[Eisfair] scp-Problem nach Base-Update auf 2.3.9

Juergen Edner juergen at eisfair.org
Sa Feb 21 20:19:49 CET 2015 

Hallo Alex,

> * Wer mit PuTTY auf dein eisfair-Server zugreifen und dazu eine
> Schlüsseldatei verwenden möchte, muss dafür weiterhin den rsa (4096 bit)
> Schlüssel verwenden, da von PuTTY zur Zeit noch keine ed25519-Schlüssel
> unterstützt werden.

OpenSSH unterstützt RSA- und ED25519-Schlüsseltypen, PuTTY noch nicht.

> * Damit puttygen.exe einen OpenSSH2-Schlüssel importieren kann, muss
> dieser mit einem Kennwort versehen sein. Dies bewerkstelligt man mittels
> des folgenden Befehls:
> 
> -> das hört sich für mich so an, als ob für den Zugriff mittels putty
> auf den Eis-SSH doch der Eis-Schlüssel verwendet werden soll/kann!?
> Daher nochmal für mein Verständnis: die erzeugten Schlüssel
> ssh_host_rsa_key und ssh_host_ed25519_key sind dafür gedacht eine
> Verbindung vom EIS mit einem anderen SSH-Server herzustellen!?

Du wirfst hier zwei Dinge durcheinander, die OpenSSH-Server- und die
Client-Funktion. Die Serverschlüssel werden in /etc/ssh gespeichert,
Client-Schlüssel, z.B. für den Zugriff auf einen anderen Server,
befindet sich im Verzeichnis ~/.ssh .
Ich generiere meine Client-Schlüssel z.B. auf dem eisfair-Server,
z.B. mit dem Skript /var/install/bin/system-ssh-create-client-keys
und kopiere sie von dort z.B. dann auf andere Clients. Du kannst
natürlich auch in PuTTY selbst Schlüssel generiere, wie Du vorgehst
obliegt Dir selbst.

> * Um sich mittels der generierten SSH-Schlüssel ohne zusätzliche Eingabe
> eines Kennwortes am eisfair-Server anzumelden, setzt man anschliessend
> folgende Parameter in der ssh-Konfiguration (setup->System
> administration->SSH administration->Edit configuration):
> 
> -> vielleicht wäre hier noch zu ergänzen, dass der öffentliche Schlüssel
> vom Client kommen muss.

guter Punkt.

> Die empfohlene Ergänzung:
> SSH_SERVER_KEXS='default,diffie-hellman-group-exchange-sha1'
> irritiert mich ebenfalls. Zum einen, weil ich im Log immer "unsupported
> cipher" bekam und nix von KEXS und zum anderen, dass ich was potenziell
> unsicheres zulassen muss. Kann ich Mobaxterm nicht dazu bringen einen
> sicheren KEX zu verwenden?

Leider sind nicht alle Software-Paket auf dem neuesten Stand der
Entwicklung und nutzen daher, mittlerweile als weniger sicher
eingestufte Verfahren. Eventuell kannst Du die Mobaxterm-Entwickler
davon überzeugen zukünftig sichere Verfahren zu verwenden.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair