Ich habe den Eintrag jetzt auf no geändert.
Vielleicht funktioniert es so...
Code: Alles auswählen
Host *
StrictHostKeyChecking no
Code: Alles auswählen
Host *
StrictHostKeyChecking no
Also ich habe diese Einstellung nur auf dem Client den es betrifft geändert.eggy hat geschrieben:13.05.2022 09:20:44Wenn man sowas schon macht, dann doch bitte nur für die Kiste, bei der es notwendig erscheint.
Das bezieht sich vermutlich darauf:eggy hat geschrieben:13.05.2022 09:20:44Wenn man sowas schon macht, dann doch bitte nur für die Kiste, bei der es notwendig erscheint.
Code: Alles auswählen
Host *
StrictHostKeyChecking no
Du kannst beim Client die Einstellungen aber auf verschiedenen Arten erwirken.hobbyadmin hat geschrieben:16.05.2022 11:14:13Also ich habe diese Einstellung nur auf dem Client den es betrifft geändert.
Code: Alles auswählen
Host hier.name.und.domain.des.hosts
StrictHostKeyChecking no
Die Coole aber komplizierte Variante ist VerifyHostKeyDNS. Dann musst du deinem DynDNS-Anbieter aber DANE beibringen, was nicht so ganz einfach ist.hobbyadmin hat geschrieben:04.05.2022 13:27:54Was ich dabei grundsätzlich nicht verstehe ist, warum da überhaupt ein Problem besteht. Ich habe ja ganz bewußt eine Dyn-DNS-Adresse für den Backup-Server eingerichtet, weil ich die dauernd wechselnden IP-Adressen umgehen wollte. Warum reicht das denn immer noch nicht? Dann braucht man doch auch keine Dy-DNS-Adressen, oder?
Code: Alles auswählen
-o CheckHostIP=no
Code: Alles auswählen
-o CheckHostIP=no -o HostKeyAlias=MeinEinzigartigerBackupserver
Weil irgendjemand den SSH-Port angreift? Einfach den Port umlegen oder Fail2Ban nutzen. Auch passiert sowieso nichts solange du nur SSH-Keys zulässt. Es gibt so viele Server im Internet wo SSH läuft. Und noch mehr Server mit HTTPS.hobbyadmin hat geschrieben:Ja, der Server hat eine feste IP-Adresse. Ich möchte die Daten aber lieber nicht vom Backup-Server abholen lassen. Wenn möglich, soll der Server die Daten an den Backup-Server senden.
Sollte man nicht sowieso für unterschiedliche Server auch unterschiedliche Schlüsselpaare verwenden? Für Paßwörter gilt ja die gleiche Regel, daß man für jeden Dienst ein anderes Paßwort nutzen sollte.wanne hat geschrieben:16.05.2022 15:07:11Bedenke aber dass du den Öffentlichen schlüssel dann wirklich geheim behalten musst und kein SSH-Sessions zu anderen (unvertrauenswürdigen) Servern mit dem selben Key aufbauen darfst.
Die Idee von den Public-Key Kryptografie ist ja eben, dass man den Aufwand nicht betreiben muss und die öffentlichen Schlüssel veröffentlichen und so einfach verteilen kann, da man vom öffentlichen nicht auf den privaten Schlüssel kommt. Jeder Webserver brüllt seinen öffentlichen Schlüssel nur so in die Gegend. Das Debianforum stellt ja auch nicht für jeden Nutzer neue Zertifikate aus. Das Problem ist, dass du dann immer noch mal Authentifizierung in die andere Richtung brauchst. Im Web passiert das oft per Passwort. SSH kannst du in beide Richtungen PubKeys fahren. Bei größeren Setups macht das schon Sinn. Es gibt viel Infrastruktur, die die öffentlichen Host-Schlüssel gleich auf ner Website veröffentlicht und passende Nutzer-Schlüssel gleich auf alle Maschinen legt, wo der User zugriff bekommen soll. Privat reicht aber eben eigentlich einfach ein Pair aus zwei "privaten" Keys.Sollte man nicht sowieso für unterschiedliche Server auch unterschiedliche Schlüsselpaare verwenden? Für Paßwörter gilt ja die gleiche Regel, daß man für jeden Dienst ein anderes Paßwort nutzen sollte.
Es ging um den "*".hobbyadmin hat geschrieben:16.05.2022 11:14:13Also ich habe diese Einstellung nur auf dem Client den es betrifft geändert.
Am Server habe ich keinerlei Einstellung verändert.
Ich hoffe, das ist in Ordnung so und nicht zu unsicher...
In deinem Home-Verzeichnis gibt es ein ("verstecktes") Unterverzeichnis namens ".ssh"hobbyadmin hat geschrieben:17.05.2022 11:24:30Was sollte ich wo ändern, damit das Ganze nicht zu unsicher wird?
Code: Alles auswählen
cd ~/.ssh
Code: Alles auswählen
nano config
Code: Alles auswählen
Host hier.name.und.domain.des.hosts
StrictHostKeyChecking no
Code: Alles auswählen
Host hier.name.und.domain.des.hosts
StrictHostKeyChecking no
Code: Alles auswählen
Host MeinEinzigartigerBackupserver
HostName domain.dyndns.org
CheckHostIP no
HostKeyAlias MeinEinzigartigerBackupserver
Code: Alles auswählen
ssh -p12345 benutzer@meine.dyn.dns.adresse.de
Code: Alles auswählen
ssh mein-individueller-server-name
Du kannst du Portnummer ebenfalls in die config eintragen. Wannes Konfiguration würde sich dann so ändern:hobbyadmin hat geschrieben:18.05.2022 10:13:32Bei Deiner Lösung muss ich doch auch den SSH-Befehl für die Adressierung der Datensicherung ändern oder?
bisher lautete der Befehl:Code: Alles auswählen
ssh -p12345 benutzer@meine.dyn.dns.adresse.de
Code: Alles auswählen
Host MeinEinzigartigerBackupserver
HostName domain.dyndns.org
CheckHostIP no
HostKeyAlias MeinEinzigartigerBackupserver
Port 123445
Code: Alles auswählen
ssh benutzer@MeinEinzigartigerBackupserver
Nein. Das ist so korrekt.hobbyadmin hat geschrieben:18.05.2022 10:13:32Das muss bei Deiner Lösung doch geändert werden in:Code: Alles auswählen
ssh -p12345 benutzer@meine.dyn.dns.adresse.de
Code: Alles auswählen
ssh mein-individueller-server-name
Der Rest der Parameter steht dann in der config-Datei für ssh (im home-Verzeichnis des Nutzers).
Oder denke ich wieder falsch?
Und der Nutzer kann natürlich auch in die Config:Du kannst du Portnummer ebenfalls in die config eintragen.
Code: Alles auswählen
Host MeinEinzigartigerBackupserver
HostName domain.dyndns.org
CheckHostIP no
HostKeyAlias MeinEinzigartigerBackupserver
Port 123445
User benutzer
Code: Alles auswählen
Host meine.dyn.dns.adresse.de
CheckHostIP no
Code: Alles auswählen
ssh -o "CheckHostIP no" BENUTZER@DYN.DNS.ADRESSE.DE
Code: Alles auswählen
rsync -aSAXHP -e 'ssh -p 12345 -o "CheckHostIP no"' /home/BENUTZER BENUTZER@DYN.DNS.ADRESSE.DE:/PFAD/ZUM/ZIELVERZEICHNIS