Wie den Authentifizierungsschlüssel zum Server bringen?

[tobi4]

Hallo,

ich richte gerade meinen root-Server ein. Dazu habe ich mir ein Buch gekauft (von Stefan Schäfer). Darin steht, dass man ein Schlüsselpaar auf dem Client-PC erzeugen soll. Damit ist vermutlich der eigene (Linux) Rechner gemeint.
Dann solle man den öffentlichen Schlüssel per scp auf den Server übertragen.

Ich habe keinen Linux-PC und habe puttyGen gefunden, um einen solchen Schlüssel zu erzeugen. Wie kriege ich den jetzt da hin wo er hin soll?

Danke.

 

[GwenDragon]

In PuttyGen den Schlüssel für den User root erzeugen
Dann Alt P
In die Zwischenablage kopieren
In eine Datei authorized_keys kopieren
Die Datei dann mit pscp nach /root/.ssh/ kopieren mit
pscp -v authorized_keys root@dein1234567.server.ork:/root/.ssh/

 

[tobi4]

Danke, dass es pscp gibt, wusste ich nicht.

Ich habe nun die Datei mit dem Schlüssel auf meinem Rechner liegen.
Wo gebe ich das pscp Kommando ein? Wenn ich die pscp.exe öffnen will, passiert nichts.

Und: Ich habe den root-Login deaktiviert. Kann ich die Datei trotzdem für den root-User nehmen? Hat der deaktivierte root-Login keine Auswirkung darauf?

Edit: Also der "Public key" oben in dem Fenster nach dem Generieren reicht? Ich muss nicht den Button "generate a public/private key pair" klicken?

Danke für die Infos!

 

[GwenDragon]

Wenn du Putty benutzen willst, musst du natürlich den privaten und öffentlichen Schlüssel bei dir auf dem PC speichern.

Zum Hochkopieren musst du die Eingabeaufforderung aufrufen, und dort dann den Befehl mit pcsp ... eingeben.

Wenn du root-Login deaktiviert hast, kannst du natürlich keinen Schlüssel für root hochkopieren.
Root-Login per ssh muss zu gelassen sein. Musst du ändern.

Lies bitte mal http://www.df.eu/de/service/df-faq/.../ssh-logins-auf-public-private-key-umstellen/

MOD EDIT: Rechtschreibfehler korrigiert. Bitte drauf achten.

 

[GwenDragon]

@tobi4
Dass es geklappt hat mit dem Generieren und Hochladen, könnte ja mal gesagt werden, oder?

 

[killerbees19]

Wenn man sich den Umweg über pscp sparen möchte, kann man auch einfach den Inhalt für die authorized_keys in die Zwischenablage kopieren, über PuTTY ganz normal über SSH zum Server verbinden , $EDITOR aufrufen und den Inhalt aus der Zwischenablage einfügen. So habe ich es zumindestens früher immer unter Windows gemacht. Ist meistens der schnellere Weg


MfG Christian

 

[GwenDragon]

Ich denke, $EDITOR wird auf den servern oft vim, manchmal nano oder gar pico sein und für Windowsnutzer ist das immer ein Spaß, sich mit dem zu verheddern.

Deswegen mein Tipp mit dem Hochkopieren der Datei.

 

[karaktaka]

Dein Vorschlag den Key unbedingt dem Root-User zuzordnen und dazu den Root-User wieder zu aktiveren finde ich ja schon fraglich. Man kann den Key auch einfach einem unprivilegierten User zuweisen und dann via sudo arbeiten oder mittel su zu root werden.

Letzteres ist imo der sichere Weg, weil man sich nochmals per Passwort authentifizieren muss.

 

[GwenDragon]

Ja, bei su* hat dann der TE die Möglichkeit in der Shell das (hoffentlich sehr lange, komplexe) Passwort für root einzugeben.

Wo ist eigentlich die Angst? Dass irgendjemand den SSH-Key in Windows klaut, das Passwort per Trojaner abfischt und dann den root-Account kapert? Ja, das kann sein.

Nein, wo ist das Risiko jetzt, nur per SSH-Key auf den Server zuzugreifen? Ich würde es gern wissen. Oder ist das nur 'Security through obscurity' erst als harmloser User einzuloggen und dann superuser zu werden?

 

[killerbees19]

Wegen $EDITOR: Wobei gerade nano (der afaik z.B. unter Debian Standard ist) selbst für DAU's zu bedienen ist und die einzigen zu merkenden Tastenkürzel (^O & ^X) direkt im unteren Bereich angezeigt werden

Zum Root-Login: Wenn man den Schlüssel samt Passphrase schon erbeuten kann, gilt das selbe meistens für das root Passwort oder das Account-Passwort für sudo. Und gerade wenn nur Keyfiles erlaubt sind, kann man den Root-Zugang durchaus erlauben.


MfG Christian

 

[Alderon]

Da schließe ich mich Gwen und killer an.
Aus dem selben Grund bin ich auch FÜR Passwordsafes, weil es IMO mehr Sinn macht, möglichst absolut unterschiedliche und starke Passwörter zu haben, da dann bei gehackten Seiten (was ja sehr häufig vor kommt) wenigstens nur eine Seite betroffen ist.

Ist der Heimrechner nämlich erst einmal befallen hilft gar nichts mehr, selbst Verschlüsselung ist dann früher oder später zum Teufel, weil ein Angreifer keys kopieren und Passwörter loggen kann.

Zum Topic selbst: Ich persönlich copy & paste meine keys immer per vim auf den Server und deaktiviere danach den Passwortlogin.

 

[elias5000]

Kleiner Tipp für alle, die den vim etwas umständlich* finden:

1. Diesen Befehl ausführen: "cat > ~/.ssh/authorized_keys"
2. SSH-Key pasten
3. Sicherstellen, dass der Cursor auf der nächsten Zeile steht (ggf. Return drücken)
4. Ctrl+D drücken um die Eingabe abzuschließen
5. ????
6. PROFIT!

Erklärung: cat liest von STDIN und STDOUT wird in eine Datei umgeleitet.
Das ist der bevorzugte Weg um den Inhalt der Zwischenablage in eine Datei zu bekommen.

*Auch wenn vim mein Lieblingseditor ist, finde ich ihn für den hier abgehandelten Einsatzzweck auch zu umständlich.

 

[tobi4]

Hallo,

habe wohl ganz vergessen, hier nochmal reinzuschauen. Danke für die Infos, der Login mit der Keydatei klappt. Habe diese noch mit einem PW geschützt, welches ich beim Anmelden noch eingeben muss. PW-Login auf dem Server ist deaktiviert und ich bin direkt mit root drin.

Sicherheitshalber habe ich mir diesen Login-Key zusätzlich auf einem USB-Stick gespeichert. Ich denke, wenn mir der abhanden kommt, sehe ich alt aus.

Des weiteren habe ich in den letzten Tagen versucht, ein wenig mit fail2ban zu spielen, leider führte das nicht immer zum Erfolg. Dazu aber werde ich gleich einen separaten Thread erstellen.

Danke & Gruß