debianforum.de

Vielen wird es ähnlich gehen: Man hat seine(n) eigenen Rechner und man verwaltet / administriert weitere im Familien- und sogar Bekanntenkreis.
Dazu konfiguriert man sich ssh für das login via ssh-key.
Nun habe ich mich schon mehrfach mit der Frage beschäftigt, ob ich nicht - statt auf jedem Rechner neue eigene Schlüssel zu generieren - doch meinen ureigenen privaten "Generalschlüssel" auf die anderen Systeme übertrage. Bisher bin ich der Meinung, dass es sehr problematisch werden könnte. (Jeder macht mal Fehler und verschweigt sie dann lieber.)

Liege ich richtig mit dem bisherigen Vorgehen bzw. wie geht ihr mit diesen Umständen um?

Man überträgt nicht den privaten Schlüssel auf die "anderen" Rechner sondern den öffentlichen.

Das Problem ist nur, wenn dein privater Schlüssel kompromitiert wird, mußt du dich daran erinnern und die öffentlichen Schlüssel auf allen Rechnern löschen, auf denen du sie verteilt hast. Sonst kann nicht verhindert werden, daß der kompromitierte Schlüssel für unerlaubte Aktionen und Zugriffe verwendet wird.

Abhilfe kann hier aber eine Passphrase für den privaten Schlüssel und 2FA schaffen, so daß das Abgreifen des privaten Schlüssels weitestgehend folgenlos bleibt.

MSfree hat geschrieben:

18.03.2024 15:11:07

Abhilfe kann hier aber eine Passphrase für den privaten Schlüssel und 2FA schaffen, so daß das Abgreifen des privaten Schlüssels weitestgehend folgenlos bleibt.

Unbedingt.

Zusätzlich hat bei mir jede Maschine ihren eigenen Schlüssel. Wenn beispielsweise mal ein Laptop abhanden kommt, wird dessen öffentlicher Schlüssel aus der authorized_keys aller anderen Maschinen gelöscht, und gut. Zwar sollte™ eh keiner überhaupt je bis zum privaten Schlüssel vordringen, und falls doch, sollte ihm eben der zweite Faktor fehlen, aber es ist halt eine zusätzliche Hürde, die zudem nichts kostet.

Außerdem ist’s zumindest bei mir kein „viele zu einem“-Szenario, sondern jede Maschine kann sich mit jeder anderen Maschine verbinden – wenn es da nur ein einziges Schlüsselpaar gäbe, würden auf auf jeder Maschine sowohl der öffentliche, als auch der private Teil zu finden sein. Damit würde ich mich nicht wohlfühlen.

---
Edit: Dateinamen korrigiert

HumiNi hat geschrieben:

18.03.2024 14:50:40

... wie geht ihr mit diesen Umständen um?

Ich generiere grundsätzlich für jeden Rechner, den ich irgendwie „fernbetreuen“ darf, eigene Schlüssel. Wenn ein solcher Rechner einmal gehackt wurde, möchte ich nicht, dass gleich ein ganzer Rechnerzoo betroffen ist. Ich mache so etwas schon zum reinen Selbstschutz.

Man muss so etwas (Schlüssel generieren, Einträge in allowed_hosts u.dgl.) ja nur einmal je Rechner machen. Ich sehe an Deiner „Generalschlüssel-Idee“ nichts Gutes (wirklich gar nichts).

Gruß

Gregor

Es ist absolut angeraten sich für jeden Rechner einen eigenen Key zu erstellen um nicht dumm dazustehen wenn mal ein Rechner kompromittiert wird.

Aber: man muss sich da was überlegen wie man seine Keys dokumentiert, sichert und verwaltet. Ich hinterlege mir in meinem Passwortmanager wann ich welche Keys für Rechner/Systeme generiert habe. Die Keys selber kann ich da leider nicht ablegen, aber als Dokumentation sind die Einträge Gold wert (rein privat verwendet).

Danke für eure Einschätzungen.

rhHeini hat geschrieben:

18.03.2024 21:56:06

Ich hinterlege mir in meinem Passwortmanager wann ich welche Keys für Rechner/Systeme generiert habe. Die Keys selber kann ich da leider nicht ablegen

SSH-Schlüssel sind einfache ASCII-Dateien. Einen Schlüssel könntest du als Kommentar im Passwortmanager ablegen.

MSfree hat geschrieben:

19.03.2024 12:50:40

Einen Schlüssel könntest du als Kommentar im Passwortmanager ablegen.

Stimmt, habe nicht daran gedacht dass das ginge. Mit meinen binären luks-Schlüsseln geht das nicht, und deswegen hab ich auch die ssh-Keys nicht eingetragen. Danke für den Hinweis.

rhHeini hat geschrieben:

19.03.2024 17:27:18

Mit meinen binären luks-Schlüsseln geht das nicht

Du könntest du binären Dateien base64 kodieren, dann sind sie ebenfalls ASCII und könnten als Kommentar abgelegt werden. Das würde dann zwar immer einen Zwischenschritt erforden, sollte man den Schlüssel aus dem Passwortmanager mal benötigen, aber er wäre immerhin verschlüsselt als Backup speicherbar.