Problem bei Backup über SSH

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
hobbyadmin
Beiträge: 91
Registriert: 26.12.2020 18:13:43

Re: Problem bei Backup über SSH

Beitrag von hobbyadmin » 13.05.2022 08:57:43

Tja, das hat noch nicht funktioniert.
Ich habe den Eintrag jetzt auf no geändert.
Vielleicht funktioniert es so...

Code: Alles auswählen

Host *
  StrictHostKeyChecking no

eggy
Beiträge: 3269
Registriert: 10.05.2008 11:23:50

Re: Problem bei Backup über SSH

Beitrag von eggy » 13.05.2022 09:20:44

Wenn man sowas schon macht, dann doch bitte nur für die Kiste, bei der es notwendig erscheint.

hobbyadmin
Beiträge: 91
Registriert: 26.12.2020 18:13:43

Re: Problem bei Backup über SSH

Beitrag von hobbyadmin » 16.05.2022 11:14:13

eggy hat geschrieben: ↑ zum Beitrag ↑
13.05.2022 09:20:44
Wenn man sowas schon macht, dann doch bitte nur für die Kiste, bei der es notwendig erscheint.
Also ich habe diese Einstellung nur auf dem Client den es betrifft geändert.
Am Server habe ich keinerlei Einstellung verändert.
Ich hoffe, das ist in Ordnung so und nicht zu unsicher...

Benutzeravatar
heisenberg
Beiträge: 2161
Registriert: 04.06.2015 01:17:27

Re: Problem bei Backup über SSH

Beitrag von heisenberg » 16.05.2022 11:24:01

eggy hat geschrieben: ↑ zum Beitrag ↑
13.05.2022 09:20:44
Wenn man sowas schon macht, dann doch bitte nur für die Kiste, bei der es notwendig erscheint.
Das bezieht sich vermutlich darauf:

Code: Alles auswählen

Host *
  StrictHostKeyChecking no
Das bedeutet, dass Du für alle ausgehenden SSH-Verbindungen StrictHostKeyChecking abgeschaltet hast.

Benutzeravatar
MSfree
Beiträge: 8350
Registriert: 25.09.2007 19:59:30

Re: Problem bei Backup über SSH

Beitrag von MSfree » 16.05.2022 11:36:30

hobbyadmin hat geschrieben: ↑ zum Beitrag ↑
16.05.2022 11:14:13
Also ich habe diese Einstellung nur auf dem Client den es betrifft geändert.
Du kannst beim Client die Einstellungen aber auf verschiedenen Arten erwirken.
  • Ändern der Datei /etc/ssh/ssh_config
  • Ändern der Datei ~/.ssh/config global für alle Hosts
  • Ändern der Datei ~/.ssh/config nur für einen bestimmten Hosts
Du hast die erste Möglichkeit gewählt. Damit gilt diese Einstellung für alle Benutzer auf diesem Client. Solange das aber ein System ist, auf das nur du Zugriff hast und ausser deinem Benutzerkonto nur noch das root-Konto existiert, ist es im Grunde egal, welche Methode du nutzt. Du mußt dir aber im Klaren sein, daß das für jeden SSH-Server gilt, den du nutzen willst.

Methode 3 wäre die von mir bevorzugte. Mit einem Eintrag nach dem Schema

Code: Alles auswählen

Host hier.name.und.domain.des.hosts
  StrictHostKeyChecking no
kannst du das srtikte Hostkeychecking gezielt für nur einen Host abstellen. Die Einstellung gilt dann auch nur für einen Benutzer, die Konfiguration steckt ja im Homeverzeichnis des Benutzers.

wanne
Moderator
Beiträge: 7105
Registriert: 24.05.2010 12:39:42

Re: Problem bei Backup über SSH

Beitrag von wanne » 16.05.2022 15:07:11

Ich bin erschüttert wie wie viele Leute hier einfach antworten dass man halt die Sicherheit von SSH abschalten soll.
Und sorry: 
-o StrictHostKeyChecking=no + DynDNS heißt dass defakto jeder der es darauf anlegt Zugangsdaten+Backup abziehen.* Das Überprüfen des SSH fragt nicht zum Spaß, den Host-Key zu überprüfen. Es sendet instantan danach das Passwort an jeden der danach fragt.
Trust on first Use (Die erste mal ist die Verbindung unsicher) ist wie SSH oft genutzt wird, das eine jedes mal erneut jeden HostKeys zu akzeptieren ist sogar noch unter telnet Sicherheitsniveau. Und DynDNS lässt sich üblicherweise verdammt einfach fälschen.
hobbyadmin hat geschrieben: ↑ zum Beitrag ↑
04.05.2022 13:27:54
Was ich dabei grundsätzlich nicht verstehe ist, warum da überhaupt ein Problem besteht. Ich habe ja ganz bewußt eine Dyn-DNS-Adresse für den Backup-Server eingerichtet, weil ich die dauernd wechselnden IP-Adressen umgehen wollte. Warum reicht das denn immer noch nicht? Dann braucht man doch auch keine Dy-DNS-Adressen, oder?
Die Coole aber komplizierte Variante ist VerifyHostKeyDNS. Dann musst du deinem DynDNS-Anbieter aber DANE beibringen, was nicht so ganz einfach ist.
Die einfachere Variante ist die:

