[linux-l] SSH Public Keys

Kendy Kutzner kendy.kutzner at e-technik.tu-chemnitz.de
Mo Jul 1 09:48:00 CEST 2002 

On Sat, Jun 29, 2002 at 05:38:59PM +0200, Tilman Giese wrote:
> ich versuche gerade krampfhaft meine SSH-Authentifikation mit public
> keys hinzubekommen. Und zwar habe ich eine dsa key mit 2048 Bytes
> generiert, so dass mein .ssh-Verzeichnis so aussieht:
> 
>    4 -rw-r--r--    1 www      apache       1112 Jun 29 10:28
> authorized_keys

Laut man page ist diese Datei zwar default fuer erlaubte Schluessel,
benutzt wird aber auch die Datei 'authorized_keys2'. Damit kann man
Protokoll Version 1 Schluessel in authorized_keys packen, Schluessel
fuer Protokoll Version 2 in authorized_keys2. Aber das ist
Geschmackssache, man kann auch alle Schluessel in eine Datei
schreiben, das ist konformer mit der Doku von OpenSSH.

>    4 -rw-r--r--    1 www      apache        850 Jun 29 17:23 known_hosts

Wenn Du es als vertraulich ansiehst mit welchen Rechnern du kommunizierst,
solltest Du diese Datei ebenfalls auf 600 setzen.

> und in meiner sshd_config steht:
> 
>    AuthorizedKeysFile ~/.ssh/authorized_keys

Hier liegt der eigentliche Fehler. Bessere Varianten sind:
- ganz weglassen denn das was Du willst ist sowieso default
- AuthorizedKeysFile .ssh/authorized_keys
- AuthorizedKeysFile %h/.ssh/authorized_keys
- AuthorizedKeysFile /home/%u/.ssh/authorized_keys

Wobei die letzte Variante vermutlich suboptimal ist.

Erklaerung: sshd benutzt nicht die Syntax der Shell um Pfade
aufzuloesen, sondern erkennt nur die Token %u und %h welche durch
Username bzw. Homedir ersetzt werden. Weiterhin sind Pfade entweder
absolut oder relativ zum Heimatverzeichnis. Diese Erklaerung gilt nur
fuer AuthorizedKeysFile.

Weitere Erklaerung: man sshd /AuthorizedKeysFile

Kendy

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20020701/02b541a1/attachment.sig>

Mehr Informationen über die Mailingliste linux-l