SSH-Keys: Wie auf neues System auf Client umsteigen?

  • Hallo zusammen


    Gibt es so etwas wie eine empfohlene Vorgehensweise, wenn man von einem System/OS auf ein neues umsteigt und die Server via SSH-Keys nutzt? Also wenn ich zum Beispiel einen Windows PC mit Putty nutze und dort via private keys auf Server zugreife - wie kann ich dann sicherstellen, mit dem neuen OS ebenfalls weiter auf diese zugreifen zu können?


    Eine Option wäre ja, die privaten Keys zu sichern. Ich habe aber in der Vergangenheit mehrfach erlebt, dass es Probleme gab, diese unter Linux zu importieren.


    Macht es Sinn, auf den Servern zunächst den root login via Passwort zu aktivieren, dann das System neu aufzusetzen, neue Keys zu generieren und anschließend diese auf den Server zu übertragen? Im Anschluss dann Passwort Login in SSH wieder deaktivieren?


    Die neuen Keys direkt auf den Server schreiben kann ich ja nicht, da diese ja erst noch generiert werden müssen.


    Danke und Gruß

    Boris

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💾 AMD EPYC 7702 10 Core - 32GB RAM - 1TB SSD

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Linux Mint

  • Eine Option wäre ja, die privaten Keys zu sichern. Ich habe aber in der Vergangenheit mehrfach erlebt, dass es Probleme gab, diese unter Linux zu importieren.

    Welche wären das? Ich ziehe meinen Key jetzt schon einige male mit um und hatte nie ein Problem.

    Windows -> Mac -> Linux(mehrmals)


    Putty Keys musst du halt umwandeln:

    Code
    puttygen /path/to/myprivatekey.ppk -O private-openssh -o /path/to/myprivatekey.pem
    
    puttygen /path/to/myprivatekey.ppk -O public-openssh -o /path/to/mypublickey.pem
  • Welche wären das? Ich ziehe meinen Key jetzt schon einige male mit um und hatte nie ein Problem.

    Windows -> Mac -> Linux(mehrmals)


    Putty Keys musst du halt umwandeln:

    Code
    puttygen /path/to/myprivatekey.ppk -O private-openssh -o /path/to/myprivatekey.pem
    
    puttygen /path/to/myprivatekey.ppk -O public-openssh -o /path/to/mypublickey.pem

    Ich erinnere mich nicht mehr. Ist schon länger her. Es könnte eventuell tatsächlich an der Konvertierung gelegen haben. Das will ich aber nicht beschwören.


    Habe jetzt mal für den Notfall Vorkehrungen getroffen - werde deinen Weg aber mal ausprobieren.

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💾 AMD EPYC 7702 10 Core - 32GB RAM - 1TB SSD

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Linux Mint

  • Also ich habe meine Keys schon mehrmals von A nach B nach C und Co kopiert. Wichtig dabei ist nur die Berechtigung. Die Rechte vom privaten Schlüssel müssen per chmod auf 600 gesetzt werden, sonst verweigert ssh seinen Dienst.


    Inzwischen habe ich meine Keys alle in 1Password. Der Passwortmanager klinkt sich direkt in den ssh-agent ein. Also wenn ich "ssh user@domain.tld" eingebe, prüft der ssh-agent nach einem Key in 1Password und ich kann ihn per Masterpasswort oder Fingerabdruck freigeben.


    Dadurch muss ich die Keys nicht mehr selber managen, sondern kann die einfach im 1PAssword hinterlegen und habe sie überall verfügbar.


    Eventuell bieten andere Passwort-Manager (evtl auch deiner) auch diese Funktion an? Einfach mal so als Denkanstoss.

  • Am einfachsten wäre es du besorgst dir ein Nitrokey oder yubikey und machst da deine ssh keys drauf

    musst nur bei den agent sagen das er die von der smartcard nimmt oder mit kleopatra die smartcard einlesen da gitbs in den einstellungen ein häckhen bei gnupg für ssh

    Laptop:    Lenovo Legion 5 AMD    - Manjaro KDE

    Server1:   Dedicated von Hetzner   - AlmaLinux (für Xmpp+omemo, und Gameserver)

    Server2:   Server im Lan        - AlmaLinux als NAS (Raid 6), HomeAssitant, Pihole

    PC:      i7 6700, 32GB DDR4 RAM, GTX 1070ti - Manjaro KDE
    Diverse Raspberry Pi 3b und 4b: für Klipper, LED steuerung, ...

  • Ich denke das Problem war tatsächlich, dass Putty einfach ein anderes Format verwendet.

    💻 ThinkPad X250 i5-5300U Intel HD 5500 8GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Zenbook 13 OLED Ryzen 7 5800U 16GB | 💾 AMD EPYC 7702 10 Core - 32GB RAM - 1TB SSD

    Hardcore Distrohopper und die nächsten 24-72 Stunden unterwegs mit: Linux Mint

  • Eventuell bieten andere Passwort-Manager (evtl auch deiner) auch diese Funktion an? Einfach mal so als Denkanstoss.

    Danke für diesen Tipp! KeePassXC hat auch einen SSH Agenten.

    PC | AMD Ryzen 7 5700X | Radeon RX6600 | 32GB RAM | 1+1TB NVMe | Manjaro KDE Kernel 6.0 + Win11

    NB | AMD Ryzen 5 5300U | Radeon Vega 8 | 16GB RAM | 1TB NVMe | Debian 11 Kernel 5.18 + Win11

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!