ssh-Keys portabel verwahren
Re: ssh-Keys portabel verwahren
Ich setze bei Keys grundsätzlich auf den Nitrokey (USB-Smartcard), der schützt vor Brute-Force Angeriffen und selbst an einem kompromitierten Rechner ist der Download des privaten Keys von der Smartcard her gar nicht möglich.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: ssh-Keys portabel verwahren
Und wenn ich den Stick vergesse oder er nicht mehr lesbar ist, hab ich keine Möglichkeit mich per SSH einzuloggen.scientific hat geschrieben:01.05.2018 19:00:40Die Angriffsfläche ist geringer, weil du den Stick physisch haben musst. Allerdings hast du keine Sperren für brute-force Angriffe auf den Stick.
Verliere ich ihn bzw wird er mir gestolen, muss ich Angst haben, dass man mir per Brutefore den privatekey abluchst. Wenn ich den auf meinem privaten webspace hätte ist da wo der Unterschied?
Re: ssh-Keys portabel verwahren
Richtig, gleiches gilt für deine EC-Kartecosinus hat geschrieben:01.05.2018 19:21:59Und wenn ich den Stick vergesse oder er nicht mehr lesbar ist, hab ich keine Möglichkeit mich per SSH einzuloggen.
Da liegt der Nachteil darin, einen Key auf einem klassischen USB-Stick zu speichern.cosinus hat geschrieben:01.05.2018 19:21:59Verliere ich ihn bzw wird er mir gestolen, muss ich Angst haben, dass man mir per Brutefore den privatekey abluchst.
Wer schützt deinen privaten Webspace vor Brute-Force-Attacken oder DDos Attacken oder was passiert, wenn ein Keylogger dir Username und Passwort klaut?cosinus hat geschrieben:01.05.2018 19:21:59Wenn ich den auf meinem privaten webspace hätte ist da wo der Unterschied?
Versuch duch mal ne Rangliste der Speichermethoden und potenzieller Angriffsmöglichkeiten zu erstellen...
Für mich gilt die sicherste Methode ist eine Smartcard, danach kommt ein verschlüsselter Key als Datei auf dem Rechner, danach wäre ein Key auf einem USB-Stick.... Alles weitere wäre für mich keine Sicherheit mehr, sondern ein Albtraum
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: ssh-Keys portabel verwahren
Ich wollte damit nur darstellen, dass das Ablegen der privatekeys auf USB-Sticks eben auch Nachteile haben kann. Du hast ja vor ein paar Tagen extrem deine Nase gerümpft, also ich "dropbox" schrieb
Re: ssh-Keys portabel verwahren
Am besten den Key auf den Stick und eine Sicherheitskopie in die Dropbox.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: ssh-Keys portabel verwahren
Dann lieber den Key ausdruckenuname hat geschrieben:01.05.2018 21:09:30Am besten den Key auf den Stick und eine Sicherheitskopie in die Dropbox.
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: ssh-Keys portabel verwahren
Man kann einen Zwischenstand zusammenfassen:
Es ist nicht einfach.
Es ist nicht einfach.
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: ssh-Keys portabel verwahren
So ist es.scientific hat geschrieben:01.05.2018 21:23:05Man kann einen Zwischenstand zusammenfassen:
Es ist nicht einfach.
mehr Sicherheit == weniger Komfort
mehr Konfort == weniger Sicherheit
Ich hab bisher meine privates keys auf Sticks gehabt aber nie online verfügbar bzw in so einer Art private cloud. Vllt ist das mit dem nitro-key bei dir doch die beste Lösung. Ich persönlich hätte wohl die private keys auf ein privaten FTP hochgeladen, die private keys selbst haben ja ne passphrase. Und dann kann man ja noch definieren, dass man regelmäßig neue keys erstellen muss.
Re: ssh-Keys portabel verwahren
Da kann ich dir nur zustimmen, was für dich noch ne Option sein könnte, du verzichtest auf Keys komplett, arbeitest mit Passwort-Logins und sichert das Ganze mit One Time Passwords ab....scientific hat geschrieben:01.05.2018 21:23:05Man kann einen Zwischenstand zusammenfassen:
Es ist nicht einfach.
