SSH und die User Priv. Keys

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
shub
Beiträge: 5
Registriert: 17.08.2021 09:18:15

SSH und die User Priv. Keys

Beitrag von shub » 17.08.2021 09:27:18

Hehey ich grüsse Euch

Ich habe eine Frage, die mir ein bisschen Kopfzerbrechen macht.
Wir haben viele Server und VMs und einen SSH Tunnel Server, somit haben wir auch User die diesen Tunnel nutzen und viele Keys zu Organisieren.
Eig. läuft alles gut, aber wir haben ein neues Problem das wir zu lösen versuchen.

$USER hat 2 Rechner zum arbeiten, aber der Priv, Key von $USER darf NICHT kopiert werden, d.h. er hat 2 Keys für beide Rechner, somit wissen wir immer welcher Key zu löschen ist, falls ein Gerät {weg|kaput|verloren|geklaut} ist, oder $USER gekündigt hat o.ä.

Aber wie kann man einen Key zum Host binden ? Static IP vom $USER geht nicht, wir haben Leute bei denen das nicht machbar ist.
Leider kann es vorkommen, dass es einfacher ist seine Keys von Host-A zu Host-B zu kopieren, statt neue Keys zu machen und diese zu verteilen. Aber genau das wollen wir erreichen. Keys dürfen NICHT kopiert werden.

Weiss da jemand eine Lösung ?

Ich grüsse Euch

Andi

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: SSH und die User Priv. Keys

Beitrag von mat6937 » 18.08.2021 10:21:13

shub hat geschrieben: ↑ zum Beitrag ↑
17.08.2021 09:27:18
Aber wie kann man einen Key zum Host binden ? Static IP vom $USER geht nicht, wir haben Leute bei denen das nicht machbar ist.
Leider kann es vorkommen, dass es einfacher ist seine Keys von Host-A zu Host-B zu kopieren, statt neue Keys zu machen und diese zu verteilen. Aber genau das wollen wir erreichen. Keys dürfen NICHT kopiert werden.
Hast Du schon versucht, die nicht autorisierten Hosts zu einem bestimmten key, zu blacklisten?
In der ".ssh/authorized_keys"-Datei, mit z. B.: from="!host1,!host2,*".
Siehe auch den Abschnitt PATTERNS in der manpage von ssh_config.

EDIT:

Vorsicht, ... dass Du dich nicht aussperrst, vom Server.

uname
Beiträge: 12043
Registriert: 03.06.2008 09:33:02

Re: SSH und die User Priv. Keys

Beitrag von uname » 18.08.2021 10:44:46

Wahrscheinlich ist es besser einzelne Client-IP-Adressen je Key zu whitelisten.
Zudem kann man auch noch alle oder nur eine Auswahl von Befehlen zulassen.

Hier mal ein Beispiel.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: SSH und die User Priv. Keys

Beitrag von mat6937 » 18.08.2021 10:59:34

uname hat geschrieben: ↑ zum Beitrag ↑
18.08.2021 10:44:46
Wahrscheinlich ist es besser einzelne Client-IP-Adressen je Key zu whitelisten.
Wie funktioniert das, wenn die Clients keine feste/statische IP-Adresse haben?
Denn der TE schreibt oben:
Static IP vom $USER geht nicht, wir haben Leute bei denen das nicht machbar ist.

uname
Beiträge: 12043
Registriert: 03.06.2008 09:33:02

Re: SSH und die User Priv. Keys

Beitrag von uname » 18.08.2021 14:18:05

Das habe ich wohl überlesen. Normalerweise ist natürlich ein Key weit mehr wert als irgendeine IP-Adresse.
Daher sollte man lieber die Keys ordentlich verwalten und diese von beliebigen (z. B. internen) Rechnern zulassen.
Zur Absicherung könnte man noch eine Passphrase nutzen.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: SSH und die User Priv. Keys

Beitrag von bluestar » 18.08.2021 16:35:43

Wir haben das Problem dahingehend gelöst, dass wir jedem Nutzer einen Nitrokey ausgeben und diese als erlaubte Schlüssel verwenden. Die authorized_keys für die Nutzer werden ausschließlich vom Administrator gepflegt.

Jeder Benutzer besitzt somit zwei physikalische Schlüssel, einen NFC Transponder für die Schließanlage und einen USB Schlüssel für die SSH Zugänge.

Antworten