Ssh-login mit privatem Schlüssel, der dem Server nicht bekannt ist - möglich?

Mitglied: soundinle

soundinle (Level 1) - Jetzt verbinden

26.12.2015 um 08:46 Uhr, 1179 Aufrufe, 5 Kommentare

Hallo zusammen und frohe Festtage wünsche ich euch :-) face-smile

Beim Versuch, mit meinem Android-Smartphone und der App "JuiceSSH" zu meinem "freesshd-Server" eine Verbindung aufzubauen, bin ich auf die folgende Supportseite von "JuiceSSH" gestoßen, die mich sicherheitstechnisch doch recht verwundert:

https://juicessh.com/faq/how-do-i-generate-an-ssh-key-within-juicessh

Auf der Seite wird beschrieben, wie man smartphoneseits einen SSH-Schlüssel erstellt und diesen auf den SSH-Server hochladen kann, so dass der Key vom Server akzeptiert wird. Nun widerspricht es ja eigentlich dem Sicherheitsgedanken von SSH, dass man selbst als unbekannter User dem Server irgendwelche Schlüssel anbieten kann, mit denen er dann eine Verbindung herstellt - das soll ja gerade nicht der Fall sein.

Oder muss ich die Seite so verstehen - und da würde ich gerne eure Interpretationen hören - dass man zwar mit dem Smartphone den Key erstellt, man zum Hochladen desselben aber eine Verbindung über die Eingabe eines ganz "normalen" Passworts herstellt, wenn da steht, dass "SSH into the desired server. As your private key is not configured yet on the server, JuiceSSH will prompt for password authentication instead". Server sagt sich also: "Schön, dass du mir nen neuen Schlüssel anbietest, aber wenn du mir den über ne Shell mitteilen willst, gib erstmal das Passwort für den User ein".

Wäre über eure Einschätzung der Thematik sehr froh :-) face-smile
Mitglied: broecker
26.12.2015, aktualisiert um 08:55 Uhr
letzteres, also "alles ok".
Beim Reinkopieren in die knownhosts des Servers wird ein letztes Mal nach Deinem Passwort gefragt, danach wird es durch eine Passphrase auf dem Client abgelöst.
Oder auch durch "keine Phrase" bei einem unverschlüsselten Zertifikat, da z.B. ein unbeaufsichtigter Zugang eines Backup-Benutzers gewünscht ist.
HG und Frohe Weihnachten!
Mark
Bitte warten ..
Mitglied: Lochkartenstanzer
27.12.2015 um 18:09 Uhr
Moin,

Der publich key muß irgendwie zum Server kommen. Das kann dadurch gescehen, daß manihn per Datenträger dorthin kopuiert oder indem man den key per Netzwerk draufkopiert und sich dabei einer alternativen Authentifikationsmethode bedient. das kann entweder ein anderer User sein, dessen key schon auf dem Serve bekannt ist oder das herkömmliche Username/Paßwort. Man köntne natürlich den key auch unauthentifiziert kopieren lassen, was aber Mißbrauch Tür udn Tor öffnen würde udn deshalbt kaum gemacht wird.

lks
Bitte warten ..
Mitglied: soundinle
27.12.2015 um 21:43 Uhr
Vielen Dank für eure Antworten!

Okay. Verstanden. Also dieses "Reinkopieren" in die knownhosts hat quasi zur Folge, dass dem Server der Schlüssel, den ich auf dem Smartphone erstellt habe, bekannt ist. Somit ist eine Verbindung - sagen wir für den Benutzer "test" - per keyauth möglich. Dazu muss ich den Code aber auch als Benutzer "test" an den Server senden, oder? Beim Link, den ich gepostet habe, wird nämlich nirgends ein Benutzername spezifiziert ...

Durch ein bisschen rumprobieren habe ich festgestellt - was ich vorher noch nicht wusste - dass bei meinem Server die Möglichkeit existiert, zwei Authentifizierungsmethoden zur gleichen Zeit zuzulassen. Wenn ich z. B. einem Benutzer die Möglichkeit gebe, sich per Passwort zu authentifizieren, so hat er gleichzeitig die Möglichkeit - passenden Schlüssel vorausgesetzt - sich auch mit diesem zu authentifizieren. Somit wäre es folglich möglich, dass der Benutzer sich per Passwort authentifiziert und in dieser Verbindung dem Server den Schlüssel mitteilt.

Wenn ich dies aber versuche, sagt mir die Shell immer "Pfad nicht gefunden". Könnte es vielleicht sein, dass es bei "freesshd" - von einer Abänderung des Pfades einmal abgesehen - solch ein "~/.ssh/authorized_keys file" gar nicht gibt? Ich muss nämlich dort für jeden User brav z. B. mit puttygen einen Schlüssel anlegen. Ist dieses "Eintragen" vielleicht nur mit bestimmten Servern möglich?
Bitte warten ..
Mitglied: broecker
28.12.2015 um 00:24 Uhr
richtig, authorized_keys, known_hosts ist etwas anderes, die Datei wird erst mit dem ersten key angelegt, je nach Kopier-Skript könnte es also fehlschlagen.
HG
Mark
Bitte warten ..
Mitglied: soundinle
28.12.2015 um 20:08 Uhr
Okay. Mal ganz abgesehen vom Kopier-Skript, dessen Pfade man noch ändern müsste - ich habe nun schon einen User angelegt, der die keyauth benutzt (vorher händisch mit puttygen ein Schlüsselpaar angelegt). Dazu habe ich dem Server mitgeteilt, wo er den öffentlichen Schlüssel für diesen User finden kann (und darauf kommt es ja schließlich serverseitig an, wenn ich das recht verstanden habe, da der private Schlüssel ja eigentlich nur auf Userseite gebraucht wird).

Doch trotz angelegtem User - sprich bereits in Benutzung befindlicher keyauth - finde ich diese besagte Datei nicht. Ich musste bisher eigentlich immer pro Benutzer eine neue Schlüsseldatei bzw. ein neues Schlüsselpaar mit puttygen erzeugen und händisch an die entsprechenden Orte kopieren. Sowas wie eine einzige Datei, in der irgendwelche Keys stehen, ist mir bisher noch nicht untergekommen. Und das macht das gerade ziemlich spannend. Ist diese Funktion bei freesshd eventuell gar nicht implementiert?
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
gelöst anteNopeVor 1 TagFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore10 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

Monitoring
Mac Adressen im Netzwerk loggen
Peter444Vor 1 TagFrageMonitoring6 Kommentare

Hallo Zusammen, mehrere Rechner sind über eine Fritzbox 7590 mit dem Internet verbunden. Einige Wlan-Geräte kommen ab und an dazu. Ich möchte nun die ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...