https://wiki.schokokeks.org/wiki/api.php?action=feedcontributions&feedformat=atom&user=Distillerschokokeks.org Wiki - Benutzerbeiträge [de]2026-06-07T04:50:33ZBenutzerbeiträgeMediaWiki 1.45.3https://wiki.schokokeks.org/wiki/index.php?title=Key-Login_(OpenSSH)&diff=6118Key-Login (OpenSSH)2006-01-17T13:11:22Z<p>Distiller: /* Den autorisierten Schlüssel hinzufügen ;-) */</p>
<hr />
<div>==Normaler Login mit Passwort==<br />
Login per SSH auf einem Rechner funktioniert normalerweise mit Passwortabfrage, d.h. der User wird nach seinem Passwort gefragt, welches in der /etc/shadow gespeichert wird und welches PAM verwaltet.<br />
<br />
===Häufige Logins===<br />
Das ist v.a. dann wenn man sich häufiger irgendwo einloggen will, sehr unpraktisch. Ebenso für cronjobs müssen interaktive Abfragen vermieden werden. Nun soll das Verfahren aber trotz alledem sicher sein und aus diesem Grund SSH Authentifizierung durch einen Schlüssel. D.h. der User legt sich einen Schlüssel; dieser Schlüssel besteht aus zwei Teilen, einem privaten und einem öffentlichen. Der öffentliche Schlüssel wandert nun auf den Server. Wenn nun der User ssh hostname aufruft, überprüft sshd ob es einen passenden Key gibt, wenn ja, wird überprüft ob der Anfragende den passenden privaten Schlüssel besitzt.<br />
<br />
==Login per Key==<br />
===Schlüssel anlegen (4096 Bit)===<br />
Da der Schlüssel recht lang ist, dauert es möglicherweise ein bisschen also immer schön Geduld haben. Wichtig ist auch, dass ihr kein Passwort angebt, sonst habt ihr zwar Authentifizierung über einen Key aber eben über einen mit Passwort:<br />
:<pre>ssh-keygen -b 4096 -t rsa</pre><br />
===Den autorisierten Schlüsseln hinzufügen===<br />
:<pre>cat ~/.ssh/id_rsa.pub | ssh remotehost "cat >> ~/.ssh/authorized_keys"</pre><br />
<br />
==Für Windows (Putty)==<br />
Zuerst benötigt man hierzu das Programm puttygen.exe und putty.exe (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)<br />
<br />
===Schlüssel anlegen (4096 Bit)===<br />
Den Schlüssel generiert man nun mit dem Tool puttygen.exe (nicht vergessen unten rechts 4096 Bit einzutragen). Da dieses Tool selbsterklärend sein sollte werde ich es nicht weiter behandeln.<br />
Die beiden Schlüssel (privat und public) müssen nun - ohne die Angabe eines Passwortes - an einem "sicheren Ort" gespeichert werden.<br />
<br />
===Den autorisierten Schlüssel hinzufügen ;-)===<br />
Einfach den Schlüssel mit dem Programm Ihrer Wahl auf den Keks laden und danach mit dem Editor Ihrer Wahl bearbeiten, dass er hinterher so aussieht:<br />
<br />
vorher:<br />
---- BEGIN SSH2 PUBLIC KEY ----<br />
Comment: "rsa-key-20050628"<br />
AAAAB3NzaC1yc2EAAAABJQAAAgEAysrH3U3QLAs7IEys47SuA6CPAVzviJT3R6ab<br />
jTtZKk3nXPUtbLRPrfpsjo2Rl64kqLmddyZey0ea5vU/hamLAms6DCUL21O/OPQd<br />
AJcbm+vWKhuD0LZCRWGwHSfLEvsWIuvYDWo/Bkm35mX5Ntq75S4sSEQINJ3NQprd<br />
c1eH7hEVwvJGJK394j1d8I0NS2WncCqBo1Z+pD2Fqh6xFkS/7bRGi9dY/Ijdy1Mh<br />
q6CxW2yeV9iyavbXvONfPDEj1NFnrr4X+phRf1Hm6wVfH9ARVixDpN1La0WXDKaN<br />
ZiZAgFBf+bIXKyFajRI8FaiIwKTFaomCFeARPdJHWiefvFg4MYFKML4cngvrzG/8<br />
l2FJ7tSVTPCxcpkpfd7OvppXMZGauwKKfytBDoUjoP66c+6L1frh0rGzArXMt1OV<br />
AZDg5tQhuGe6Sa0touM5BSkPZoMosYxGXlrPfDSIhjmMTPIGrNkXAOEWYM2fGwXM<br />
7Zl7s5i6abfkjXn1CYdihKDWVQIaj0EKe4yNC6sTBvSCCLIFBNYhnOaXDljbh0Fm<br />
1dT4xfUvCzu3RXbFkSxvdfNWiPcPGy+TdIDEKbaLy4W0r3KzylmFJzuDcYDrpHIV<br />
aKXGQDp1f1/2+V7focV5XtT9FoD/+bFmgD14UGKvgyWc4vVwrg+VzjoRak3uPk6M<br />
0jd6hjk=<br />
---- END SSH2 PUBLIC KEY ----<br />
<br />
hinterher:<br />
ssh-rsa AAAAB3NzaC1yc2EAAAABJQA........FmgD14UGKvgyWc4vVwrg+VzjoRak3uPk6M0jd6hjk=<br />
<br />
Diesen fügen Sie dann in die Datei ~/.ssh/authorized_keys ein.<br />
Beachten Sie hier, dass der überarbeitete Key einzeilig sein muss.<br />
Die Datei ~/.ssh/authorized_keys kann mehrere öffentliche Schlüssel beinhalten.<br />
