Am Mittwoch 19 Dezember 2007 schrieb Dirk Salva: > On Tue, Dec 18, 2007 at 11:37:42PM +0100, Martin Steigerwald wrote: > > PermitRootLogin without-password > > D.h. ein Root-Login ist nur noch via SSH-Key möglich. > > Auf meinen Laptops stattdessen gleich: > > PasswordAuthentication no > > Das heisst, ohne SSH-Key, deren öffentlicher Teil in der > > authorized_keys drin ist, geht halt mal gar nix. > > Und _genau_das_ halte ich für erheblich unsicherer, gerade in Zeiten > von Stasi 2.0. Laß` den key auch nur einen Augenblick unbeobachtet > (dafür reicht schon, in der Firma auf die Toilette zu gehen und den > USB-Stick versehentlich stecken zu lassen), und in einer wirklich > anspruchsvollen Umgebung müßte er konsequenterweise exakt ab da als > kompromittiert gelten. Und das Problem dabei ist, daß Du die > Kompromittierung niemals bemerken wirst, wenn sie in einem > unbeobachteten Augenblick stattgefunden hat. Ein Passwort hingegen > kann man, zumindest so lange man es nicht aufschreibt, nicht auf > diese Weise kompromittieren. > Dafür gibt es dort andere Probleme wie Keylogger usw., aber so ein > Risiko kann man vermindern, in dem man z.B. nur eigene Rechner benutzt. > Ich jedenfalls halte einen Key zwar für technisch sicher, sozial aber > eher unsicher. Just my2cents. > Aber die Diskussion hatten wir schon des öfteren hier. Die Verwendung eines SSH-Keys macht natürlich *nur* Sinn, wenn dieser mit einer sicheren Passphrase verschlüsselt auf der Platte liegt. Und solange der ssh-agent nach ssh-add eine unverschlüsselte Kopie im Hauptspeicher des Computers behält, ist eben der Bildschirm zu sperren, wenn man den Rechner verlässt. Nach Verwendung hilft natürlich auch ein ssh-add -D, wenn man den Rechner wirklich mal ungesperrt stehen lassen möchte, wofür mir aber nicht wirklich ein sinnvoller Grund einfällt, zumindest den Zugang zu meinem Benutzerkonto würde ich dann sperren. Selbst wenn jemand an den Key auf der Platte kommt, der dort auch bestenfalls noch ein einem Crypto-Dateisystem liegt, kann er damit nichts anfangen, wenn er nicht auch die Passphrase weiß. Sollte ich das mit der Passphrase vorher nicht erwähnt haben, sei das hier nochmal ganz deutlich betont: Einen SSH-Key nur mit Passphrase verwenden oder in der authorized_keys, wenn doch mal ein Automatismus gewünscht ist, entsprechend auf einen Befehl oder Skript einschränken! Und ja, das ist aus meiner Sicht *wesentlich* sicherer als ein passwortloser Zugang. Ein SSH-Key ohne Passwort birgt natürlich ein *erhebliches* Sicherheitsrisiko und ist leicht unsichere als ein SSH-Zugang mit sicheren Passwörtern. -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.