@vandervlis.nl> Aan:
>> debian-user-dutch@lists.debian.org Verzonden: Donderdag 15 juni
>> 2017 13:17:06 Onderwerp: Welke SSH key?
> 
>> Hallo,
>> 
>> Ik gebruik al lange tijd een DSA key, deze zit ingebakken in vele 
>> computers van mijzelf en klanten. Tot mijn schrik werkt de key niet
>> op computers met Debian 9. Het beste lijkt me nu om een nieuwe key
>> te gaan gebruiken.
>> 
>> Welk type raden jullie aan?
>> 
>> Ik neem aan dat de ssh-client nog wel om kan gaan met dsa-keys, of
>> moet ik nu plots overal die keys gaan vervangen?
>> 
>> Is een DSA key niet erg veilig meer?
>> 
>> Functioneert zo'n modern type key ook op oude systemen?
>> 
>> Ik heb een script wat eenmalig vraagt om een paswoord, en dan vele 
>> machines gaat benaderen. Het doet zoiets: eval `ssh-agent` ssh-add 
>> Is zoiets ook te doen voor meerdere keys?
>> 
>> Vele vragen, misschien is er hier iemand die iets zinnigs kan
>> zeggen.
>> 
>> Groeten, Paul
>> 
>> -- Paul van der Vlis Linux systeembeheer Groningen 
>> https://www.vandervlis.nl/
> 



-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

Reply to:

References:
- Welke SSH key?
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: Welke SSH key?
  - From: Germ van Ek | AppBakkers BV <germ@appbakkers.nl>

Prev by Date: Re: Welke SSH key?
Next by Date: Re: Welke SSH key?
Previous by thread: Re: Welke SSH key?
Next by thread: Re: Welke SSH key?
Index(es):
- Date
- Thread