[linux-l] Passwort bei rsync

Mi Okt 5 00:26:44 CEST 2011

Am 02.10.2011 11:31, schrieb Marek Froehlich:

> ... Wir k�nnen ja
> Verbesserungsvorschl�ge sammeln und Volker "spielt" den
> boesen root-admin auf A, der schlimme Dinge auf B mit rsync
> anstellen will ;-)

Ich will mitspielen! Au fein ja Volker lass uns spielen!
Das Ergebnis passt dann sicher noch auf eine Seite auf meinen 
ssh-Vortrag; da fällt mir ein den wollte ich ja noch online stellen...

> Ein alternativer Ansatz w�re ein rsync-Daemon auf B laufen
> zu lassen - pruefe ich auch mal.
>
>> Hat diese Konstruktion irgendeinen Vorteil gegenüber dem
>> Eintragen des SSH-Keys direkt für den Root-Account?

Ja, Du machst es Volker viel leichter :)

> [...]
>>> root at A:/root/keys ssh-keygen -v -t dsa -f rsync-key
>>
>> Hier kann man statt "-t dsa" auch "-t rsa" verwenden. Das
>> soweit ich weiß Geschmackssache. Soweit mir bekann ist, weiß
>> noch keiner genau, welches dieser Verfahren sicherer ist.
> [...]
>> Oder gibt es inzwischen schon Erkenntnisse, dass eines von
>> beiden sicherer ist?
>
> Keine Ahnung, bin kein Sicherheitsexperte. Gibts dazu Meinungen
> auf der Liste?

Ich fange mal damit an:

http://serverfault.com/questions/40071/ssh-keypair-generation-rsa-or-dsa/40075#40075

Der ganze thread ist gut, nicht nur der direkter Link auf eine der sehr 
guten Antworten. Im Endeffekt geht es um die "Kosten" einen Schlüssel zu 
brechen.
Und da ist es wie im wahren Leben auch: Die Länge macht den Unterschied, 
nicht der Algorithmus. (zumindest hier in diesen Vergleich stimmt das)

Da DSA den "längeren" hat könnte man jetzt hingehen und sagen das DSA 
besser ist. Andererseits, wer aber schon mal versucht hat, mit einem 
4096 bit Schlüssel auf einem 100Mhz Router per ssh einen Login zu 
versuchen, kann auch ein Lied von "Überlänge" singen. Lied? Ach was, 
Lieder, ganze Arien.. zumindest hat man die Zeit dazu, während man auf 
seinen Login wartet.

Von daher mein Rat: Wissen anlesen und dann für sich entscheiden wie 
viel "Sicherheit" man wirklich durch einen längeren Schlüssel bekommt.

Meine persönliche Meinung:
Nach Lektüre erkennt man eigentlich schnell das man auf einem viel zu 
hohen Niveau nachdenkt, da es viel zu viele Sicherheitslücken gibt die 
sich viel einfacher ausnutzen lassen. Für fast alle Standardfälle ist 
die Standardeinstellung von ssh also gut genug.

Eine gute Erklärung zu rsa/dsa gibt auch ibm developerworks:
http://www.ibm.com/developerworks/library/l-keyc/index.html

(Eine auch ansonsten zu empfehlende Quelle für Lesestoff an langen 
Winterabenden..)

hth Lutz

>
> Mit freundlichen Gr��en
>
> Marek Fr�hlich