ssh Schlüssel Client-Server greift nicht

[Mesquita]

Hallo User,
ich möchte zu einem Server nicht immer das Passwort zum Aufbau der SSH-Verbindung verwenden und habe mittels:

Code: Alles auswählen

ssh-keygen -t rsa -b 4096 -f ~/.ssh/key1

den Schlüssel erstellt und mittels:

Code: Alles auswählen

ssh-copy-id -i ~/.ssh/key1  user@xxx.xxx.xxx.xxx

den Schlüssel auf den Server kopiert. Die Erstellung und das Kopieren verlaufen ohne Fehler, die Datei landet auch auf dem Server unter .ssh. Beide Systeme sind Bullseye und aktuell. Leider werde ich immer noch beim Aufruf von

Code: Alles auswählen

 ssh user@xxx.xxx.xxx.xxx

nach dem Kennwort gefragt. Was mache ich falsch?

Thomas

[debilian]

normalerweise liegt auf dem zu erreichenden "Server" in .ssh eine Datei namens authorized_keys
und darin der pub key vom clienten...

z.B.
https://www.digitalocean.com/community/ ... nux-server

beim ssh-keygen kein passwort setzen sonst musst du das beim Verbinden angeben.....

gruss

[chrbr]

Ich habe noch eine Datei ~/ssh/config nach folgendem Muster:

Code: Alles auswählen

Host blah
	Hostname 192.168.0.2
	Port 22
	User chris
	IdentityFile ~/.ssh/lenovo_rsa

Host blahblah
	Hostname 192.168.0.3
	Port 22
	User chris
	IdentityFile ~/.ssh/lenovo_rsa

Dort wird angegeben, mit welchen Parametern man sich per ssh an welchem Host anmeldet.

[Mesquita]

Die Schlüssel habe ich mir auf der Client- und Serverseite angesehen. Diese scheinen korrekt zu sein. Im Verzeichnis auf den Client sind folgende Dateien:

key1 (hier
key1.pub (hier ist der Schlüssel auch enthalten)
know_hosts

Auf den Server liegt:

authorizend_keys (hier ist wieder der Schlüssel aus key1.pub)

Eine config-Datei habe ich nicht im .ssh Verzeichnis. Das ist doch soweit korrekt und bei der Erstellung und dem Kopieren kommen keine Fehler.

[DeletedUserReAsG]

Hast du deinem ssh auch mitgeteilt, dass es den betreffenden Schlüssel nutzen soll? Standardmäßig nutzt es nur ~/.ssh/id_rsa; wenn du einen davon abweichenden Schlüssel nutzen willst, musst du das beim Aufruf angeben, oder ihn vorher dem ssh-agent mit z.B. ssh-add [file] bekanntmachen.

Edit, Nachtrag: ansonsten kann man ssh auch mit einem oder mehreren -v aufrufen, um detailiertere Informationen zum Vorgang zu erhalten – ist bei der Fehlersuche auch häufig hilfreich.

[chrbr]

Eine config-Datei habe ich nicht im .ssh Verzeichnis. Das ist doch soweit korrekt und bei der Erstellung und dem Kopieren kommen keine Fehler.

Mit der config Datei sparst Du dir die Kommandozeilenparameter. Es geht natürlich auch zu Fuß.

[Mesquita]

Hallo @niemand, dass ssh als Vorgabe id_rsa nutzt, war mir nicht bekannt. Wenn ich aber ssh-add [file-schlüssel] anwende, kommt:

Code: Alles auswählen

Could not open a connection to your authentication agent.

Ich habe es auch mit -T und/oder auch mit der kompletten Pfadangabe versucht. Die Ausgabe -v gibt sehr viele Infos zurück. Hier mal ein Ausschnitt vom Anfang.

Code: Alles auswählen

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
debug1: identity file /root/.ssh/id_ecdsa_sk type -1
debug1: identity file /root/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /root/.ssh/id_ed25519 type -1
debug1: identity file /root/.ssh/id_ed25519-cert type -1
debug1: identity file /root/.ssh/id_ed25519_sk type -1
debug1: identity file /root/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /root/.ssh/id_xmss type -1
debug1: identity file /root/.ssh/id_xmss-cert type -1

Ich könnte ja mal den Schlüssel mit

Code: Alles auswählen

 id_rsa

neu erstellen. Meine Strategie war aber, allen Schlüssel eindeutige Bezeichnungen zu geben.

