ssh-Keys portabel verwahren

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: ssh-Keys portabel verwahren

Beitrag von bluestar » 01.05.2018 19:21:14

Ich setze bei Keys grundsätzlich auf den Nitrokey (USB-Smartcard), der schützt vor Brute-Force Angeriffen und selbst an einem kompromitierten Rechner ist der Download des privaten Keys von der Smartcard her gar nicht möglich.

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Keys portabel verwahren

Beitrag von cosinus » 01.05.2018 19:21:59

scientific hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 19:00:40
Die Angriffsfläche ist geringer, weil du den Stick physisch haben musst. Allerdings hast du keine Sperren für brute-force Angriffe auf den Stick.
Und wenn ich den Stick vergesse oder er nicht mehr lesbar ist, hab ich keine Möglichkeit mich per SSH einzuloggen.
Verliere ich ihn bzw wird er mir gestolen, muss ich Angst haben, dass man mir per Brutefore den privatekey abluchst. Wenn ich den auf meinem privaten webspace hätte ist da wo der Unterschied?

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: ssh-Keys portabel verwahren

Beitrag von bluestar » 01.05.2018 19:28:32

cosinus hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 19:21:59
Und wenn ich den Stick vergesse oder er nicht mehr lesbar ist, hab ich keine Möglichkeit mich per SSH einzuloggen.
Richtig, gleiches gilt für deine EC-Karte ;)
cosinus hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 19:21:59
Verliere ich ihn bzw wird er mir gestolen, muss ich Angst haben, dass man mir per Brutefore den privatekey abluchst.
Da liegt der Nachteil darin, einen Key auf einem klassischen USB-Stick zu speichern.
cosinus hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 19:21:59
Wenn ich den auf meinem privaten webspace hätte ist da wo der Unterschied?
Wer schützt deinen privaten Webspace vor Brute-Force-Attacken oder DDos Attacken oder was passiert, wenn ein Keylogger dir Username und Passwort klaut?

Versuch duch mal ne Rangliste der Speichermethoden und potenzieller Angriffsmöglichkeiten zu erstellen...

Für mich gilt die sicherste Methode ist eine Smartcard, danach kommt ein verschlüsselter Key als Datei auf dem Rechner, danach wäre ein Key auf einem USB-Stick.... Alles weitere wäre für mich keine Sicherheit mehr, sondern ein Albtraum ;)

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Keys portabel verwahren

Beitrag von cosinus » 01.05.2018 20:00:08

Ich wollte damit nur darstellen, dass das Ablegen der privatekeys auf USB-Sticks eben auch Nachteile haben kann. Du hast ja vor ein paar Tagen extrem deine Nase gerümpft, also ich "dropbox" schrieb :mrgreen:

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: ssh-Keys portabel verwahren

Beitrag von uname » 01.05.2018 21:09:30

Am besten den Key auf den Stick und eine Sicherheitskopie in die Dropbox. :mrgreen:

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Keys portabel verwahren

Beitrag von cosinus » 01.05.2018 21:15:19

uname hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 21:09:30
Am besten den Key auf den Stick und eine Sicherheitskopie in die Dropbox. :mrgreen:
Dann lieber den Key ausdrucken :mrgreen: :mrgreen: :mrgreen:

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: ssh-Keys portabel verwahren

Beitrag von scientific » 01.05.2018 21:23:05

Man kann einen Zwischenstand zusammenfassen:

Es ist nicht einfach.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Keys portabel verwahren

Beitrag von cosinus » 01.05.2018 22:21:30

scientific hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 21:23:05
Man kann einen Zwischenstand zusammenfassen:

Es ist nicht einfach.
So ist es.
mehr Sicherheit == weniger Komfort
mehr Konfort == weniger Sicherheit

Ich hab bisher meine privates keys auf Sticks gehabt aber nie online verfügbar bzw in so einer Art private cloud. Vllt ist das mit dem nitro-key bei dir doch die beste Lösung. Ich persönlich hätte wohl die private keys auf ein privaten FTP hochgeladen, die private keys selbst haben ja ne passphrase. Und dann kann man ja noch definieren, dass man regelmäßig neue keys erstellen muss.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: ssh-Keys portabel verwahren

Beitrag von bluestar » 01.05.2018 23:40:47

scientific hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 21:23:05
Man kann einen Zwischenstand zusammenfassen:

Es ist nicht einfach.
Da kann ich dir nur zustimmen, was für dich noch ne Option sein könnte, du verzichtest auf Keys komplett, arbeitest mit Passwort-Logins und sichert das Ganze mit One Time Passwords ab....