Den Generator trägst du komfortabel auf dem Smartphone mit dir rum.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: ssh-Keys portabel verwahren
Und wenn ich das Smartphone vergesse oder verliere, komm ich auch an den Generator nicht ranbluestar hat geschrieben:01.05.2018 23:40:47Den Generator trägst du komfortabel auf dem Smartphone mit dir rum.
Man findet immer nen Pferdefuß
Davon ab, ein Smartphone seh ich nicht grade als zusätzliche Sicherheit an
Re: ssh-Keys portabel verwahren
Temporäre Amnesie reicht doch auch schon aus um dich mangels Wissen nicht mehr einloggen zu können.cosinus hat geschrieben:01.05.2018 23:48:46Und wenn ich das Smartphone vergesse oder verliere, komm ich auch an den Generator nicht ran
Man findet immer nen Pferdefuß
Ergo hätten wir den schwächsten Punkt eingegrenzt: Der Mensch ist das Problem
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: ssh-Keys portabel verwahren
Auf einem Rechner arbeite ich schon lange mit OTP. Das klappt auch wunderbar...
NUR ist es etwas umständlich, für jeden User auf jedem Rechner das einzurichten und dynamisch zu pflegen...
Wie mir zu Ohren kam, kann freeIPA zentral ein OTP für die Clients per LDAP... Ich scheue aber den Umstieg, da es grad ein ziemlicher Aufwand war, meinen openLDAP so hinzukriegen, wie er jetzt ist...
Andererseits...
FreeIPA kann halt auch wirklich um einiges mehr als openLDAP... Den mal zu erkunden wär sicher auch zukunftsträchtig.
Lg scientific
NUR ist es etwas umständlich, für jeden User auf jedem Rechner das einzurichten und dynamisch zu pflegen...
Wie mir zu Ohren kam, kann freeIPA zentral ein OTP für die Clients per LDAP... Ich scheue aber den Umstieg, da es grad ein ziemlicher Aufwand war, meinen openLDAP so hinzukriegen, wie er jetzt ist...
Andererseits...
FreeIPA kann halt auch wirklich um einiges mehr als openLDAP... Den mal zu erkunden wär sicher auch zukunftsträchtig.
Lg scientific
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: ssh-Keys portabel verwahren
Wenn ich zwischen Mensch und Smartphone entscheiden müsste, dann würd eich sagen, das Smartphone ist das Problem. Aber ich bin auch ein Smartphone-Hasser.bluestar hat geschrieben:01.05.2018 23:52:02Ergo hätten wir den schwächsten Punkt eingegrenzt: Der Mensch ist das Problem
Re: ssh-Keys portabel verwahren
@scientific Ich habe meine grauen Zellen für dich noch mal eine Runde loslaufen lassen.
Wenn du so ein großes Setup mit LDAP, mehreren Hosts, mehreren Usern, etc. planst, dann wäre es doch eigentlich nur konsequent, dein Setup komplett mit Kerberos zu versehen und damit die Frage der unterschiedlichen Anmeldungen einfach zentral zu erschlagen.
Ich denke da ein ein typisches Active Directory- oder Open Directory-Setup.
Wenn du so ein großes Setup mit LDAP, mehreren Hosts, mehreren Usern, etc. planst, dann wäre es doch eigentlich nur konsequent, dein Setup komplett mit Kerberos zu versehen und damit die Frage der unterschiedlichen Anmeldungen einfach zentral zu erschlagen.
Ich denke da ein ein typisches Active Directory- oder Open Directory-Setup.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: ssh-Keys portabel verwahren
Oh ja ein "schöner" Windows-Serverbluestar hat geschrieben:02.05.2018 12:52:43Ich denke da ein ein typisches Active Directory- oder Open Directory-Setup.
Re: ssh-Keys portabel verwahren
Oder ein schöners Active Directory mit Samba 4
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: ssh-Keys portabel verwahren
Ich schlage mich mit der Installation von freeipa grad herum... Das gibts derzeit nur in sid, und sollte "AD" gut erschlagen.
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: ssh-Keys portabel verwahren
Wäre da snicht auch was --> https://de.wikipedia.org/wiki/Univentio ... ate_Server