[gelöst] sshd.conf -Irritationen mit keys-Files

[TomL]

Moin

Ich bin gerade dabei, meine SSHD-Confs auf Unterschiede zwischen Jessie und Stretch zu prüfen. Dabei fällt mir ein Unterschied auf, einhergehend mit der Erkenntnis, dass ich das Zusammenspiel anscheinend noch gar nicht richtig verstanden habe.

Unter Jessie sind diese Keys per default aktiviert, unter Stretch waren sie mit dem Comment-Tag # deaktiviert.

Code: Alles auswählen

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

In Stretch musste ich per

Code: Alles auswählen

AuthorizedKeysFile=/home/thomas/ssh_keys

anzeigen, wo meine Zugangs-Keys liegen, in Jessie brauchte ich das nicht.

Ich verstehe gerade überhaupt nicht mehr die Zusammenhänge, wann welche Keys wie verwendet werden und ob welche bei bestimmten Konstellationen vielleicht sogar überflüssig sind und ich mach mir Gedanken über die notwendige Sicherheit.

Ich habe mir jetzt lange die Online-Man-Page angesehen und gelesen, aber ich werde da nicht schlau draus. Wann braucht man welche Keys-File-Einstellung?

[dufty2]

unter Stretch waren sie mit dem Comment-Tag # deaktiviert.

Sicher?
In meiner /etc/ssh/sshd_config steht zum Beispiel:

Code: Alles auswählen

#Port 22

Das ist der default-Wert, will man es ändern, sähe es z. B. so aus:

Code: Alles auswählen

Port 1234

Was das Teil (ssh(d)) tut, kannst Du ja jederzeit sehen, per
$ ssh ...
oder noch besser mittels
$ ssh -v ...

[TomL]

Ja, das habe ich verstanden... so geht das ja auch aus der man-page hervor, bzw. der Einleitung in der conf.
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.

Und es geht weniger darum, dass es überhaupt funktioniert.... weil, es funktioniert bei mir alles ohne Probleme. Mir geht es mehr darum, dass vielleicht auch Dinge funktionieren, wo ich gar nicht will, dass die funktionieren. Und das ich das vielleicht mangels "Durchblick" schlichtweg falsch oder nicht ausreichend eingestellt habe.

Was ist der Unterschied zwischen diesen Keys, die in Debian aktiv waren, aber in Stretch kommentiert
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

sind, zu den Keys, die ich unter
AuthorizedKeysFile=/home/thomas/ssh_keys
eingestellt habe? Haben die unterschiedliche Funktionen? Und warum sind die jetzt unter Stretch inaktiv, wegen diesem Comment-Tag #. Fehlt unter Stretch da jetzt eine "Sicherheit"?

[dufty2]

Tja, muss nur meinen Tipp (ssh -v ...) folgen
# apt-get install openssh-server
<snip>
Creating config file /etc/ssh/sshd_config with new version
<snip>
Creating SSH2 ECDSA key; this may take some time ...
256 SHA256:MnDn+/18xpyCdWvETJFE5Ks1nfTC3eFUuBW9yXnaz5E root@host (ECDSA)

$ ssh -v localhost
<snip>
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:MnDn+/18xpyCdWvETJFE5Ks1nfTC3eFUuBW9yXnaz5E

Ah, das war wohl der key des Servers.

Hingegen ist
/home/thomas/ssh_keys
der key des clients.

[TomL]

Tja, muss nur meinen Tipp (ssh -v ...) folgen

Eigentlich mache ich das immer, nur war ich mal wieder mit dieser Version 1 des Ratschlags überfordert ....

Code: Alles auswählen

Creating SSH2 ECDSA key; this may take some time ...
256 SHA256:MnDn+/18xpyCdWvETJFE5Ks1nfTC3eFUuBW9yXnaz5E root@host (ECDSA)

Jetzt habe ich erst mal meine alten apt-logs durchsucht, um festzustellen, dass das bei mir auch so ist, Tatsächlich, ist so der Key im Log stimmt überein mit dem beim Verbindungsaufbau.

Code: Alles auswählen

$ ssh -v localhost

Und jetzt mit Version 2 habe ich das auch verstanden und konnte auch das nachvollziehen.

Wenn ich jetzt das jetzt richtig verstanden habe, dann ist der Host-Key zur Verschlüsselung des Traffics verantwortlich, und die Client-Keys in meinem Home sind zur Bestätigung/Identifikation/Authentifizierung, dass ich auch wirklich ich bin.

Jetzt ist mir nur noch eines unklar... der hier beim Verbindungsaufbau angezeigte Schlüssel steht nicht in einer der Keyfiles drin, die in der Server-SSHD-Conf zwar eingetragen sind, aber wg. # nicht verwendet werden. Welche Zweck erfüllen diese 6 Files (jeweils *.key und *.key_pub), wenn doch ein anderer Schlüssel verwendet wird?

Komisch... jetzt habe ich aus Neugier gerade mal diese 6 Files weggemoved und ab sofort failed der Verbindungsaufbau.... anscheinend werden die doch genutzt, obwohl sie # markiert sind.

[dufty2]

Haben wir nicht gelernt, dass das Einkommentierte der Default ist und daher sehr wohl aktiv!

Ja, der sha256 ist etwas kniffliger:

Code: Alles auswählen

# awk '{print $2}' /etc/ssh/ssh_host_ecdsa_key.pub | base64 -d | sha256sum -b | awk '{print $1}' | xxd -r -p | base64

Wär auch sonst zu einfach

[TomL]

Haben wir nicht gelernt, dass das Einkommentierte der Default ist und daher sehr wohl aktiv!

Das das auch für quasi willkürlich erstellte Files gelten sollte, konnte ich mir nicht vorstellen. Das schien mir für mein geringen Sachverstand schlichtweg zu unwahrscheinlich. Umso verblüffter bin ich nun, dass es sogar Möglichkeiten gibt, genau das zu prüfen.

... aber mal ganz ehrlich... das, was Du jetzt hier präsentiert hast, lässt mich schon fast ehrfürchtig staunen und übersteigt in jeder Hinsicht meine Möglichkeiten