Ssh
Inhaltsverzeichnis
ssh
Wie man ssh einrichtet und konfiguriert in inzwischen bestens dokumentiert. Bei diesem Beitrag geht es vielmehr um nicht alltägliche Anwendungen und Probleme, die einen Admin sonst in den Wahnsinn treiben können.
private/public Key Authentifizierung
Bei der Erstellung der Keys ist zu beachten, dass man keine rsa1 Keys mehr verwenden sollte. Weiterhin funktioniert nicht jede Key-Länge mit jeder Plattform. Die neueren OpenSSH Versionen lassen inzwischen bei ssh-keygen auch keine absonderlichen Längen mehr zu, die zu Problemen führen können. Es können wohl aber alte Keys unter ssh noch verwendet werden.
DSA Keys
DSA Keys mit mehr als 1024 Bit funktionieren z.B. unter OpenBSD Servern nicht. Ein DSA Key wird wie folgt erzeugt:
ssh-keygen -t dsa
Früher ging da auch die Option -t 4096, das waren auch durchaus gütige Keys, die auch unter Linux und Solaris funktionieren, nicht aber unter OpenBSD.
RSA Keys
Ein RSA2 Key wird wie folgt erzeugt:
ssh-keygen -t rsa
Die Option -t rsa1 sollte nicht benutzt werden, damit werden sonst RSA1 Keys erzeugt, die nicht mehr benutzt werden sollten.
Troubleshooting
Auf dem Server sollten folgende Rechte eingestellt sein:
$ ls -la ~/.ssh drwx------ 2 user user 512 May 20 09:50 . drwxr-xr-x 3 user user 512 May 20 11:07 .. -rw------- 1 user user 1462 May 20 11:34 authorized_keys
Im "strict" Mode können andere Rechte dazu führen, dass der SSH Server das Keyfile nicht verwendet.
Mit
sshd -d
kann man den sshd im Debugmode starten. Erscheint da dann irgendwo eine Meldung "signature error", so lässt das auf einen kaputten Key schließen. Ursache können sein:
- Line Breaks im Keys
- Ein unzulässiger Key, evtl. zu langer DSA Key (s.o.)
