Re: server key + passwort auth für ssh root login
Hallo
Jonas Meurer (<jonas@freesources.org>) wrote:
> wir haben folgendes szenario: einen server, der über ssh von mehreren
> leuten mit dem root-passwort verwaltet wird. da gerade für root
> ssh-logins aber nicht gerade empfehlenswert sind, wollen wir lieber
> key-authentication benutzen.
Ich wäre ja zuerst auf die Idee gekommen, root-Logins zu verbieten. Das
solltest Du am besten auch jetzt noch tun.
> das problem ist, dass die clients nicht fest deffinierbar oder
> festlegbar sind, es geht also nicht wie herkömmlich, dass ich einfach
> alle keys der ssh clients nach .ssh/authorized_keys auf dem server
> kopiere.
Ist es nicht egal, auf welchem Rechner sich der private Schlüssel
befindet? Ich hatte es so verstanden, daß man den öffentlichen
Schlüssen auf den Server kopiert, den privaten dann von überall zum
Anmelden benutzen kann. Du kannst also für jeden Benutzer ein
Schlüsselpaar erstellen (lassen) und dann die öffentlichen Schlüssel
auf den Server kopieren. Oder einen erstellen und den privaten
Schlüssel mit Passwort an jeden weiterverteilen, der Zugriff haben
soll.
> am besten wäre ein server key, den alle leute mit root-access dann auf
> ihrer diskette haben sollten, und der trotzdem noch ein passwort zum
> login benötigt. ist sowas irgendwie möglich?
Das Passwort für den Schlüssen kannst Du mit ssh-keygen anlegen oder
verändern. Die Benutzer können dem SSH-Client mitteilen, wo der private
Schlüssel ist, den sie verwenden wollen. Aus man ssh:
-i identity_file
Selects a file from which the identity (private key) for
RSA or DSA authentication is read. The default is
$HOME/.ssh/identity for protocol version 1, and
$HOME/.ssh/id_rsa and $HOME/.ssh/id_dsa for protocol
version 2.
Das lässt sich auf den Clients auch über /etc/ssh_config oder
~/.ssh_config voreinstellen.
Grüße
Andreas Janssen
--
Andreas Janssen <andreas.janssen@bigfoot.com>
PGP-Key-ID: 0xDC801674 ICQ #17079270
Registered Linux User #267976
http://www.andreas-janssen.de/debian-tipps.html
Reply to: