[Eisfair] scp-Problem nach Base-Update auf 2.3.9

Marcus Roeckrath marcus.roeckrath at gmx.de
Di Feb 17 17:25:46 CET 2015


Hallo Dirk,

Dirk Alberti wrote:

>> Security hört nicht an Deinem Router auf. ;-)
> 
> Ok, so gesehen hast Du recht.   Punkt!   ;-)
> 
> Was mich stört, bzw. womit ich Probleme habe, ist die Art und Weise,
> diese "Zweigleisigkeit", dieser Aufwand, den man betreiben muss, nur um
> die Möglichkeit des gegenseitigen Zugriffs Eisfair <-> Fli4l herstellen
> zu können, auf Rechnern, deren Motherbords 5cm voneinander entfernt sind.
> Mit Zweigleisigkeit meine ich die unterschiedliche Erstellung und
> Handhabung von Schlüsseln auf Eisfair und Fli4l, welcher wo hinkommt,
> unterschiedliche Bezeichnungen, wo man als Nicht-Profi kaum noch
> durchsieht und sich seitenweise durch HowTos hangeln muss.

Dieser Gedankenansatz ist m.E. nicht ganz korrekt; es geht hier nicht um das
Zusaammenspiel von zwei verwandten Projekten, sondern ganz allgemein um das
Zusammenspiel beliebiger Rechner.

> Auf dem Eisfair kriegt man das ja noch einfacher hin, mit einigem
> probieren auch irgendwann mal funktionierend, aber auf dem Fli4l mit
> "SSHD_CREATEHOSTKEYS" erst aktivieren, neu booten, Keys erstellen,
> "SSHD_CREATEHOSTKEYS" wieder deaktivieren, wieder neu booten usw.

Ein Server-SSH-Schlüssel weist einen Rechner aus; Dein System verbindet mit
einem erhaltenen und von Dir abgenickten Schlüssel einen bestimmten
Rechner.

Was passiert, wenn Du versuchst, Dich mit einen Rechner per ssh zu
verbinden, dessen Schlüssel sich gegenüber dem lokal gespeicherten
verändert hat?

Genau; je nach Konfiguration auf Clientseite wird der ssh-Client nachfragen,
ob das korrekt ist (Server hat Schlüssel geändert) oder er wird mit
Fehlerhinweis sofort abbrechen.

Alles andere ist grob fahrlässig, du könntest auch per DNS-Attacke auf einen
ganz anderen Server geleitet worden sein.

Ein Schlüssel ist wie ein Ausweis eines ganz bestimmten Systems.

Daher kann kein Standardschlüssel mitgeliefert werden! Wen gehört der, wen
ihn A , B, ... besitzen.

Auf fli4l-Seite sieht das deshalb augenscheinlich etwas aufwändiger aus,
weil man bei einer Neukonfiguration normalerweise auf einem PC ein komplett
neues System erstellt und auf das Bootmedium überträgt.

Da dieses keinen Schlüssel enthält, wird dieser beim (jedem) Boot neu
erzeugt.

Aber damit ist auch ganz einfach umzugehen; nach erstmaligem Boot die Keys
im fli4l-Buildsystem auf dem Client nach config/etc/ssh kopieren und der
Router hat in Zukunft immer seinen immer gleichen Schlüssel.

> Was ich mir wünschen würde wäre ein gegenseitiger General-Schlüssel für
> Eisfair und Fli4l, welcher den gegenseitigen Zugriff absichert und 

Aus obigen Gründen von mir ein absolutes NEIN.

Ich halte nichts davon, ich eisfair und Du fli4l also vertrau ich Dir.

> ermöglicht. Oder wenigstens halbwegs gleiche, verständliche
> Schlüsselnamen auf beiden Systemen, denen man ihren Zweck entnehmen
> kann.

Es gibt Serverkeys und Anwenderkeys:

Serverkeys liegen bei Linux unter /etc/ssh, aber das musst Du eigentlich
auch nicht wirklich wissen.

Beim Verbinden zweier PCs per ssh, bietet der Server dem anfragenden
User/Client seien Key an, der diesen in die userbezogene known_hosts
einträgt (je nach Konfiguration nach Nachfrage), damit ist schon alles
erledigt.

Wird die Verbindung in beiden Richtungen gewünscht, ist auch in der
umgekehrten Richtung mal eine Verbindung auszuführen.

Nun kannst Du Dir auch persönliche User-Keys erstellen; übergibst Du die
pub-Parts eben dem Server-Admin und dieser trägt die in die
authorized-Datei eines lokalen Server-Users" ein, kannst Du halt eine
ssh-Sitzung ohne Passwortnachfrage starten.

Insgesamt geht es um die essentielle Frage, "wer bin ich" und "wer bist du".

> Also sowas wie "Fli4l_ssh.key und Eisfair_ssh.key erstellen, den 
> beim jeweils anderen ins gleiche Verzeichnis stecken und fertig.
> Mir würde auch eine Anleitung reichen, mit der man als Nicht-Profi
> selbiges bewerkstelligen könnte, wo auch steht, welcher Key wohin
> kopiert werden muss.

Wäre, das von mir gerade dargelegte aus Deiner Sicht ein Anfang?

An einem Wiki-Eintrag soll es nicht scheitern.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair