Kurzanleitung SSH Key Authentifizierung auf einem rootserver einrichten

Der ganze Punkt mit dem Key auf den Server kopieren kann man auch abkürzen:

Dazu auf dem Client einfach:

ssh-copy-id user@host

Dann wird der Key automatisch auf den Server kopiert, das .ssh Verzeichnis erstellt (falls es noch nicht existiert) und die authorized_keys Datei modifiziert.

Ich stelle dabei noch gerne auf ED2559 um. Und eine Benennung hilft sobald sich die Schlüsselanzahl erhöht um auch in Zukunft alles richtig zuordnen zu können.

Beispiel:

ssh-keygen -t ed21559 -C "Für-meine-Nextcloud"

Ich hab mal kurz ne Frage dazu, da ich gerade dabei bin mir nen Server zu mieten als Connectionserver in mein Heimnetz.
Ich würde das ganze in Zukunft gerne auch über ssh Keys machen.
Kann ich auf dem Weg für einen User mehrere Schlüssel hinterlegen, da ich das für mehrere Geräte einrichten will, oder nehme ich dann den Private Key auf die anderen Geräte mit? Was ist hier so die BestPractise?

Gut danke.
Ist im Grunde auch besser wenn aus was weiß ich für Gründe man sich mit einem Gerät aussperrt.

Ok, das ganze will bei mit auf dem Pi mit dem Ubuntu Server Image nicht funktionieren.

Ich habe ein Schlüsselpaar erstellt mit
ssh-keygen -b 4096 -t rsa -f ~/.ssh/marioPi400

Dann den Schlüssel übertragen mit

ssh-copy-id mario@pi-server

Hab mich dann erstmal mit PW eingeloggt und geschaut ob in ~/.ssh/authorized_key auch der Schlüssel ist.
Danach habe ich in der /etc/ss/sshd_config folgendes geändert:

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2

PasswordAuthentication no

Dann habe ich mit sudo service ssh restart den ssh Dienst neu gestartet und dann mit exit die Sitzung verlassen.

Dann habe ich mit ssh mario@pi-server verbunden.... musste aber das Passwort nutzen.
Hab dann den Pi neu gestartet und es nochmal versucht, wieder nur Passwort.
Eigentlich sollte doch jetzt ein Login mit Passwort nun gar nicht mehr möglich sein, oder?

Wie meinst Du das?
Da ich mit ssh-copy-id geareitet habe wurde der Schlüssel in die Datei ~/.ssh/authorized_keys geschrieben.
Ich habe mir die ja angeschaut und die erste Zeile ist ein langer string mit meinen Benutzer am Ende.

Jetzt beim schreiben macht es "klick"
Ich hätte beim Verbindungsaufbau den Pfad zum Key aufrufen müssen... ist ja auch irgendwie logisch.
Ok, ich biege das mal grade und probiert das nochmal. Beim Verbinden noch die Keydatei aufrufen zu müssen würde nerven.

Interessanter Weise komme ich gerade nicht mehr auf den Server

mario@Pi400-Mario:~ $ ssh maio@pi-server

maio@pi-server's password:

Permission denied, please try again.

maio@pi-server's password:

Permission denied, please try again.

maio@pi-server's password:

maio@pi-server: Permission denied (publickey,password).

Bin gerade froh, dass das nur der Testserver ist und kein Livesystem.

Da du einen vom Standard abweichenden Namen für den Schlüssel vergeben hast, musst du den Schlüssel mit der Option -i angeben.

Würde dir aber empfehlen, eine Config-Datei anzulegen. Wie das geht, habe ich hier beschrieben:

Beitrag

RE: Rund um Rsync: Tipps - Tricks - Frust

[…]

Für den täglichen Umgang miit SSH ist es auf jeden Fall hilfreich, wenn du dir eine .ssh/config anlegst.

Dann reicht ein "ssh pihole" und du bist mit dem Pihole-Server verbunden. Brauchst keinen User, Port, Key oder IP-Adresse anzugeben, ist alles in der config hinterlegt.

Und wenn du an mehreren Rechnern arbeitest, dann kopierst du den Key und die Config auf den neuen Rechner und hast deine gewohnte Umgebung.

(Quelltext, 20 Zeilen)

Sojan

22. April 2022 um 16:17

Zitat von Manpages SSH

-i Identitätsdatei

Wählt eine Datei, aus der die Identität (der private Schlüssel) für asymmetrische Authentifizierung gelesen wird. Sie können auch festlegen, dass eine öffentliche Schlüsseldatei den entsprechenden privaten Schlüssel verwendet, der in ssh-agent(1) geladen wird, wenn die private Schlüsseldatei nicht lokal verfügbar ist. Die Vorgabe ist ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk und ~/.ssh/id_dsa.

Danke Sojan werde mir das später ma zu gemüte führen.
Wenn ich schon einen Server im bösen bösen Internet habe, dann will ich den auch weitestgehend absichern.

Zitat von Speichenbieger

Kann ich auf dem Weg für einen User mehrere Schlüssel hinterlegen

Du kannst auf einem Server so viele schlüssel hinterlegen wie du möchtest, aber man hat meist nur einen persönlichen schlüssel den man dann immer nutzt. Daher, Pass gut drauf auf und hinterlege ein anständiges Kennwort.

Zitat von Speichenbieger

Ich hätte beim Verbindungsaufbau den Pfad zum Key aufrufen müssen... ist ja auch irgendwie logisch.

Du kannst das auch fest in die ssh config eintragen:

Host NAME IP
	User root
	HostName IP
	IdentityFile ~/.ssh/id_ed25519

Namen und ups kann man bei Host so viele eintragen wie man Will, macht aber nur bei Namen Sinn.

Wenn du mit einem anderen User arbeitest musst du den natürlich ändern sowie gegebenenfalls den Pfad zum schlüssel.

Wenn du mit Jumphosts arbeitest sieht das dann so aus:

Host NAME IP
	User root
	HostName IP
	IdentityFile ~/.ssh/id_ed25519
	IdentitiesOnly yes
	ForwardAgent yes
	ProxyJump NAMEdesJumpservers

Ich bin mittlerweile dazu über gegangen, auf jedem Client einen Key zu generieren und diesem halt den Namen des Rechners zu geben. So kann ich - falls mal irgendwie ein Gerät kompromittiert wird - die Rchte bzw den Key gezielt entziehen.

Es muss ja nur jemand irgendwie an den Key kommen oder der Rechner wird geklaut oder was auch immer. Dann kann ich jederzeit mit einem anderen Rechner zugreifen und besagten Key löschen und gut ist. So handhabe ich es auch in der Nextcloud. Für jeden Zugriff wird ein Passwort generiert. Da kann ich dann gezielt TB aussperren oder eine App auf dem iPhone, etc

Ist nicht verkehrt der Gedanke Stardenver
Konnte da heute nichts mehr machen, haben den Geburtstag von meiner jüngsten nachgefeiert.
Jetzt habe ich Kopfschmerzen und bin erledigt. Werde das wohl morgen mal so einrichten.

So, ich habe mir das ganze mit den Keys und der Config mal genauer angeschaut.
Sichert ihr die Keys, gerade die privaten nochmal extra? Ich würde hier ja ganz schwwer zu einem JA tendieren.
Zum einen kann einem immer ein Datenträger abrauchen, zum anderen kann ich den so bei einem Systemwechsel einfach neu einfügen.
Daher, wieso frage ich eigentlich, macht ja nur Sinn das zu tun.

Ich Danke euch auf jeden Fall, wieder was gelernt was mein System sicherer macht und dabei noch das Arbeiten für mich einfacher.