Hehey ich grüsse Euch
Ich habe eine Frage, die mir ein bisschen Kopfzerbrechen macht.
Wir haben viele Server und VMs und einen SSH Tunnel Server, somit haben wir auch User die diesen Tunnel nutzen und viele Keys zu Organisieren.
Eig. läuft alles gut, aber wir haben ein neues Problem das wir zu lösen versuchen.
$USER hat 2 Rechner zum arbeiten, aber der Priv, Key von $USER darf NICHT kopiert werden, d.h. er hat 2 Keys für beide Rechner, somit wissen wir immer welcher Key zu löschen ist, falls ein Gerät {weg|kaput|verloren|geklaut} ist, oder $USER gekündigt hat o.ä.
Aber wie kann man einen Key zum Host binden ? Static IP vom $USER geht nicht, wir haben Leute bei denen das nicht machbar ist.
Leider kann es vorkommen, dass es einfacher ist seine Keys von Host-A zu Host-B zu kopieren, statt neue Keys zu machen und diese zu verteilen. Aber genau das wollen wir erreichen. Keys dürfen NICHT kopiert werden.
Weiss da jemand eine Lösung ?
Ich grüsse Euch
Andi
SSH und die User Priv. Keys
Re: SSH und die User Priv. Keys
Hast Du schon versucht, die nicht autorisierten Hosts zu einem bestimmten key, zu blacklisten?shub hat geschrieben:17.08.2021 09:27:18Aber wie kann man einen Key zum Host binden ? Static IP vom $USER geht nicht, wir haben Leute bei denen das nicht machbar ist.
Leider kann es vorkommen, dass es einfacher ist seine Keys von Host-A zu Host-B zu kopieren, statt neue Keys zu machen und diese zu verteilen. Aber genau das wollen wir erreichen. Keys dürfen NICHT kopiert werden.
In der ".ssh/authorized_keys"-Datei, mit z. B.: from="!host1,!host2,*".
Siehe auch den Abschnitt PATTERNS in der manpage von ssh_config.
EDIT:
Vorsicht, ... dass Du dich nicht aussperrst, vom Server.
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Re: SSH und die User Priv. Keys
Wahrscheinlich ist es besser einzelne Client-IP-Adressen je Key zu whitelisten.
Zudem kann man auch noch alle oder nur eine Auswahl von Befehlen zulassen.
Hier mal ein Beispiel.
Zudem kann man auch noch alle oder nur eine Auswahl von Befehlen zulassen.
Hier mal ein Beispiel.
Re: SSH und die User Priv. Keys
Wie funktioniert das, wenn die Clients keine feste/statische IP-Adresse haben?uname hat geschrieben:18.08.2021 10:44:46Wahrscheinlich ist es besser einzelne Client-IP-Adressen je Key zu whitelisten.
Denn der TE schreibt oben:
Static IP vom $USER geht nicht, wir haben Leute bei denen das nicht machbar ist.
Debian 12.9 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
Re: SSH und die User Priv. Keys
Das habe ich wohl überlesen. Normalerweise ist natürlich ein Key weit mehr wert als irgendeine IP-Adresse.
Daher sollte man lieber die Keys ordentlich verwalten und diese von beliebigen (z. B. internen) Rechnern zulassen.
Zur Absicherung könnte man noch eine Passphrase nutzen.
Daher sollte man lieber die Keys ordentlich verwalten und diese von beliebigen (z. B. internen) Rechnern zulassen.
Zur Absicherung könnte man noch eine Passphrase nutzen.
Re: SSH und die User Priv. Keys
Wir haben das Problem dahingehend gelöst, dass wir jedem Nutzer einen Nitrokey ausgeben und diese als erlaubte Schlüssel verwenden. Die authorized_keys für die Nutzer werden ausschließlich vom Administrator gepflegt.
Jeder Benutzer besitzt somit zwei physikalische Schlüssel, einen NFC Transponder für die Schließanlage und einen USB Schlüssel für die SSH Zugänge.
Jeder Benutzer besitzt somit zwei physikalische Schlüssel, einen NFC Transponder für die Schließanlage und einen USB Schlüssel für die SSH Zugänge.