[debilian]

Hallo @niemand, dass ssh als Vorgabe id_rsa nutzt, war mir nicht bekannt. Wenn ich aber ssh-add [file-schlüssel] anwende, kommt:

Code: Alles auswählen

Could not open a connection to your authentication agent.

kannst du bitte den Befehl hier hin schreiben, also

ssh-add ......

[Mesquita]

Mache ich doch gern @debilian:

Code: Alles auswählen

ssh-add -T /root/.ssh/mein_schlüssel
ssh-add /root/.ssh/mein_schlüssel
ssh-add -T ~/.ssh/mein_schlüssel
ssh-add ~/.ssh/mein_schlüssel

Diese Varianten habe ich eingegeben, das Ergebnis/Ausgabe ist identisch.

[debilian]

ich komm jetzt nicht mehr mit da du nicht den Standard machst:

.ssh/id_rsa.pub
und
.ssh/authorized_keys

würde erstmal den Standard versuchen und dann mit einer config deinen Weg der Bezeichnungen.....
habe das ja gestern, wegen deiner Anfrage, kurz durchgespielt - anhand der oben verlinkten Anleitung -
das hat keine 5 min gedauert und funktionierte sofort - darum wunder ich mich nun...

[Mesquita]

@debilian, ich habe gerade den Standard mit id_rsa durchgespielt. Das Ergebnis: Es funktioniert sofort. Also liegt es an der anderen Schlüsselbezeichnung. Wenn ich ab 2 Geräte Schlüssel verwenden möchte, muss ich den Schlüsseln doch verschiedene logische Bezeichnungen geben. Logisch erscheint mir dann die Bekanntgabe in der known_hosts mitels ssh-add, was aber nicht funktionieren will. Sehe ich da was falsch?

[MSfree]

Logisch erscheint mir dann die Bekanntgabe in der known_hosts mitels ssh-add, was aber nicht funktionieren will. Sehe ich da was falsch?

known_hosts beinhaltet die Hostkeys der entfernten Maschinen und nicht deinen privaten Schlüssel. Die sollen hauptsächlich gegen spoofen schützen. Sprich, ssh erkennt darüber, ob der Host, mit dem du dich verbinden willst, der ist, der er vorgibt zu sein.

[Mesquita]

Ok. Ich habe mich bezogen auf:

Hast du deinem ssh auch mitgeteilt, dass es den betreffenden Schlüssel nutzen soll? Standardmäßig nutzt es nur ~/.ssh/id_rsa; wenn du einen davon abweichenden Schlüssel nutzen willst, musst du das beim Aufruf angeben, oder ihn vorher dem ssh-agent mit z.B. ssh-add [file] bekanntmachen.

und deshalb ssh-add verwendet. Da lag ich wohl falsch?

[DeletedUserReAsG]

und deshalb ssh-add verwendet. Da lag ich wohl falsch?

Das hat mit der known_hosts nichts zu tun.

Die Frage ist: gibt ssh-add -L den Schlüssel so zurück, wie er auch in der authorized_hosts auf der Zielmaschine steht?

Wenn ich ab 2 Geräte Schlüssel verwenden möchte, muss ich den Schlüsseln doch verschiedene logische Bezeichnungen geben.

Es ist so gedacht, dass du pro User auf der Maschine ein lokales Schlüsselpaar hast, und auf der jeweiligen Zielmaschine den öffentlichen Teil dieses einen Paares in die authorized_keys des Zielusers schreibst. Das bedeutet, es besteht im Grunde überhaupt keine Notwendigkeit, ein weiteres Schlüsselpaar für einen User erzeugen. Man kann es allerdings machen – nur muss man dann eben ssh explizit anweisen, dieses auch zu verwenden. Entweder beim Aufruf selbst, oder halt mittels ssh-add einlesen.

[MSfree]

Das bedeutet, es besteht im Grunde überhaupt keine Notwendigkeit, ein weiteres Schlüsselpaar für einen User erzeugen.

Man kann auch auf allen Rechner dasselbe Passwort verwenden. Empfehlendswert finde ich das allerdings nicht. Wenn der private Schlüssel gestohlen wird, hat man einen Generalschlüssel.

Man kann es allerdings machen – nur muss man dann eben ssh explizit anweisen, dieses auch zu verwenden. Entweder beim Aufruf selbst, oder halt mittels ssh-add einlesen.

Code: Alles auswählen

ssh -i /Pfad/und/Name/derSchlüsseldatei.rsa ....

