On Tue, Jul 10, 2001 at 11:22:05AM +0200, Jens Puruckherr wrote:
Nur so zum Verständnis: Sobald mein gegenüber-host in seiner authorized_keys den PublicKey des Einwählers findet, ist es egal, ob Account mit dem Usernamen übereinstimmt?
Ja.
Also der pub_key vom root.local wird als gültiger key vom einloggenden user.remote angesehen, weil er ja da ist?!
nein. ein public key ist public - sprich potentiell kennt jeder Mensch der Welt diesen key. Des Wissen um den zugehörigen private(!) key ist das fürs Login entscheidende Kriterium.
*Gedanken sortier*.....
interpretier das mal so: Auf dem Zielaccount liegt in der ~/.ssh/authorized_keys ein Öffentlicher Schlüssel. Zugangsberechtigt zu diesem Account sind alle, die den zu diesem öffentlichen Schlüssel passenden privaten Schlüssel haben. Den sollte bei dir nur root@local haben (in ~/.ssh/identity). Welchen Namen derjenige, der den richtigen privaten schlüssen kennt, hat, ist völlig schnuppe.
(Also ganz wie in der Realität: Man muß den passenden Schlüssel zur Tür haben. Habe ich diese Schlüssel kann ich sowohl als Müller oder auch als Meier rein --> Name ist also egal)
Wie ich in einer anderem Mail gerade schrieb sollte man deshalb eigentlich diesen privaten schlüssel schützen (per passphrase) womit sich diese Authentisierungsmethode oft nicht für per cron angeschobene remote Logins eignet. Einfach weil kein Mensch da ist, der die Passphrase eintippen kann. Nur wenn du sicher bist, dass niemand jemals deine lokale ~root/.ssh/identity bekommen kann, brauchst du auch keine passphrase :)
Reinhard