linux-l: Wer hat SSH richtig verstanden...,

Alexander Stielau aleks at sailtraining.de
Mi Sep 12 22:59:53 CEST 2001


Mike Fehla <mike.fehla at gmx.de> writes:

> Mit Host-Key meinst dann den pub-key, über den dann auch der Client
> verfügt, richtig?

Nein. Der Rechner selbst verfügt über ein Paar Keys, eben
Hostkeys. Jeder Benutzer zusätzlich über sein eigenes,
userspezifischen Schlüsselpaar (oder mehrere). 
Der User /kann/ auf unterschiedlichen Umgebungen immer das gleiche
persönliche Schlüsselpaar verwenden, wenn er möchte.

> > ob yourserver.de wirklich der echte ist, oder ob ein Attacker das
> > DNS manipuliert hat, und ein ManInTheMiddle konstruiert.
> 
> Beim ersten Verbindungsaufbau ist das aber kein notwendiges Kriterium,
> denn dann kommt folgender Kommentar:
> 
> The authenticity of host 'hyper (192.168.100.9)' can't be established.
> RSA key fingerprint is [bla bla ...]
> Are you sure you want to continue connecting (yes/no)?

Und wenn sich dieser einmal gemerkte ändert, meckert ssh beim
Verbindungsaufbau oder läßt ihn nicht zu (strict_checking).

Dann ist mindestens der passende Key manuell in ~/.ssh/known_hosts zu
löschen, wenn nicht sogar noch in /etc/ssh/known_hosts - je nach dem,
wie paranoid man ssh konfiguriert.

> Also muß nicht jeder Nutzer auf dem Server sein Schlüsselpaar mittels
                                      ^^^^^^
Nein, auf seiner Workstation und dann den pub-key per scp übertragen.

Aleks
-- 

Vorsorge ist besser als Nachtschicht.



Mehr Informationen über die Mailingliste linux-l