Wie schützt man am besten den privaten Schlüssel (private Key)?
08.01.2009
10:49:09 Uhr3388 Aufrufe
4 Antworten
10:49:09 Uhr
4 Antworten
Noch nicht bewertet
Hallo,
wir nutzen bei uns hier einen Linux-Server mit Win-Clients. Die Profile sind auf dem Server gespeichert.
Nun ist der Shell-Login natürlich nur per SSH möglich und es soll zertifikatsbasiert sein. Daher liegt ja nun der private Schlüssel auf der Festplatte. Meine Frage nun:
Ist das wirklich soviel sicherer wie eine Passwortanmeldung? Das kann mit einem Zertifikat passieren:
- Jeder der an den Schlüssel kommt, kann sich auf dem Server anmelden
- der Schlüssel kann beliebig kopiert werden, wenn jmd. Zugriff auf den Client hat.
- Der Schlüssel wird von dem Nutzer im Share abgelegt. Damit ist er natürlich automatisch auch auf dem Server, was nicht so sein sollte.
- Eine Passphrase ist nicht durchsetzbar, da der Nutzer sich nicht noch ein Passwort merken wollen.
Nimmt man dagegen ein halbwegs sicheres Passwort kann das nicht so einfach vervielfältigt oder ausgespäht werden?
Wäre mal interessiert an ein paar "Tipps" zum privaten Schlüssel bzw. zur SSH-Sicherung. Wie gesagt...neue Passwörter sind nicht gerade erwünscht :P
Grüße Gutitm
wir nutzen bei uns hier einen Linux-Server mit Win-Clients. Die Profile sind auf dem Server gespeichert.
Nun ist der Shell-Login natürlich nur per SSH möglich und es soll zertifikatsbasiert sein. Daher liegt ja nun der private Schlüssel auf der Festplatte. Meine Frage nun:
Ist das wirklich soviel sicherer wie eine Passwortanmeldung? Das kann mit einem Zertifikat passieren:
- Jeder der an den Schlüssel kommt, kann sich auf dem Server anmelden
- der Schlüssel kann beliebig kopiert werden, wenn jmd. Zugriff auf den Client hat.
- Der Schlüssel wird von dem Nutzer im Share abgelegt. Damit ist er natürlich automatisch auch auf dem Server, was nicht so sein sollte.
- Eine Passphrase ist nicht durchsetzbar, da der Nutzer sich nicht noch ein Passwort merken wollen.
Nimmt man dagegen ein halbwegs sicheres Passwort kann das nicht so einfach vervielfältigt oder ausgespäht werden?
Wäre mal interessiert an ein paar "Tipps" zum privaten Schlüssel bzw. zur SSH-Sicherung. Wie gesagt...neue Passwörter sind nicht gerade erwünscht :P
Grüße Gutitm
SlainteMhath schreibt am 08.01.2009 um 11:19:22 Uhr
Hi,
also kurz und prägnant:
ein Privater Schlüssel ohne (sicheres) Passwort ist einen sch wert
lg,
Slainte
also kurz und prägnant:
ein Privater Schlüssel ohne (sicheres) Passwort ist einen sch wert
lg,
Slainte
spacyfreak schreibt am 08.01.2009 um 11:51:37 Uhr
Du kannst den ssh zugang auf knownhosts begrenzen - sprich den public ssh key der zugreifenden ssh clients auf dem ssh server hinterlegen. Dann darf kein anderer der dessen key nicht hinterlegt ist zugreifen. Das muss dann auch in der sshd.config so konfiguriert sein.
SSH Passwort Attacken sind gängig - sinnvoll ist es beispielsweise den ssh port zu ändern z. B. auf 2222 da die online angriffe in aller regel port 22 angreifen.
Private keys sichert man mit einer passphrase, einem passwort. Ferner sind zertifikate so zu sichern dass sich nicht exportierbar sind, dann kann sie auch keiner kopieren incl. private key und wo anders verwenden.
SSH Passwort Attacken sind gängig - sinnvoll ist es beispielsweise den ssh port zu ändern z. B. auf 2222 da die online angriffe in aller regel port 22 angreifen.
Private keys sichert man mit einer passphrase, einem passwort. Ferner sind zertifikate so zu sichern dass sich nicht exportierbar sind, dann kann sie auch keiner kopieren incl. private key und wo anders verwenden.
gutitm schreibt am 08.01.2009 um 12:22:40 Uhr
Hallo,
vielen Dank erstmal für die Antworten. Gibt es weiterführende Infos im Netz oder gute Bücher. Im Google ist es meist oberlächlich a la Schlüssel verwenden.
Wegen dem Kopieren habe ich vor allem Probleme bei OpenVPN....dort kann man einach den Ordner mit den Zertifikaten kopieren und auf einem anderen Rechner nutzen
....so wie man bei SSH einfach die Datei mit dem privaten Schlüssel auf einen anderen Rechner kopieren kann...
Ideen?
vielen Dank erstmal für die Antworten. Gibt es weiterführende Infos im Netz oder gute Bücher. Im Google ist es meist oberlächlich a la Schlüssel verwenden.
Wegen dem Kopieren habe ich vor allem Probleme bei OpenVPN....dort kann man einach den Ordner mit den Zertifikaten kopieren und auf einem anderen Rechner nutzen
....so wie man bei SSH einfach die Datei mit dem privaten Schlüssel auf einen anderen Rechner kopieren kann...Ideen?
Copyright © 2012 Administrator Technology. Alle Inhalte sind unter der Creative Commons BY-SA 3.0 License lizensiert. Release: 3.1 (20120523-01) Load: 0.3766