Logins für Server: Wie macht Ihr das?

D

dev

Registered User
Hello,

mittlerweile haben sich ein paar Serverlogins angesammelt (ich meine speziell die Shelluser) die sich per ssh verbinden. Da gibt es bei mir pro Maschine einen, der dann den sudo macht. Zusätzlich gibt es deswegen die Daten für den Root.

Zu Beginn hatte ich noch den Ehrgeiz, mir alles zu merken und "mich aus dem Kopf" einzuloggen. Mittlerweile ist mir das zu anstrengend und ich schaue die Passworte immer in meinem Tool nach.

Einen Zugang mit denselben Daten für alle Server möchte ich nicht. Per Key möchte ich mich auch nicht verbinden. Merken kann ich mir 10+ Logins auch nicht. Deswegen brauche ich das Alzhheimer-Tool.

Wie macht Ihr das?
 
dev said:
Einen Zugang mit denselben Daten für alle Server möchte ich nicht.
Click to expand...
Mit SSH Keys wohl eher kein Problem.

dev said:
Per Key möchte ich mich auch nicht verbinden.
Click to expand...
Warum nicht?

dev said:
Merken kann ich mir 10+ Logins auch nicht.
Click to expand...
Machen die wenigsten Leute.

dev said:
Deswegen brauche ich das Alzhheimer-Tool.
Click to expand...
Tools um Passwörter zu speichern gibts für Windows als auch für Linux. Mein Favourit ist KeePass.

dev said:
Wie macht Ihr das?
Click to expand...
SSH Keys benutzen. ;)

Also hast du wohl 2 Möglichkeiten:
  1. bei deinem bisherigen "System" zu bleiben
  2. auf einheitliche SSH Keys umzusteigen

 
Danke! Ein gutes Passwort-Tool habe ich :)

Wegen der PKI-Auth: Ich habe einen User, der per Bash druff darf. Für die Webuser (ohne bash) brauche ich allerdings sftp, deswegen fällt ausschliessliche PKI-Auth flach.

Ist es gängig, für einen User neben der Passwort-Auth auch PKI zu erlauben? Oder kann man für den einen Shell-User PW-Auth deaktivieren und nur PKI erlauben? Ich kenne nur die globale Aktivierung und Deaktiverung per sshd_config.

Im Prinzip finde ich die Doppelvariante nicht schlecht: Bin ich in gewohnter Rechnerumgebung, kann ich mich mit PKI konfortabel verbinden. Geht mein Key kaputt, habe ich den PW-Login noch als Fallback.

Macht das Sinn? Oder nur das eine oder das andere?
 
dev said:
Ist es gängig, für einen User neben der Passwort-Auth auch PKI zu erlauben?
Click to expand...
Wenn es für deinen Einsatzzweck benötigt wird, warum nicht?

dev said:
Oder kann man für den einen Shell-User PW-Auth deaktivieren und nur PKI erlauben?
Click to expand...
Ja.

dev said:
Ich kenne nur die globale Aktivierung und Deaktiverung per sshd_config.
Click to expand...
Geht auch per Benutzer, Gruppe oder Client-Hostname oder Client-IP-Adresse bzw. -Netzwerk.

dev said:
Geht mein Key kaputt, habe ich den PW-Login noch als Fallback.
Click to expand...
Backups hast du nicht?
 
Lol, doch, mehrfach, verteilt und einmal immer Schliessfach (kein Witz).

Und den Key kann ich einmal generieren und den Pub-Anteil auf alle Server verteilen?
 
dev said:
Für die Webuser (ohne bash) brauche ich allerdings sftp, deswegen fällt ausschliessliche PKI-Auth flach.
Click to expand...
Warum? Ist es unzumutbar das die Webusern einen ssh key in der Konfiguration ihres sftp Clients eintragen?
 
Mit den individuellen Keys fkt. das leider nicht mit meinem FTP Klienten. Aber damit kann ich leben. Ausserdem bin ich der einzige User, der auf den Rechnern per Bash oder SFTP rummacht. Ich habe die Webuser trotzdem fein säuberlich getrennt (eigene Zugänge/suexec), um die potenzielle Sicherheitslücke 'Webseite/CMS' so klein wie möglich zu halten.

Mir geht es nur um meinen Shell-User. Wenn ich mich mal fix einloggen möchte, ist es immer lästig, erst das Passwort rauszukramen.

Benutzt Ihr ein Passwort für Euren Key?
 
