[gelöst] SSH - ein paar Unklarheiten

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
TomL

[gelöst] SSH - ein paar Unklarheiten

Beitrag von TomL » 18.11.2015 21:08:18

Moin

1. Was kann die Ursache dafür sein, dass meine lokale Client-SSH-Session sich unterschiedlich verhält, wenn ich mich zu verschiedenen Rechnern verbinde? Üblicherweise ist meine lokale Session sofort beendet, wenn der SSH-Server (der ganze PC) runterfährt oder neu startet. Nur bei einer einzigen Maschine muss ich meine Client-Sitzung mit Tilde-Punkt beenden, wenn der Server "weg" ist.... nur bei diesem einen PC findet der gewohnte Auto-Rausschmiss nicht statt... woran kann das liegen?

2. Vor ein paar Tagen habe ich mich mit RSA-Pubkey für SSH-Sitzungen beschäftigt und das dann auch eingerichtet. ... und heute ist mir auf einmal der Gedanke durch den Kopf gegangen, dass da bei mir doch irgend nen Denkfehler vorliegen muss. :roll: Und zwar aus folgendem Grund: Ich habe den Key auf meinem PC generiert und dann via

Code: Alles auswählen

ssh-copy-id -i ~/.ssh/id_rsa.pub thomas@AnderePCs
verteilt an den Server und andere Clients, auf die ich zugreife. Und heute ist mir aufgegangen, dass mein PC doch eigentlich auch nur Client ist und dass doch eigentlich der Server Herr der Keys sein müsste und die Keys an die Clients verteilt. Spielt das eigentlich eine Rolle, wo ich die PubKey bzw. den Privat-Key speichere oder ist das egal? Funktionieren tuts in beiden Richtungen. Aber trotzdem, wo speichert man welches der Files nach welchen Regeln? Wie ist es richtig?
Zuletzt geändert von TomL am 19.11.2015 20:14:11, insgesamt 1-mal geändert.
Nach oben
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: SSH - ein paar Unklarheiten

Beitrag von mistersixt » 19.11.2015 08:47:30

Der Public-Key kommt auf die Zielrechner (in die authorized_keys), der private Teil sollte auf den Rechnern verbleiben, von denen aus Du die SSH-Sitzungen initiierst. Dazu ist noch der Host-Key des SSH-Servers insofern "interessant", also Du anhand des Fingerprints erkennen kannst, dass Du auch wirklich mit dem SSH-Server kommunizierst wie beabsichtigt; gibt es einen man-in-the-middle, der da was abgreifen will, dann ist der Host-Key auf einmal "anders" und Du bekommst einen Warnhinweis vom SSH-Client. Dann sollte man sich damit beschäftigen, ob vielleicht doch alles korrekt ist ... auch halt auch nicht ;) .

Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
Nach oben
Benutzeravatar
MSfree
Beiträge: 11748
Registriert: 25.09.2007 19:59:30

Re: SSH - ein paar Unklarheiten

Beitrag von MSfree » 19.11.2015 09:18:18

mistersixt hat geschrieben:gibt es einen man-in-the-middle, der da was abgreifen will, dann ist der Host-Key auf einmal "anders" und Du bekommst einen Warnhinweis vom SSH-Client.
Wenn man sich per SSH mit Servern verbindet, die z.B. an einer DSL-Leitung mit wechselnden IP-Adressen hängen, bekommt man ebenfalls diese Warnung, also in diesem Fall nicht erschrecken. :mrgreen:

Eigentlich ist das auch eine der Schwachsstellen in diesem Hostkey-konzept. Es wird nicht der Hostkey ansich geprüft und ggfls. gewarnt, sondern die Kombination auf Hostname-Hostkey. Da bei Anschlüssen mit dynamischer IP-Adressvergabe der Hostname mitwechselt, ist die Kombination aus Hostname-Hostkey jedes mal ungültig.
Nach oben
uname
Beiträge: 12497
Registriert: 03.06.2008 09:33:02

Re: SSH - ein paar Unklarheiten

Beitrag von uname » 19.11.2015 09:31:21

etwas offtopic:
Man kann wohl die Überprüfung der HostIP-Adresse deaktieren:

Code: Alles auswählen

CheckHostIP no
Auch kann die Überprüfung von HostKeys einschränken:

Code: Alles auswählen

StrictHostKeyChecking no
Leider kenne ich mich mit beidem nicht wirklich aus. Vielleicht selbst mal suchen.

Zu Frage 1: Ich denke die hat mit den Keys nicht zu tun.
Nach oben
TomL

Re: SSH - ein paar Unklarheiten

Beitrag von TomL » 19.11.2015 20:07:03

Hallo

Danke.... ist geklärt. Ich war nur etwas irritiert, weil ich das vom OpenVPN anders kenne. Dort erlaubt der Server den Zugriff und verfügt über den "Hauptschlüssel" um Client-Spezifische Zugänge zu ermöglichen. Von meinem PC aus und u.U. auch vom Laptop mache ich zwar den Großteil des Customizings der anderen Maschinen via SSH, aber letzten Endes sind meine beiden PCs im Netz auch nur Client-PCs. Insofern hätte ich erwartet, dass der Server die Pubkeys an die verteilt, denen er den Zugang erlaubt. Bei SSH generiert also ein Client einen PubKey, der auf den Server übertragen wird, um dort einen Zugriff zu ermöglichen.... mutet mir irgendwie seltsam an.... aber die Dokus im Web sagen das auch so. Aber andersrum ist mein Fileserver ja auch nur Client-PC mit einer (in meinen Augen) besonderen Aufgabe. Also wird das wohl passen.

Der erste Punk ist auch geklärt. Heute, nach dem Neustart beider PCs ist es wieder normal..... der Auto-Rausschmiss funktioniert. Geändert habe ich zuvor nix. Also war wahrscheinlich wirklich nur mal ein Systemstart beider Systeme notwendig. Davor hatte ich immer nur den neu-aufgesetzten neu gestartet.
uname hat geschrieben:Zu Frage 1: Ich denke die hat mit den Keys nicht zu tun.
Richtig, das waren 2 voneinander unabhängige Probleme.... nur eben zum gleichen Thema SSH.
Nach oben
Antworten

Zurück zu „Netzwerk“