Oder ein Eintrag in der ~/.ssh/config

Code: Alles auswählen

Host host1.domain1.tld
  IdentityFile ~/.ssh/host1.rsa

Host host2.domain2.tld
  IdentityFile ~/.ssh/host2.rsa
...

[DeletedUserReAsG]

Wenn der private Schlüssel gestohlen wird, hat man einen Generalschlüssel.

a) im Falle von Schlüsselpaar pro Zielmaschine: was würde den den Stehlenden daran hindern, die anderen rumliegenden Schlüssel auch mitzunehmen, wenn er schonmal da ist?
b) man benutzt eine Passphrase für den Schlüssel.

[MSfree]

b) man benutzt eine Passphrase für den Schlüssel.

Idealerweise ja, aber wenn der OP

ich möchte zu einem Server nicht immer das Passwort zum Aufbau der SSH-Verbindung verwenden

will er vermutlich auch nicht jedesmal eine Passphrase eingeben müssen.

[DeletedUserReAsG]

er [will] vermutlich auch nicht jedesmal eine Passphrase eingeben müssen.

Für den Zweck wurde ssh-add erfunden.

[Mesquita]

Guten Morgen @niemand, guten Morgen @MSFree,

Eure Kommentare konnte ich erst heute lesen, hatte zwischenzeitlich nur Handy und da gibt es wohl keine App zum Forum. Die Hinweise sind sehr vielversprechend in Bezug auf mehrere Schlüssel. Natürlich könnte ich mich mit einem Schlüsselpaar auch anfreunden, würde dann aber doch sicherheitshalber einen Passphrase verwenden.
Wenn man mehr Gewicht auf Sicherheit legt, wäre ein Schlüsselpaar mit Passphrase denke besser. Wenn man mehr Gewicht auf Einfachheit oder Schnelligkeit im Verbindungsaufbau mit grundlegender Sicherheit legt, wären mehrere Schlüsselpaare ohne Passphrase besser. Die Entscheidung muss ich erstmal für mich treffen. Was meint Ihr dazu, übertreibe ich damit?

Thomas

[debilian]

Was meint Ihr dazu, übertreibe ich damit?

Das ist nicht allgemein zu beantworten, denke ich.
Ich z.B. betreibe seit ca. 25 Jahren Rootserver im Internet und logge mich da immer "normal" ein -
ohne Schlüssel zu hinterlegen.

In "internen" Netzwerken, die ich in der Regel nur per VPN oder wireguard erreichen kann, hinterlege ich manchmal Schlüssel.

gruss

d.

[JTH]

[…] hatte zwischenzeitlich nur Handy und da gibt es wohl keine App zum Forum.

Die App nennt sich „Webbrowser“ und ist sogar für jedes erdenkliche Smartphone verfügbar! Dort einfach mal https://debianforum.de/ im Adressfeld eingeben und du findest die Foren-„App“

Nennt sich „Browser“

Hehe. Erster

[DeletedUserReAsG]

Wenn man mehr Gewicht auf Einfachheit oder Schnelligkeit im Verbindungsaufbau mit grundlegender Sicherheit legt, wären mehrere Schlüsselpaare ohne Passphrase besser.

Nein. Ein Schlüsselpaar mit Passphrase, das du vor der ersten Benutzung mittels ssh-add entsperrst, wäre mit Blick auf die Einfachheit oder Schnelligkeit in Verbindung mit grundlegender Sicherheit besser – dann kannst du damit auf alle Maschinen zugreifen, die den Schlüssel verwenden, ohne die Passphrase erneut eingeben zu müssen, aber mit einem grundlegenden Maß an Sicherheit in dem Fall, dass ein Angreifer dir den privaten Teil des Schlüssels entwendet. Wenn du nämlich in diesem Fall mehrere Schlüssel ohne Passphrases hättest, würde der Angreifer schlicht alle mitnehmen, wenn er schonmal da ist – und dann hätte er völlig freie Bahn.

[es gibt] wohl keine App zum Forum.

Doch, gibt eine Art Universalapp, die mit fast allen Foren funktioniert. Nennt sich „Browser“, und da gibt es sogar verschiedene von. Falls du sowas nicht kennst, probier’ ruhig mal eine davon aus – die sind ziemlich genial, und man kann damit sogar viele andere Internetseiten nutzen.

---

Hehe. Erster

Ja, warst vier Sekunden schneller :p

[Meillo]

Ich habe die allgemeinen Sicherheitsanmerkungen und die darauffolgende Metadiskussion dorthin abgespalten: viewtopic.php?t=186140

Bitte bleibt hier beim Thema.