[Eisfair] Probleme mit ssh-Zugriff als User

[Marcus Röckrath]

Hallo Stefan,

Stefan H. wrote:

>  > Dieses Vorgehen ist grundsätzlich falsch!
> 
> warum?

Weil secret-Keys niemals den Rechner verlassen, auf dem bzw. für den sie 
erzeugt wurden.

Der pub-Key ist schon dem Namen nach der, der auf beliebige andere Rechner 
zu verteilen ist.

Ein Schlüsselpaar identifiziert einen bestimmten User und/oder User auf 
einem bestimmten Rechner.

Wenn diesem entfernten User der Zugang zu einem anderen Rechner erlaubt 
werden soll, kommt der pub-Part des Schlüssel auf den Rechner.

Benutzt ein entfernter User verschiedene externe PCs, kann er auf diesen zur 
Vereinfachung den geichen Schlüssel nutzen, um den Aufwand der Übertragung 
der pub-Keys auf den Server zu minimieren.

> Ich habe den Putty und den Key vom root auf einem USB-Stick und der Key
> ist mit einem sehr langen Passwort versehen. So kann ich auch von
> unterwegs nottfalls auf den Server zugreifen ohne dass man Passwörter
> durchprobieren kann; denn man kommt ja nur mit einem Key dort hin.

Das ist ja auch grundsätzlich so ein sinnvolles Vorgehen, mach eich ja auch, 
aber es verdreht die Tatsache, wo ein Schlüssel zu erzeugen und ich welche 
Richtung zu übertragen ist.

>> 
https://www.eisfair.org/doku.php?id=eisfair:hilfe:howtos:ssh:sshschlusselfragen
> Auch die habe ich gestern angesehen - aber nicht verstanden. Spätestens
> hier bin ich ausgestiegen:
> 
> Nun muss der öffentliche Teil (.pub) dieser Schlüsselpaare auf den
> eisfair-Server übertragen und in die authorized_keys-Datei all der User
> auf dem Server eingefügt werden, mit deren Account man sich mit ssh
> verbinden möchte. Diese Datei befindet sich in ~/.ssh, also
> /home/<username>/.ssh bzw. /root/.ssh.

Ich versuche es nochmal:

willi besitzt einen Laptop und möchte sich mit diesem per Key mit ssh auf 
den Server als "root" und "heinrich" verbinden.

willi erzeugt ein Schlüsselpärchen auf seinem Laptop und erhält zwei 
Dateien, nehmen wir mal als Beispiel:

id_ed25519 (geheimer Schlüsselteil)
id_ed25519.pub (öffentlicher Schlüsselteil)

Wenn sich willi nun als root am Server anmelden möchte, also von seinem 
Laptop aus

ssh root@<server>

nutzen möchte, ist id_ed25519.pub in die Datei /root/.ssh/autorized_keys 
hineinzukopieren.

Jetzt möchte sich willi aber auch mit dem User heinrich auf dem Server von 
seinem Laptop verbinden, also

ssh heinrich@<server>

ausführen.

Die gleiche id_ed25519.pub von seinem Laptop ist nun in 
/home/heinrich/.ssh/autorized_keys einzufügen.

Der immer gleiche Ausweis (id_ed25519.pub) kommt also auf die Zielrechner 
und zwar in jeden dortigen Useraccount, mit dem er sich nun von seinem 
Laptop aus verbinden möchte.

Sofern willi nicht selbst die erforderlichen Rechte auf dem Server hat, also 
dort zum Beispiel selbst der Administrator ist, muss die Einbindung der 
externen pub-Schlüssel der Admin des Servers (root) oder der gewünschte User 
(heinrich) tun.

-- 
Gruß Marcus
[eisfair-Team]