[linux-l] SSH Public Keys
Kendy Kutzner
kendy.kutzner at e-technik.tu-chemnitz.de
Mo Jul 1 09:48:00 CEST 2002
On Sat, Jun 29, 2002 at 05:38:59PM +0200, Tilman Giese wrote:
> ich versuche gerade krampfhaft meine SSH-Authentifikation mit public
> keys hinzubekommen. Und zwar habe ich eine dsa key mit 2048 Bytes
> generiert, so dass mein .ssh-Verzeichnis so aussieht:
>
> 4 -rw-r--r-- 1 www apache 1112 Jun 29 10:28
> authorized_keys
Laut man page ist diese Datei zwar default fuer erlaubte Schluessel,
benutzt wird aber auch die Datei 'authorized_keys2'. Damit kann man
Protokoll Version 1 Schluessel in authorized_keys packen, Schluessel
fuer Protokoll Version 2 in authorized_keys2. Aber das ist
Geschmackssache, man kann auch alle Schluessel in eine Datei
schreiben, das ist konformer mit der Doku von OpenSSH.
> 4 -rw-r--r-- 1 www apache 850 Jun 29 17:23 known_hosts
Wenn Du es als vertraulich ansiehst mit welchen Rechnern du kommunizierst,
solltest Du diese Datei ebenfalls auf 600 setzen.
> und in meiner sshd_config steht:
>
> AuthorizedKeysFile ~/.ssh/authorized_keys
Hier liegt der eigentliche Fehler. Bessere Varianten sind:
- ganz weglassen denn das was Du willst ist sowieso default
- AuthorizedKeysFile .ssh/authorized_keys
- AuthorizedKeysFile %h/.ssh/authorized_keys
- AuthorizedKeysFile /home/%u/.ssh/authorized_keys
Wobei die letzte Variante vermutlich suboptimal ist.
Erklaerung: sshd benutzt nicht die Syntax der Shell um Pfade
aufzuloesen, sondern erkennt nur die Token %u und %h welche durch
Username bzw. Homedir ersetzt werden. Weiterhin sind Pfade entweder
absolut oder relativ zum Heimatverzeichnis. Diese Erklaerung gilt nur
fuer AuthorizedKeysFile.
Weitere Erklaerung: man sshd /AuthorizedKeysFile
Kendy
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: nicht verfügbar
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20020701/02b541a1/attachment.sig>
Mehr Informationen über die Mailingliste linux-l