Den Generator trägst du komfortabel auf dem Smartphone mit dir rum.

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Keys portabel verwahren

Beitrag von cosinus » 01.05.2018 23:48:46

bluestar hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 23:40:47
Den Generator trägst du komfortabel auf dem Smartphone mit dir rum.
Und wenn ich das Smartphone vergesse oder verliere, komm ich auch an den Generator nicht ran :P
Man findet immer nen Pferdefuß :mrgreen:

Davon ab, ein Smartphone seh ich nicht grade als zusätzliche Sicherheit an :|

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: ssh-Keys portabel verwahren

Beitrag von bluestar » 01.05.2018 23:52:02

cosinus hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 23:48:46
Und wenn ich das Smartphone vergesse oder verliere, komm ich auch an den Generator nicht ran :P
Man findet immer nen Pferdefuß :mrgreen:
Temporäre Amnesie reicht doch auch schon aus um dich mangels Wissen nicht mehr einloggen zu können.

Ergo hätten wir den schwächsten Punkt eingegrenzt: Der Mensch ist das Problem

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: ssh-Keys portabel verwahren

Beitrag von scientific » 02.05.2018 00:03:37

Auf einem Rechner arbeite ich schon lange mit OTP. Das klappt auch wunderbar...

NUR ist es etwas umständlich, für jeden User auf jedem Rechner das einzurichten und dynamisch zu pflegen...

Wie mir zu Ohren kam, kann freeIPA zentral ein OTP für die Clients per LDAP... Ich scheue aber den Umstieg, da es grad ein ziemlicher Aufwand war, meinen openLDAP so hinzukriegen, wie er jetzt ist...

Andererseits...

FreeIPA kann halt auch wirklich um einiges mehr als openLDAP... Den mal zu erkunden wär sicher auch zukunftsträchtig.

Lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Keys portabel verwahren

Beitrag von cosinus » 02.05.2018 12:30:01

bluestar hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 23:52:02
Ergo hätten wir den schwächsten Punkt eingegrenzt: Der Mensch ist das Problem
Wenn ich zwischen Mensch und Smartphone entscheiden müsste, dann würd eich sagen, das Smartphone ist das Problem. Aber ich bin auch ein Smartphone-Hasser. :twisted:

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: ssh-Keys portabel verwahren

Beitrag von bluestar » 02.05.2018 12:52:43

@scientific Ich habe meine grauen Zellen für dich noch mal eine Runde loslaufen lassen.

Wenn du so ein großes Setup mit LDAP, mehreren Hosts, mehreren Usern, etc. planst, dann wäre es doch eigentlich nur konsequent, dein Setup komplett mit Kerberos zu versehen und damit die Frage der unterschiedlichen Anmeldungen einfach zentral zu erschlagen.

Ich denke da ein ein typisches Active Directory- oder Open Directory-Setup.

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Keys portabel verwahren

Beitrag von cosinus » 02.05.2018 13:03:20

bluestar hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 12:52:43
Ich denke da ein ein typisches Active Directory- oder Open Directory-Setup.
Oh ja ein "schöner" Windows-Server :oops: :lol:

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: ssh-Keys portabel verwahren

Beitrag von bluestar » 02.05.2018 13:08:30

cosinus hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 13:03:20
Oh ja ein "schöner" Windows-Server :oops: :lol:
Oder ein schöners Active Directory mit Samba 4 ;)

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: ssh-Keys portabel verwahren

Beitrag von scientific » 02.05.2018 13:20:23

Ich schlage mich mit der Installation von freeipa grad herum... Das gibts derzeit nur in sid, und sollte "AD" gut erschlagen.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: ssh-Keys portabel verwahren

Beitrag von cosinus » 02.05.2018 13:34:41

bluestar hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 13:08:30
Oder ein schöners Active Directory mit Samba 4 ;)
Wäre da snicht auch was --> https://de.wikipedia.org/wiki/Univentio ... ate_Server

Antworten