4
Wie schützt man am besten den privaten Schlüssel (private Key)?
Hallo,
wir nutzen bei uns hier einen Linux-Server mit Win-Clients. Die Profile sind auf dem Server gespeichert.
Nun ist der Shell-Login natürlich nur per SSH möglich und es soll zertifikatsbasiert sein. Daher liegt ja nun der private Schlüssel auf der Festplatte. Meine Frage nun:
Ist das wirklich soviel sicherer wie eine Passwortanmeldung? Das kann mit einem Zertifikat passieren:
- Jeder der an den Schlüssel kommt, kann sich auf dem Server anmelden
- der Schlüssel kann beliebig kopiert werden, wenn jmd. Zugriff auf den Client hat.
- Der Schlüssel wird von dem Nutzer im Share abgelegt. Damit ist er natürlich automatisch auch auf dem Server, was nicht so sein sollte.
- Eine Passphrase ist nicht durchsetzbar, da der Nutzer sich nicht noch ein Passwort merken wollen.
Nimmt man dagegen ein halbwegs sicheres Passwort kann das nicht so einfach vervielfältigt oder ausgespäht werden?
Wäre mal interessiert an ein paar "Tipps" zum privaten Schlüssel bzw. zur SSH-Sicherung. Wie gesagt...neue Passwörter sind nicht gerade erwünscht :P
Grüße Gutitm
wir nutzen bei uns hier einen Linux-Server mit Win-Clients. Die Profile sind auf dem Server gespeichert.
Nun ist der Shell-Login natürlich nur per SSH möglich und es soll zertifikatsbasiert sein. Daher liegt ja nun der private Schlüssel auf der Festplatte. Meine Frage nun:
Ist das wirklich soviel sicherer wie eine Passwortanmeldung? Das kann mit einem Zertifikat passieren:
- Jeder der an den Schlüssel kommt, kann sich auf dem Server anmelden
- der Schlüssel kann beliebig kopiert werden, wenn jmd. Zugriff auf den Client hat.
- Der Schlüssel wird von dem Nutzer im Share abgelegt. Damit ist er natürlich automatisch auch auf dem Server, was nicht so sein sollte.
- Eine Passphrase ist nicht durchsetzbar, da der Nutzer sich nicht noch ein Passwort merken wollen.
Nimmt man dagegen ein halbwegs sicheres Passwort kann das nicht so einfach vervielfältigt oder ausgespäht werden?
Wäre mal interessiert an ein paar "Tipps" zum privaten Schlüssel bzw. zur SSH-Sicherung. Wie gesagt...neue Passwörter sind nicht gerade erwünscht :P
Grüße Gutitm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105462
Url: https://administrator.de/contentid/105462
Printed on: April 25, 2024 at 00:04 o'clock
4 Comments
Latest comment
Hi,
also kurz und prägnant:
ein Privater Schlüssel ohne (sicheres) Passwort ist einen sch wert
lg,
Slainte
also kurz und prägnant:
ein Privater Schlüssel ohne (sicheres) Passwort ist einen sch wert
lg,
Slainte
Du kannst den ssh zugang auf knownhosts begrenzen - sprich den public ssh key der zugreifenden ssh clients auf dem ssh server hinterlegen. Dann darf kein anderer der dessen key nicht hinterlegt ist zugreifen. Das muss dann auch in der sshd.config so konfiguriert sein.
SSH Passwort Attacken sind gängig - sinnvoll ist es beispielsweise den ssh port zu ändern z. B. auf 2222 da die online angriffe in aller regel port 22 angreifen.
Private keys sichert man mit einer passphrase, einem passwort. Ferner sind zertifikate so zu sichern dass sich nicht exportierbar sind, dann kann sie auch keiner kopieren incl. private key und wo anders verwenden.
SSH Passwort Attacken sind gängig - sinnvoll ist es beispielsweise den ssh port zu ändern z. B. auf 2222 da die online angriffe in aller regel port 22 angreifen.
Private keys sichert man mit einer passphrase, einem passwort. Ferner sind zertifikate so zu sichern dass sich nicht exportierbar sind, dann kann sie auch keiner kopieren incl. private key und wo anders verwenden.
Hallo,
vielen Dank erstmal für die Antworten. Gibt es weiterführende Infos im Netz oder gute Bücher. Im Google ist es meist oberlächlich a la Schlüssel verwenden.
Wegen dem Kopieren habe ich vor allem Probleme bei OpenVPN....dort kann man einach den Ordner mit den Zertifikaten kopieren und auf einem anderen Rechner nutzen
....so wie man bei SSH einfach die Datei mit dem privaten Schlüssel auf einen anderen Rechner kopieren kann...
Ideen?
vielen Dank erstmal für die Antworten. Gibt es weiterführende Infos im Netz oder gute Bücher. Im Google ist es meist oberlächlich a la Schlüssel verwenden.
Wegen dem Kopieren habe ich vor allem Probleme bei OpenVPN....dort kann man einach den Ordner mit den Zertifikaten kopieren und auf einem anderen Rechner nutzen
....so wie man bei SSH einfach die Datei mit dem privaten Schlüssel auf einen anderen Rechner kopieren kann...Ideen?
Genaugenommen hat ein privater Key kein Passwort, sondern nur der Storage Selbigen.
