centos:ssh-install

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
centos:ssh-install [13.11.2016 14:32. ] – [Erzeugung eines Schlüssel] djangocentos:ssh-install [13.11.2016 16:33. ] – [Zielverzeichnis anlegen und öffentlichen Schlüssel kopieren] django
Zeile 1636: Zeile 1636:
 +-----------------+</code> +-----------------+</code>
  
-=== ED25519 Key === 
-Ob man in Zeiten von Überwachungsphantasten bei einer NSA oder BND, noch solhcen Schlüssel einsetzen kann und mag, muss natürlich jeder Admin für sich sekbst entscheiden. Auf solche Schlüssel muss man aber nicht mehr zwingend zurückgreifen, stehen doch akzuellere  
- 
-Oder die Erstellung eines [[http://ed25519.cr.yp.to/|ed25519]] Schlüssels. [[https://de.wikipedia.org/wiki/Curve25519|Ed25519]] ist ein Elliptic Curve Signature Schema, welches beste Sicherheit bei vertretbaren Aufwand verspricht, als ECDSA oder DSA dies versprechen. Zur Auswahl sicherer kryptografischer Kurven bei der //Elliptic-Curve Cryptography// findet man auf der Seite [[https://safecurves.cr.yp.to/|hier]] hilfreiche Erklärungen und eine Gegenüberstellung der möglichen verschiedenen Alternativen. 
  
 +Die //passphrase// die man hier angibt, wird später beim Anmelden auf dem entfernten Rechner abgefragt, oder vom //ssh-agent// bei der Anmeldung mitübergeben.
  
 +Nun liegen in dem Verzeichnis **/home/django/.ssh** zwei weitere Dateien:
 +  # ll ~/.ssh/id_rsa*
 +<code>-rw-------. 1 django django 3326 13. Nov 15:27 /home/django/.ssh/id_rsa4096_dmz
 +-rw-r--r--. 1 django django  743 13. Nov 15:27 /home/django/.ssh/id_rsa4096_dmz.pub</code>
  
 +**id_rsa4096_dmz** enthält den privaten Schlüssel und sollte auf keinen Fall weitergegeben werden und darf auch __nur__ für den Nutzer selbst lesbar sein! **id_rsa4096_dmz.pub**, der öffentliche Schlüssel, dagegen muss auf den Zielrechner kopiert werden. 
  
 +=== ED25519 Key ===
 +Ob man in Zeiten von Überwachungsphantasten bei einer NSA oder BND, noch solhcen Schlüssel einsetzen kann und mag, muss natürlich jeder Admin für sich sekbst entscheiden. Auf solche Schlüssel muss man aber nicht mehr zwingend zurückgreifen, stehen doch aktuellere und zeitgemäße Cipher, MACs, Schlüssel Typen und Key Exchange Algorithmen zur Verfügung. Als Alternative zu einem RSA-Keys wollen wir nun nun einen [[http://ed25519.cr.yp.to/|ed25519]] Schlüssels erzeugen. [[https://de.wikipedia.org/wiki/Curve25519|Ed25519]] ist ein Elliptic Curve Signature Schema, welches beste Sicherheit bei vertretbaren Aufwand verspricht, als ECDSA oder DSA dies versprechen. Zur Auswahl sicherer kryptografischer Kurven bei der //Elliptic-Curve Cryptography// findet man auf der Seite [[https://safecurves.cr.yp.to/|hier]] hilfreiche Erklärungen und eine Gegenüberstellung der möglichen verschiedenen Alternativen.
    $ ssh-keygen -t ed25519 -o -a 100 -C django@nausch.org -f ~/.ssh/id_ed25519_dmz    $ ssh-keygen -t ed25519 -o -a 100 -C django@nausch.org -f ~/.ssh/id_ed25519_dmz
  
 +<code>Generating public/private ed25519 key pair. 
 +Enter passphrase (empty for no passphrase):  
 +Enter same passphrase again:  
 +Your identification has been saved in /home/django/.ssh/id_ed25519_dmz. 
 +Your public key has been saved in /home/django/.ssh/id_ed25519_dmz.pub. 
 +The key fingerprint is: 
 +a3:03:59:5c:1b:d3:60:2a:93:77:2a:9f:9d:fc:e8:68 django@nausch.org 
 +The key's randomart image is: 
 ++--[ED25519  256--+ 
 +|        *o       | 
 +|     o + +.      | 
 +|    + = o        | 
 +|     * o         | 
 +|    + . S        | 
 +|     + = o       | 
 +|      = +        | 
 +|      Eo o       | 
 +|     ...o .      | 
 ++-----------------+</code>
  
 Die //passphrase// die man hier angibt, wird später beim Anmelden auf dem entfernten Rechner abgefragt, oder vom //ssh-agent// bei der Anmeldung mitübergeben. Die //passphrase// die man hier angibt, wird später beim Anmelden auf dem entfernten Rechner abgefragt, oder vom //ssh-agent// bei der Anmeldung mitübergeben.
  
