gutitm
Goto Top

Wie schützt man am besten den privaten Schlüssel (private Key)?

Hallo,

wir nutzen bei uns hier einen Linux-Server mit Win-Clients. Die Profile sind auf dem Server gespeichert.

Nun ist der Shell-Login natürlich nur per SSH möglich und es soll zertifikatsbasiert sein. Daher liegt ja nun der private Schlüssel auf der Festplatte. Meine Frage nun:

Ist das wirklich soviel sicherer wie eine Passwortanmeldung? Das kann mit einem Zertifikat passieren:

- Jeder der an den Schlüssel kommt, kann sich auf dem Server anmelden
- der Schlüssel kann beliebig kopiert werden, wenn jmd. Zugriff auf den Client hat.
- Der Schlüssel wird von dem Nutzer im Share abgelegt. Damit ist er natürlich automatisch auch auf dem Server, was nicht so sein sollte.
- Eine Passphrase ist nicht durchsetzbar, da der Nutzer sich nicht noch ein Passwort merken wollen.

Nimmt man dagegen ein halbwegs sicheres Passwort kann das nicht so einfach vervielfältigt oder ausgespäht werden?

Wäre mal interessiert an ein paar "Tipps" zum privaten Schlüssel bzw. zur SSH-Sicherung. Wie gesagt...neue Passwörter sind nicht gerade erwünscht :P

Grüße Gutitm

Content-Key: 105462

Url: https://administrator.de/contentid/105462

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 08.01.2009 um 11:19:22 Uhr
Goto Top
Hi,

also kurz und prägnant:

ein Privater Schlüssel ohne (sicheres) Passwort ist einen sch wert face-smile

lg,
Slainte
Mitglied: spacyfreak
spacyfreak 08.01.2009 um 11:51:37 Uhr
Goto Top
Du kannst den ssh zugang auf knownhosts begrenzen - sprich den public ssh key der zugreifenden ssh clients auf dem ssh server hinterlegen. Dann darf kein anderer der dessen key nicht hinterlegt ist zugreifen. Das muss dann auch in der sshd.config so konfiguriert sein.


SSH Passwort Attacken sind gängig - sinnvoll ist es beispielsweise den ssh port zu ändern z. B. auf 2222 da die online angriffe in aller regel port 22 angreifen.

Private keys sichert man mit einer passphrase, einem passwort. Ferner sind zertifikate so zu sichern dass sich nicht exportierbar sind, dann kann sie auch keiner kopieren incl. private key und wo anders verwenden.
Mitglied: gutitm
gutitm 08.01.2009 um 12:22:40 Uhr
Goto Top
Hallo,

vielen Dank erstmal für die Antworten. Gibt es weiterführende Infos im Netz oder gute Bücher. Im Google ist es meist oberlächlich a la Schlüssel verwenden.

Wegen dem Kopieren habe ich vor allem Probleme bei OpenVPN....dort kann man einach den Ordner mit den Zertifikaten kopieren und auf einem anderen Rechner nutzen face-sad....so wie man bei SSH einfach die Datei mit dem privaten Schlüssel auf einen anderen Rechner kopieren kann...

Ideen?
Mitglied: 51705
51705 09.01.2009 um 22:29:05 Uhr
Goto Top
Genaugenommen hat ein privater Key kein Passwort, sondern nur der Storage Selbigen.