Code: Alles auswählen

-o CheckHostIP=no
Dann achtet er nur noch auf Hostnamen. Weil das so ein bisschen ein loses Ding ist, das eventuell gefaked werden kann noch optimaler mit HostKeyAlias:

Code: Alles auswählen

-o CheckHostIP=no -o HostKeyAlias=MeinEinzigartigerBackupserver


* Tatsächlich gilt das alles nur für Authentification mit Passwort der öffentlichem Schlüssel. Wer bei SSH einen privaten Key akzeptieren will braucht den öffentlichen Schlüssel. Es gibt also die Möglichkeit den öffentlichen schlüssel einfach ebenfalls geheim zu halten und sozusagen mit einem Keypair zwei private schlüssel zu haben. Dann wird die HostKeyVerification überflüssig. Bedenke aber dass du den Öffentlichen schlüssel dann wirklich geheim behalten musst und kein SSH-Sessions zu anderen (unvertrauenswürdigen) Servern mit dem selben Key aufbauen darfst.
rot: Moderator wanne spricht, default: User wanne spricht.

uname
Beiträge: 10690
Registriert: 03.06.2008 09:33:02

Re: Problem bei Backup über SSH

Beitrag von uname » 16.05.2022 15:25:16

Und ich verstehe weiterhin nicht, warum er nicht einfach die Richtung umkehrt. Das hatte ich ja weiter oben schon gefragt und folgende Antwort erhalten:
hobbyadmin hat geschrieben:Ja, der Server hat eine feste IP-Adresse. Ich möchte die Daten aber lieber nicht vom Backup-Server abholen lassen. Wenn möglich, soll der Server die Daten an den Backup-Server senden.
Weil irgendjemand den SSH-Port angreift? Einfach den Port umlegen oder Fail2Ban nutzen. Auch passiert sowieso nichts solange du nur SSH-Keys zulässt. Es gibt so viele Server im Internet wo SSH läuft. Und noch mehr Server mit HTTPS. ;-)

Benutzeravatar
MSfree
Beiträge: 8350
Registriert: 25.09.2007 19:59:30

Re: Problem bei Backup über SSH

Beitrag von MSfree » 16.05.2022 15:34:10

wanne hat geschrieben: ↑ zum Beitrag ↑
16.05.2022 15:07:11
Bedenke aber dass du den Öffentlichen schlüssel dann wirklich geheim behalten musst und kein SSH-Sessions zu anderen (unvertrauenswürdigen) Servern mit dem selben Key aufbauen darfst.
Sollte man nicht sowieso für unterschiedliche Server auch unterschiedliche Schlüsselpaare verwenden? Für Paßwörter gilt ja die gleiche Regel, daß man für jeden Dienst ein anderes Paßwort nutzen sollte.

wanne
Moderator
Beiträge: 7105
Registriert: 24.05.2010 12:39:42

Re: Problem bei Backup über SSH

Beitrag von wanne » 16.05.2022 15:51:54

Sollte man nicht sowieso für unterschiedliche Server auch unterschiedliche Schlüsselpaare verwenden? Für Paßwörter gilt ja die gleiche Regel, daß man für jeden Dienst ein anderes Paßwort nutzen sollte.
Die Idee von den Public-Key Kryptografie ist ja eben, dass man den Aufwand nicht betreiben muss und die öffentlichen Schlüssel veröffentlichen und so einfach verteilen kann, da man vom öffentlichen nicht auf den privaten Schlüssel kommt. Jeder Webserver brüllt seinen öffentlichen Schlüssel nur so in die Gegend. Das Debianforum stellt ja auch nicht für jeden Nutzer neue Zertifikate aus. Das Problem ist, dass du dann immer noch mal Authentifizierung in die andere Richtung brauchst. Im Web passiert das oft per Passwort. SSH kannst du in beide Richtungen PubKeys fahren. Bei größeren Setups macht das schon Sinn. Es gibt viel Infrastruktur, die die öffentlichen Host-Schlüssel gleich auf ner Website veröffentlicht und passende Nutzer-Schlüssel gleich auf alle Maschinen legt, wo der User zugriff bekommen soll. Privat reicht aber eben eigentlich einfach ein Pair aus zwei "privaten" Keys.
rot: Moderator wanne spricht, default: User wanne spricht.

eggy
Beiträge: 3269
Registriert: 10.05.2008 11:23:50

Re: Problem bei Backup über SSH

Beitrag von eggy » 16.05.2022 23:21:37

hobbyadmin hat geschrieben: ↑ zum Beitrag ↑
16.05.2022 11:14:13
Also ich habe diese Einstellung nur auf dem Client den es betrifft geändert.
Am Server habe ich keinerlei Einstellung verändert.
Ich hoffe, das ist in Ordnung so und nicht zu unsicher...
Es ging um den "*".

hobbyadmin
Beiträge: 91
Registriert: 26.12.2020 18:13:43

Re: Problem bei Backup über SSH

Beitrag von hobbyadmin » 17.05.2022 11:24:30

Guten Morgen!
Ich muss zugeben, dass ich jetzt verwirrt bin.
Ich habe es soweit verstanden, dass ich die Einstellung nicht in /etc/ssh/ssh_config ändern sollte, weil das zu unsicher sei.
Ich habe aber die alternative Lösung noch nicht verstanden.
Daher nochmals die konkrete Frage:
Was sollte ich wo ändern, damit das Ganze nicht zu unsicher wird?

