[Eisfair] scp-Problem nach Base-Update auf 2.3.9

[Marcus Roeckrath]

Hallo Alex,

Alex Busam wrote:

> habe nun auf der MobaXterm Konsole ssh-keygen gestartet. Dann von
> /home/mobaxterm/.ssh die Datei id_rsa.pub nach /root/ auf den Eis
> kopiert. Dort
> cat id_rsa.pub >> .ssh/authorized_keys
> durchgeführt. Es gibt auch die Datei mit passendem Inhalt. Doch das
> Schließen der SSH-Konfig+Neustart Neustart löscht die Datei wieder.
> Deshalb habe ich die id_rsa.pub dann doch nach /root/.ssh/ kopiert und
> bei PUBLIC SSH KEY eingetragen.

Wenn Du als User root Dich auf den eis verbinden willst, gehört die Key
irgendwo abgelegt und ich die ssh-Konfiguration eingetragen, da die
authorized_key-Datei für root vom System erzeugt wird.

Für jeden anderen User ist der Key manuell in dessen ~/.ssh/authorized_keys
einzutragen.

Denke daran, die Datei eventuell von id_rsa.pub z. B. nach
mein_key.<client_name>.rsa.pub oder so umzubenennen, mit Anpassung in der
ssh-Konfiguration?

Warum?

Nicht wegen der Funktion, sondern für den Fall, dass Du von verschiedenen
Clients per ssh auf den eis willst und dann von mehreren Clients deren Keys
auf den eis kopierst; damit wäre auch jederzeit klar, von welchem Client
ein bestimmter Key ist.

Ansonsten ist es auch egal.

> So funktioniert der Aufbau einer scp-Verbindung mit key problemlos.

Gut.

> In der Wiki verstehe ich einige Dinge nicht:
> * Wer mit PuTTY auf dein eisfair-Server zugreifen und dazu eine
> Schlüsseldatei verwenden möchte, muss dafür weiterhin den rsa (4096 bit)
> Schlüssel verwenden, da von PuTTY zur Zeit noch keine ed25519-Schlüssel
> unterstützt werden.

Was ist nicht klar?

eisfair-ssh unterstützt nur noch zwei Schlüsseltypen: rsa und ed25519.

putty kann nur rsa.

Es muss also in /etc/ssh ein rsa-Key vorhanden sein - das ist automatisch
sichergestellt.

Für eine Schlüsselauthentifizierung muss auch ein rsa-Schlüssel herhalten.

> * Damit puttygen.exe einen OpenSSH2-Schlüssel importieren kann, muss
> dieser mit einem Kennwort versehen sein. Dies bewerkstelligt man mittels
> des folgenden Befehls:
> 
> -> das hört sich für mich so an, als ob für den Zugriff mittels putty
> auf den Eis-SSH doch der Eis-Schlüssel verwendet werden soll/kann!?
> Daher nochmal für mein Verständnis: die erzeugten Schlüssel
> ssh_host_rsa_key und ssh_host_ed25519_key sind dafür gedacht eine
> Verbindung vom EIS mit einem anderen SSH-Server herzustellen!?

Nochmal zur Klarstellung:

Die Schlüssel unter /etc/ssh/ sind den Host identifizierende Schlüssel.

Im Handshake der ssh-Verbindung bekommt der Cleint automatisch den pub-Key
des verwendeten Schlüssel übertragen und dient danach dem Client zur
Prüfung, ob er mit dem richtigen Host verbunden ist.

Eine Verwendung eines Host-Schlüssels als Authentifizierungsschlüssel halte
ich grundsätzlich für falsch.

Wäre ich ssh würde ich eine Verbindung sofort abbrechen, wenn mir mein
eigener Host-Key wieder zur Authentifizierung vorgelegt werden würde.

Das ssh-Menu benhaltet den Menupunkt ein Schlüsselpaar für einen beliebigen 
auf dem eis definierten User auszustellen.

Primär ist das natürlich ein "Ausweis" eines eis-User und dient dazu, eine
ssh-Verbindung als User xyz vom eis (nun als Client) zu einem anderen
Server zu authentifizieren.

Man kann nun aber auch ein solches Schlüsselpaar auch vom eis auf seinen
Client kopieren und dort als Authentifizierungskey zu nutzen.

Ich halte es für deutlich klarer, Keys dort zu erzeugen, wo sich der sich
ausweisende User befindet.

> * Um sich mittels der generierten SSH-Schlüssel ohne zusätzliche Eingabe
> eines Kennwortes am eisfair-Server anzumelden, setzt man anschliessend
> folgende Parameter in der ssh-Konfiguration (setup->System
> administration->SSH administration->Edit configuration):
> 
> -> vielleicht wäre hier noch zu ergänzen, dass der öffentliche Schlüssel
> vom Client kommen muss.

Kann ich ergänzen; da es ein offenes Wiki ist, kann das auch jeder andere.

> Die empfohlene Ergänzung:
> SSH_SERVER_KEXS='default,diffie-hellman-group-exchange-sha1'
> irritiert mich ebenfalls. Zum einen, weil ich im Log immer "unsupported
> cipher" bekam und nix von KEXS und zum anderen, dass ich was potenziell
> unsicheres zulassen muss. Kann ich Mobaxterm nicht dazu bringen einen
> sicheren KEX zu verwenden?

Da der eisfair - wenn Du es bei der default-Einstellung beläßt - nur sichere
Optionen zuläßt, nutzt so etwas nicht.

Der sftp (nicht der ssh, der kann die sicheren Optionen und kommt mit
default klar) im MobaXTerm ist da noch nicht so weit. Da MobaXTerm die
originären Linux-Tools beinhaltet, gehe ich davon aus, dass sich das in
Zukunft noch ändern wird; die aktuelle sftp-Version meiner OpenSuSE kommt
schon jetzt mit den default-Optionen klar.

Noch mal ein kurze Klarstellung an Alle:

Die Härtung des ssh erfordert überhaupt nicht, seine eigenen Systeme jetzt
komplett umstellen zu müssen oder ein Riesen Key-Gewürge veranstalten zu
müssen.

Wer sich bislang per Passwort authentifiziert hat, tut das nun einfach auch
so.

Wer zumindest - und das dürfte der Normalfall sein - funktionstüchtige
rsa-Keys auf seinen Systemen hat, kann auch einfach normal weiterarbeiten.

Geändert hat sich eigentlich nur, dass aus Sicherheitsgründen die vom ssh
verwendeten Optionen um die unsicheren Varianten gekürzt wurden.

Wer eine solche unsichere Option wegen seines Clients dennoch braucht, kann
die über die drei neuen Konfigurationsoptionen nachträglich aktivieren.

Aber vielleicht erstamal ein Update seines Clients, was z. B. bei putty und
kitty schon alle Probleme löst.

-- 
Gruss Marcus