<br />
<br />
<br />
Nun sollte es auch schon tun...</div>Distillerhttps://wiki.schokokeks.org/wiki/index.php?title=Key-Login_(OpenSSH)&diff=6117Key-Login (OpenSSH)2006-01-17T13:10:05Z<p>Distiller: /* Den autorisierten Schlüssel hinzufügen ;-) */</p>
<hr />
<div>==Normaler Login mit Passwort==<br />
Login per SSH auf einem Rechner funktioniert normalerweise mit Passwortabfrage, d.h. der User wird nach seinem Passwort gefragt, welches in der /etc/shadow gespeichert wird und welches PAM verwaltet.<br />
<br />
===Häufige Logins===<br />
Das ist v.a. dann wenn man sich häufiger irgendwo einloggen will, sehr unpraktisch. Ebenso für cronjobs müssen interaktive Abfragen vermieden werden. Nun soll das Verfahren aber trotz alledem sicher sein und aus diesem Grund SSH Authentifizierung durch einen Schlüssel. D.h. der User legt sich einen Schlüssel; dieser Schlüssel besteht aus zwei Teilen, einem privaten und einem öffentlichen. Der öffentliche Schlüssel wandert nun auf den Server. Wenn nun der User ssh hostname aufruft, überprüft sshd ob es einen passenden Key gibt, wenn ja, wird überprüft ob der Anfragende den passenden privaten Schlüssel besitzt.<br />
<br />
==Login per Key==<br />
===Schlüssel anlegen (4096 Bit)===<br />
Da der Schlüssel recht lang ist, dauert es möglicherweise ein bisschen also immer schön Geduld haben. Wichtig ist auch, dass ihr kein Passwort angebt, sonst habt ihr zwar Authentifizierung über einen Key aber eben über einen mit Passwort:<br />
:<pre>ssh-keygen -b 4096 -t rsa</pre><br />
===Den autorisierten Schlüsseln hinzufügen===<br />
:<pre>cat ~/.ssh/id_rsa.pub | ssh remotehost "cat >> ~/.ssh/authorized_keys"</pre><br />
<br />
==Für Windows (Putty)==<br />
Zuerst benötigt man hierzu das Programm puttygen.exe und putty.exe (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)<br />
<br />
===Schlüssel anlegen (4096 Bit)===<br />
Den Schlüssel generiert man nun mit dem Tool puttygen.exe (nicht vergessen unten rechts 4096 Bit einzutragen). Da dieses Tool selbsterklärend sein sollte werde ich es nicht weiter behandeln.<br />
Die beiden Schlüssel (privat und public) müssen nun - ohne die Angabe eines Passwortes - an einem "sicheren Ort" gespeichert werden.<br />
<br />
===Den autorisierten Schlüssel hinzufügen ;-)===<br />
Einfach den Schlüssel mit dem Programm Ihrer Wahl auf den Keks laden und danach mit dem Editor Ihrer Wahl bearbeiten, dass er hinterher so aussieht:<br />
<br />
vorher:<br />
---- BEGIN SSH2 PUBLIC KEY ----<br />
Comment: "rsa-key-20050628"<br />
AAAAB3NzaC1yc2EAAAABJQAAAgEAysrH3U3QLAs7IEys47SuA6CPAVzviJT3R6ab<br />
jTtZKk3nXPUtbLRPrfpsjo2Rl64kqLmddyZey0ea5vU/hamLAms6DCUL21O/OPQd<br />
AJcbm+vWKhuD0LZCRWGwHSfLEvsWIuvYDWo/Bkm35mX5Ntq75S4sSEQINJ3NQprd<br />
c1eH7hEVwvJGJK394j1d8I0NS2WncCqBo1Z+pD2Fqh6xFkS/7bRGi9dY/Ijdy1Mh<br />
q6CxW2yeV9iyavbXvONfPDEj1NFnrr4X+phRf1Hm6wVfH9ARVixDpN1La0WXDKaN<br />
ZiZAgFBf+bIXKyFajRI8FaiIwKTFaomCFeARPdJHWiefvFg4MYFKML4cngvrzG/8<br />
l2FJ7tSVTPCxcpkpfd7OvppXMZGauwKKfytBDoUjoP66c+6L1frh0rGzArXMt1OV<br />
AZDg5tQhuGe6Sa0touM5BSkPZoMosYxGXlrPfDSIhjmMTPIGrNkXAOEWYM2fGwXM<br />
7Zl7s5i6abfkjXn1CYdihKDWVQIaj0EKe4yNC6sTBvSCCLIFBNYhnOaXDljbh0Fm<br />
1dT4xfUvCzu3RXbFkSxvdfNWiPcPGy+TdIDEKbaLy4W0r3KzylmFJzuDcYDrpHIV<br />
aKXGQDp1f1/2+V7focV5XtT9FoD/+bFmgD14UGKvgyWc4vVwrg+VzjoRak3uPk6M<br />
0jd6hjk=<br />
---- END SSH2 PUBLIC KEY ----<br />
<br />
hinterher:<br />
ssh-rsa AAAAB3NzaC1yc2EAAAABJQA........FmgD14UGKvgyWc4vVwrg+VzjoRak3uPk6M0jd6hjk=<br />
<br />
Diesen fügen Sie dann in die Datei ~/.ssh/authorized_keys ein.<br />
Beachten Sie hier, dass der überarbeitete Key einzeilig sein muss.<br />
~/.ssh/authorized_keys kann mehrere öffentliche Schlüssel beinhalten.<br />
<br />
<br />
<br />
Nun sollte es auch schon tun...</div>Distiller