On Sat, 03 Aug 2002 15:15:17 +0200, Jens Puruckherr wrote:
Also: ich will mich einloggen auf 'gate'. Wie ich das jett mitbkommen habe, muss ich von *allen* Logins, von denen aus ich dies via public-key machen will, genau diesen an gate:.../authorized_keys2 übertragen?
Wenn du unbedingt public-key auth machen willst - ja, zumindest thoretisch.
Nun komme ich irgendwohin, wo ich noch nicht war und habe von diesem Login aus noch keinen public-key an mein gate übertragen (können).
Per public key auth gar nicht. Von diesen Hosts aus willst du dich gar nicht auf gate per ssh mit public key authentication anmelden. Ssh mit public key auth bringt nur Sicherheit, wenn du _beiden_ Endsystemen vertrauen kann. (Satz dreimal untertreichend)
Wenn du also mal in Firma X oder einem Internetcafe unterwegs bist, dort an einem Rechner sitzt und dich mal schnell in deinen heimischen gate reinwählen willst, mußt du dich anders authentifizieren. Die public key auth von ssh ist _dafür_ _völlig_ _ungeeignet_.
Wie komme ich dann trotzdem da rein, ohne erst heimfahren zu müssen? Ich kann ja meinen privaten Key mit mir rumtragen - siehe Frage oben - oder geht das nicht?
Was willst du mit dem privaten key auf dem fremden Rechner? Willst du ihn auf den fremden Rechner draufspielen, auf diesem Rechner ein Programm, was dort zufällig ssh heißt, aufrufen und diesem brav die Passphrase für deinen Key eingeben? Da ist telnet bei gleichem Effekt deutlich stressfreier. Was anderes als Einmalpassworte fällt mir im Moment nicht ein ein, wenn du dem fremden Rechner nicht traust.
Solltest du dem anderen Rechner hingegen trauen, von dem aus du dich in gate einwählst, solltest du lediglich den public-host-key von gate dabeihaben. Dann kannst du dich per ssh mit Passwort an gate anmelden und davon ausgehen, daß du wirklich mit gate redest. Wenn du die Verbindung öfters benötigst, erstellst du auf dem fremden Rechner ein neues Schlüssel-Paar und überträgst den public key in die ~/.ssh/authorized_hosts auf gate.
Mir fällt _kein_ plausibler Grund ein, einen privaten ssh-key mal so auf gut Glück auf einer Diskette durch die Gegend zu schleppen, weil man ihn ja mal brauchen könnte. Dieser private Schlüssel sollten eigentlich auf der Kiste bleiben, wo er mal erstellt wurde. Nur public keys schleppt man durch die Gegend um irgendwas sicherheitsmäßig sinnvolles damit anzustellen.
Wenn du oft aus "feindlichen Gefilden" nach Hause sshen mußt, ist es wohl am günstigsten, dich mit einem Notebook zu bewaffnen. Dann hast du dein vertrauensvolles Notebook und den vertrauensvollen gate und kannst zwischen beiden ganz nach Lust und Laune sicher sshen.
Reinhard