-Nun liegen in dem Verzeichnis **/home/django/.ssh** zwei Dateien: +Nun liegen in dem Verzeichnis **/home/django/.ssh** zwei weitere Dateien: 
-<code>[django@host .ssh]$ ll +  # ll ~/.ssh/*ed25519* 
-insgesamt 24 +<code>-rw-------1 django django 464  2Nov 21:43 /home/django/.ssh/id_ed25519_dmz 
--rw------- 1 django django 3311 22Apr 22:11 id_rsa +-rw-r--r--1 django django  99  2Nov 21:43 /home/django/.ssh/id_ed25519_dmz.pub</code>
--rw-r--r-- 1 django django  748 22Apr 22:11 id_rsa.pub</code>+
  
-**id_rsa** enthält den privaten Schlüssel und sollte auf keinen Fall weitergegeben werden und darf auch __nur__ für den Nutzer selbst lesbar sein! **id_rsa.pub**, der öffentliche Schlüssel, dagegen muss auf den Zielrechner kopiert werden. +**id_ed25519_dmz** enthält den privaten Schlüssel und sollte auf keinen Fall weitergegeben werden und darf auch __nur__ für den Nutzer selbst lesbar sein! **id_ed25519_dmz.pub**, der öffentliche Schlüssel, dagegen muss auf den Zielrechner kopiert werden. 
 ==== Zielverzeichnis anlegen und öffentlichen Schlüssel kopieren  ==== ==== Zielverzeichnis anlegen und öffentlichen Schlüssel kopieren  ====
 Auf dem Zielrechner legen wir nun das Verzeichnis **.ssh** an und schützen es entsprechend. Auf dem Zielrechner legen wir nun das Verzeichnis **.ssh** an und schützen es entsprechend.
Zeile 1663: Zeile 1684:
   [django@zielhost django]$ chmod 700 .ssh   [django@zielhost django]$ chmod 700 .ssh
  
-Den öffentlichen Schlüssel kopieren wir dann wie folgt auf das Zielsystem: +Den öffentlichen Schlüssel kopieren wir dann wie folgt auf das Zielsystem; hatten wir uns einen RSA-key erstellt verwenden wir folgenden Aufruf
-  [django@host .ssh]$  scp /home/django/.ssh/id_rsa.pub zielhost:/home/django/.ssh/id_rsa.pub+   $  scp /home/django/.ssh/id_rsa4096_dmz.pub zielhost:/home/django/.ssh/
  
 Anschließend wird der Schlüssel in die Datei authorized_keys kopiert. Diese Datei kann mehrere Schlüssel enthalten, daher ist das doppelte Umleitungszeichen wichtig, um eine evt. existierende Datei nicht versehentlich zu überschreiben. Somit wird der neue Schlüssel in die Datei hinzugefügt: Anschließend wird der Schlüssel in die Datei authorized_keys kopiert. Diese Datei kann mehrere Schlüssel enthalten, daher ist das doppelte Umleitungszeichen wichtig, um eine evt. existierende Datei nicht versehentlich zu überschreiben. Somit wird der neue Schlüssel in die Datei hinzugefügt:
-  [django@zielhost .ssh]$ cat id_rsa.pub >> authorized_keys+   $ cat id_rsa4096_dmz.pub >> authorized_keys
 Zu guter Letzt passen wir noch die Berechtigungen an und löschen die nicht mehr benötigte **id_rsa.pub** Zu guter Letzt passen wir noch die Berechtigungen an und löschen die nicht mehr benötigte **id_rsa.pub**
-  [django@zielhost .ssh]$ chmod 600 authorized_keys +   $ chmod 600 authorized_keys 
-  [django@zielhost .ssh]$ rm id_rsa.pub+   $ rm id_rsa.pub 
 + 
 + 
  
 <WRAP round info>Das Kopieren des Public-Keys auf unseren Zielhost mit Anpassen der Dateiberechtigungen kann man natürlich auch einfacher vornehmen. Man benutzt hierzu einfach den Befehl **ssh-copy-id** aus dem Paket //**openssh-clients**//. <WRAP round info>Das Kopieren des Public-Keys auf unseren Zielhost mit Anpassen der Dateiberechtigungen kann man natürlich auch einfacher vornehmen. Man benutzt hierzu einfach den Befehl **ssh-copy-id** aus dem Paket //**openssh-clients**//.
  • centos/ssh-install.txt
  • Zuletzt geändert: 20.05.2021 07:50.
  • von 127.0.0.1