Key-Login (OpenSSH)

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen

Normaler Login mit Passwort

Das Anmelden per SSH auf einem Rechner funktioniert normalerweise über eine Passwortabfrage. Der Benutzer wird nach seinem Passwort gefragt, um sich auf dem entfernten Rechner zu authentifizieren.

Häufige Logins

Die Authentifizierung über ein Passwort ist immer dann sehr unhandlich, wenn es schnell gehen soll. Ebenso für [Cronjobs Cron] müssen interaktive Abfragen vermieden werden. Nun soll das Verfahren aber trotz alledem sicher sein und aus diesem Grund sollte man SSH-Authentifizierung durch einen Schlüssel wählen. Konkret heißt das, der Benutzer legt sich einen Schlüssel; dieser Schlüssel besteht aus zwei Teilen, einem privaten und einem öffentlichen (s.g. Public Key Kryptographie). Der öffentliche Schlüssel wandert nun auf den Server. Wenn nun der User sich auf den Server verbindert, wird überprüft ob es einen passenden Key gibt. Falls ein passender Key gefunden wird, überprüft das SSH-Protokoll, ob zum auf dem Server gefundenen öffentlichen Schlüssen, ein lokaler, privater Schlüssel existiert. Über dieses Schlüsselpaar findet dann die Authentifizierung statt.

Login per Key

Schlüssel anlegen (4096 Bit)

Da der Schlüssel recht lang ist, dauert es möglicherweise eine kurze Weilt, bis dieser generiert ist. Sie können den Computer beim Geniereren unterstützen, in dem Sie wahllos Aktionen tätigen: Fenster verschieben, Dokumente löschen, speicher, öffnen, Programme öffnen und schließen. Dies ist notwendig, da bei der Erzeugung eines Schlüssels das Programm eine große Anzahl von Zufallszahlen benötigt, die es nur aus Rechenoperationen erzeugen kann. Wichtig ist auch, dass ihr kein Passwort angebt, sonst habt ihr zwar Authentifizierung über einen Key aber eben über einen mit Passwort:

ssh-keygen -b 4096 -t rsa

Den autorisierten Schlüsseln hinzufügen

cat ~/.ssh/id_rsa.pub | ssh remotehost "cat >> ~/.ssh/authorized_keys"

Für Windows (Putty)

Zuerst benötigt man hierzu das Programm puttygen.exe und putty.exe (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)

Schlüssel anlegen (4096 Bit)

Den Schlüssel generiert man nun mit dem Tool puttygen.exe (nicht vergessen unten rechts 4096 Bit einzutragen). Da dieses Tool selbsterklärend sein sollte werde ich es nicht weiter behandeln. Die beiden Schlüssel (privat und public) müssen nun - ohne die Angabe eines Passwortes - an einem "sicheren Ort" gespeichert werden.

Den autorisierten Schlüssel hinzufügen ;-)

Einfach den Schlüssel mit dem Programm deiner Wahl auf den Keks laden und danach mit dem Editor deiner Wahl bearbeiten, dass er hinterher so aussieht:

vorher:

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20050628"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---- END SSH2 PUBLIC KEY ----

hinterher:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQA........FmgD14UGKvgyWc4vVwrg+VzjoRak3uPk6M0jd6hjk=

Diesen fügen Sie dann in die Datei ~/.ssh/authorized_keys ein


Nun sollte es auch schon tun...

Kurznamen einrichten

Falls Sie in der Form ssh keks auf Ihren SSH-Account zugreifen möchten, so editieren Sie die Datei ~/.ssh/config. Dort fügen Sie folgende Zeilen ein:

Host keks
    User <Ihr Benutzername>
    IdentityFile <Pfad zum SSH-Key>
    Hostname schokokeks.org

Beispiel

ACHTUNG: Der Pfad zum Schlüssel variert, vor allem auf den unterschiedlichen Plattformen. Testen Sie vorher unbedingt aus, dass der Schlüssel auch unter dem angegebenen Pfad existiert.

Host keks
    User lars
    IdentityFile ~/.ssh/keks_rsa
    Hostname schokokeks.org