10505791074
04.01.2024, aktualisiert am 10.01.2024
1559
9
0
TOFU - Trust On First Use bei der SSH
HI Zusammen,
rein aus Interesse gefragt, wie handhabt Ihr das eigentlich so mit TOFU im Bezug auf die SSH?
Mögliche Antworten könnten sein:
Selbstverständlich wird das ernst genommen!
Keine Ahnung von was Du da sprichst, ich esse TOFU nur!
Ist mir egal, ich sag' da einfach nur "yes" bis zum nächsten Wechseln von Schlüssel und Ruhe ist!
t.b.c.
...
Wie ist da Eu're Einschätzung?
ttyl
rein aus Interesse gefragt, wie handhabt Ihr das eigentlich so mit TOFU im Bezug auf die SSH?
Mögliche Antworten könnten sein:
Selbstverständlich wird das ernst genommen!
Keine Ahnung von was Du da sprichst, ich esse TOFU nur!
Ist mir egal, ich sag' da einfach nur "yes" bis zum nächsten Wechseln von Schlüssel und Ruhe ist!
t.b.c.
...
Wie ist da Eu're Einschätzung?
ttyl
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22086095606
Url: https://administrator.de/forum/tofu-trust-on-first-use-bei-der-ssh-22086095606.html
Ausgedruckt am: 21.12.2024 um 13:12 Uhr
9 Kommentare
Neuester Kommentar
Du meinst die Serverzertifikate? Wo man als Client den Fingerprint bestätigen soll?
Naja, die Zertifikate kann man von (s)einer CA signieren und der dann im Client pauschal vertrauen.
Oder man macht das mit TLSA-Records (das ist aber zugegebenermaßen relativ nervig).
Ich versuche auf jeden Fall so wenig wie möglich diese Meldung zu bekommen.
Naja, die Zertifikate kann man von (s)einer CA signieren und der dann im Client pauschal vertrauen.
Oder man macht das mit TLSA-Records (das ist aber zugegebenermaßen relativ nervig).
Ich versuche auf jeden Fall so wenig wie möglich diese Meldung zu bekommen.
Moin,
Gruß,
Dani
Wie geht Ihr|Du damit um? Sag bitte blos nicht: Ich ruf den SSH CLient immer mit den beiden Optionen -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no auf.
wir veröffentlichen immer die Keys im DNS (SSHFP Resource Record) Das gilt für interne aber natürlich auch für externe Server. Es gibt leider auch Netzwerke bei uns, wo das nicht geht. Hier wird zusätzlich der Key im PAM hinterlegt.O.K. das mit den TLSA-Records und den SSH Host keys musst Du mir mal erklären!
Das Ganze macht natürlich nur Sinn, wenn die DNS-Zone mit DNSSEC geschützt wird. Anderenfalls könnten Manipulationen nicht auffallen.Gruß,
Dani
Moin,
naja, was passiert mit einem LDAP/AD, wenn der DNS nicht sauber/gar nicht funktioniert? Dann geht da auch nicht mehr viel. Von daher gibt es immer eine Abhängigkeit, die nicht zu lösen ist.
Gruß,
Dani
naja, was passiert mit einem LDAP/AD, wenn der DNS nicht sauber/gar nicht funktioniert? Dann geht da auch nicht mehr viel. Von daher gibt es immer eine Abhängigkeit, die nicht zu lösen ist.
Was ist mit dem Zugriff, rein auf Host-IPv4|6, bzw. mit Namen aus der ~/.ssh/config, für die es keine DNS-Auflösung gibt?
Kann ich dir nicht beantworten. Weil bei uns hat alles ein FQDN - ohne Ausnahme. Oder lernst du IPv6 Adressen auswendig?Gruß,
Dani
Moin,
Gruß,
Dani
Schon klar, aber bei uns gibt es Basis-Services die müssen so gut wie immer funktionieren, auch wenn der zentrale LDAP-Server und|oder DNS nicht verfügbar sind und dazu gehört eben die SSH.
SSH ist kein Services sondern ein Protokoll. Abhängigkeiten sind per se - so die Definition bei uns - möglichst minimiert für Dienste die quasi immer zur Verfügung stehen müssen.
Da würde mich interessieren, welche Services das sind, die keine oder nur wenige Abhängigkeiten haben weil. Sobald Virtualisierung, Segmentierung, Firewall, Routing im Spiel ist, ist das eigentlich nicht mehr möglich. Da denke ich noch gar nicht an Layer 4 oder Layer 7 Services.Denn im Zweifelsfall ist dann schnell Schluss mit Lustig und es ist Administration by Turnschuh|Dienstwagen angesagt und dazu hat keiner im Zweifelsfall so recht Lust.
Wie immer hängt es vom Notfallplan ab. Wir hätten das Personal aber zu wenige Dienstwagen und Firmenflieger. Um entsprechende Personal an alle RZ Standorte zu schicken.Ab sofort werden Passwörter nur noch im zentralen unternehmensweiten Vault sicher abgelegt. So ist sichergestellt, dass nur die Zugriff auf User und Passwörter haben, die dazu berechtigt sind!" Alle riefen: "Hurra, endlich!" Na ja, es dauerte nicht lange bis zum Tag X als das zentrale Vault eben nicht verfügbar war.
Hört sich eher nach Planungsversagen, Designfehler oder unfähiges Personal an. Wir haben im Konzern eine solche Lösung im Einsatz. Da sind Millionen Passwörter in unterschiedlichen Tresoren drin. In den letzten 5 Jahren noch keine 1 Stunde Ausfall gehabt.Logisch kenne ich die wichtigsten IPv6-Adressen, meine ist z.,B. ::1 :P
Geht auch nur bei einem überschaubaren Anzahl von Subnetzen und Geräten.Ich muss mir keine grossen Gedanken machen. Denn alle Definitionen der Hosts, egal, ob intern, extern oder über einen oder mehrere Jump-Host erreichbar, werden zentral gepflegt und via Ansible auf die Ansible-Controll-Nodes bzw. gesonderte Administrationsworkstations orchestriert und stehen somit in den besagten ~/.ssh/config Dateien.
Ich habe das bei uns mal ausprobiert. Dauert bei uns recht lange bis die Datei erstellt und verteilt wurde. Erzeugt auf dem Netzwerk einen deutlichen Peak und ist auch bei Nutzung nicht performant. Wie viele Geräte hast du in der Datei stehen?Gruß,
Dani
Moin,
Aber evtl. kann hier bei uns noch Optimierungen vornehmen. Muss ich bei Gelegenheit mal ansprechen.
Gruß,
Dani
Echt? Wie viele Ansible-Controll-Nodes bzw. gesonderte Administrationsworkstation hast Du denn da?
einige hundert Administrationsworkstation mit mehreren tausend Nutzern.Na ja, gucken wir doch mal...
Häng an deine Zahl noch 3 Stellen ran und bist grob in meiner Dimension unterwegs.Aber evtl. kann hier bei uns noch Optimierungen vornehmen. Muss ich bei Gelegenheit mal ansprechen.
Gruß,
Dani