Benutzeravatar
MSfree
Beiträge: 8350
Registriert: 25.09.2007 19:59:30

Re: Problem bei Backup über SSH

Beitrag von MSfree » 17.05.2022 11:53:49

hobbyadmin hat geschrieben: ↑ zum Beitrag ↑
17.05.2022 11:24:30
Was sollte ich wo ändern, damit das Ganze nicht zu unsicher wird?
In deinem Home-Verzeichnis gibt es ein ("verstecktes") Unterverzeichnis namens ".ssh"
Wechsel in dieses Verzeichnis mit dem Befehl

Code: Alles auswählen

cd ~/.ssh
Starte hier einen Texteditor und editiere damit die Datei "config"

Code: Alles auswählen

nano config
Füge folgenden Text in diese (bei dir wahrscheinlich neue) Datei ein:

Code: Alles auswählen

Host hier.name.und.domain.des.hosts
  StrictHostKeyChecking no
Statt "hier.name.und.domain.des.hosts" ist natürlich der Hostname des Zielrechners einzutragen und nicht wörtwörtlich "hier.name.und.domain.des.hosts" :wink:

Hintergrund:
ssh sucht immer im Verzechnis ~/.ssh nach dieser "config" Datei. Dieser gilt nur für den Benutzer, mit dem du gerade eingelogt bist. Mit der expliziten Angabe des Hostnamens ist auch gewährleistet, daß die Einstellung nur für diesen einen Host gilt und alle anderen Verbindungen nicht mit dieser Einstellung durchgeführt werden.

Sicherer wird die Verbindung zu deinem Server durch diese Einstellung natürlich nicht. Aber sie ist auf diesen einen Host beschränkt und nur für diesen einen Benutzer gültig. Andere Benutzer und Verbindungen zu andern Host werden dann immerhin nicht mit dieser "unsicheren" Einstellung aufgebaut.

hobbyadmin
Beiträge: 91
Registriert: 26.12.2020 18:13:43

Re: Problem bei Backup über SSH

Beitrag von hobbyadmin » 17.05.2022 13:02:07

Aha,
vielen Dank für die Hilfe und die Erklärung.
Das werde ich jetzt mal so einrichten und beobachten.

wanne
Moderator
Beiträge: 7105
Registriert: 24.05.2010 12:39:42

Re: Problem bei Backup über SSH

Beitrag von wanne » 17.05.2022 15:58:32

@MSfree ich finde es unverantwortlich hier auch nach der expliziten Nachfrage nach Sicherheit weiter unsichere empfiehlst Setups empfiehlst. Zumal ich sogar drei sicherer Variante genannt habe.
@hobbyadmin
Wenn du statt

Code: Alles auswählen

Host hier.name.und.domain.des.hosts
 StrictHostKeyChecking no
Das machst

Code: Alles auswählen

Host MeinEinzigartigerBackupserver
  HostName domain.dyndns.org
  CheckHostIP no
  HostKeyAlias MeinEinzigartigerBackupserver
Und ein mal mit ssh MeinEinzigartigerBackupserver deinen HostKey checkst hast du ein vollständig sicheres Setup.
domain.dyndns.org ist der DNS-Name deines servers. MeinEinzigartigerBackupserver kann ein beliebiger Name sein den du an keiner anderen Stelle im config file benutzt. Beides kann (muss aber nicht) gleich sein.
rot: Moderator wanne spricht, default: User wanne spricht.

hobbyadmin
Beiträge: 91
Registriert: 26.12.2020 18:13:43

Re: Problem bei Backup über SSH

Beitrag von hobbyadmin » 18.05.2022 10:13:32

@ MSfree und wanne:
Ich danke Euch beiden für Eure Hilfe.
Ich kann die Sicherheitsrisiken leider nicht einschätzen. Dafür verstehe ich zu wenig davon.
An einem Client habe ich jetzt die Lösung von MSfree eingerichtet und an einem anderen Client die Lösung von wanne. Mal sehen wie das funktioniert.

@wanne:
Bei Deiner Lösung muss ich doch auch den SSH-Befehl für die Adressierung der Datensicherung ändern oder?
bisher lautete der Befehl:

Code: Alles auswählen

ssh -p12345 benutzer@meine.dyn.dns.adresse.de
Das muss bei Deiner Lösung doch geändert werden in:

Code: Alles auswählen

ssh mein-individueller-server-name
Der Rest der Parameter steht dann in der config-Datei für ssh (im home-Verzeichnis des Nutzers).
Oder denke ich wieder falsch?

Antworten