Last edited by a moderator:
Gut, dann also einen Key mit Passwort für alle Rechner. Das ist ja wie bei Sauron in Mittelerde - praktisch :D
 
Dazu muss ich jetzt auch eine Frage stellen, (oder auch 2)
und zwar
1. Wie Erstelle ich einen solchen Key ?
2. Wie bekomme ich es hin das er auf meiner Windows Maschine zu Hause erst nach einem Passwort fragt um den Key freizustellen?

Welche Zusatz Programme brauch ich dann zu Hause?

aktuell nutze ich für meine ganzen Passwörter "KeePass PasswordSafe"

Ich vermute aber fast das ich etwas anderes benötige? (den irgendwie muss ich den Key ja vorher entschlüsseln [benutzbar machen]?)

Ich wäre für die Hilfe sehr dankbar,
Da auch mir die lästige PW Eingabe doch erheblich auf den Zeiger geht.
 
Last edited by a moderator:
Bruce Schneier empfiehlt..

..Passwortliste im Portmonnaie. Die Passwörter sollte nicht mit dem richtigen Servernamen sofort ersichtlich sein. Das ist klingt banal, aber ist um Längen besser als die Alternative überall das selbe Pwd zu verwenden. Wenn Dir einer die Geldbörse klaut, dann merkst das in der Regel und meist sind Taschendiebe ganz schlechte ITler.

Iggi
 
Ihr verwendet Schlüssel um euch kein Passwort merken zu müssen, verwendet aber wiederum ein Passwort für den Schlüssel? :)

Also wenn es nur um die Sicherheit und nicht die Bequemlichkeit geht, dann würde ich mal als Diskussionspunkt in den Raum stellen, dass sich ein 25stelliges Passwort aus Gross-/Kleinbuchstaben und Sonderzeichen in puncto Sicherheit vor einem Key nicht zu verstecken braucht :)

Und ob mir KeyPass nun über einen Doppelklick das Passwort für den Key oder das Passwort für den User in die Zwischenablage schreibt, ist meines Erachtens relativ egal.

Oder übersehe ich jetzt irgendeinen Aspekt, der hier zum Tragen kommt?
 
Naja, für den Key hat man ein Passwort, das man sich merken muss. Ich habe das gestern Abend noch für 3 Maschinen eingerichtet und finde es ganz geschmeidig. Das Einloggen ist damit komfortabler.

Allerdings bleibt stellt sich nun die Frage, ob man den SU auf allen Kisten mit demselben PW ausstattet :confused:
 
Wieso nur ein Passwort? Hast du für alle Schlüssel das gleiche?

Gleiche Passwörter geht gar nicht. Es ist zwar schön bequem, aber es sollte mindestens ein Zeichen anders sein. Selbst wenn du bei jas,!!$,//ujsd717uiwd(()9k1jdas877616198bnasiuGBUIHhanskj nur die 1 austauschst :)
 
Ist der Sinn der Veranstaltung nicht, einen Key für alle Kisten zu haben? Und damit geht auch nur ein Passwort?

So habe ich das aus dem ersten Satz verstanden:

Logins für Server: Wie macht Ihr das?

Hello, mittlerweile haben sich ein paar Serverlogins angesammelt (ich meine speziell die Shelluser) die sich per ssh verbinden. Da gibt es bei mir pro Maschine einen, der dann den sudo macht. Zusätzlich gibt es deswegen die Daten für den Root. Zu Beginn hatte ich noch den Ehrgeiz, mir alles zu...
serversupportforum.de serversupportforum.de

Falsch?
 
Naja, es wird davon gesprochen, dass es kein Problem ist. Du kannst auch einen Schlüssel für 3 Autos haben. Ist auch machbar und kein Problem.

Du musst für dich selber entscheiden wie kritisch du deine Server siehst und wie die Bedrohung ist. Im eigenen Netz kannst du ruhig ein Passwort verwenden, aber ich würde meine Server nicht mit dem gleichen Passwort schützen (auch nicht den Schlüssel).

Aber das ist sehr individuell. Zumal musst du sehen, jemand muss erstmal deinen Schlüssel haben. Dann muss er damit umzugehen wissen und auch wissen zu welchem Server der Schlüssel passt.

Ich sage nur: Wenn schon Paranoia, dann richtig :D
 
Wenn ich für die Schlüssel unterschiedliche PW will, brauche ich auch unterschiedliche Schlüssel. Kann man eigentlich mehrere davon in einem Useraccount speichern? Und der Server fischt sich den richtigen raus? So wie es mehrere known_hosts gibt?

Sonst brauche ich für jeden Server einen "Admin"user mit dem Serverkey - das ist viel zu kompliziert. Es heisst ja nicht umsonst auch "security through simplicity".
 
You must log in or register to reply here.
Back
Top