SSH-Key nachträglich via SSH mit Passwort
Felix Hosenseidl (itMotions)
felix.hosenseidl at itmotions.de
Mi Jun 14 02:44:41 CEST 2017
Hallo Freifunker
Mir sind - ich glaube - Dokumentationslücken oder -fehler aufgefallen. Oder ich mache etwas falsch.
Was wollte ich erreichen?
----------------------
Knoten, die für die Fernwartung per SSH lediglich ein Passwort hinterlegt haben, mit öffentlichem SSH-Schlüssel ausstatten und Login per Passwort deaktivieren. = Sicherheit verbessern gemäss mehrfach gelesener Empfehlung.
Was habe ich gemacht?
----------------------
Schlüsselpaar geniert gemäss fehlerhafter, nicht ganz vollständiger Anleitung. Mit zusätzlichem Passwortschutz [1]
öffentlichen Schlüssel auf dem Router hinterlegt, wie hier beschrieben [2]
Soweit so gut, Login mit SSH-Key funktioniert. Nicht ohne Passwort zur Aktivierung des Schlüssels - aber ok.
Was ist mir aufgefallen?
----------------------
Sobald ich keinen privaten Schlüssel habe, wird beim login (ssh root@<ip>) wieder das ursprüngliche Passwort abgefragt. Und damit kann ich mich auch einloggen. Gemäss Beschreibung im Wiki [2] müsste dieser Login aber deaktiviert sein: „<snip> aber anschließend nutzen alle Logins den Schlüssel. <snip>“
Ok - dachte ich mir - Passwort leeren, wie es in der Web-Oberfläche auch geht. Anleitung hier gefunden [3].
Aber GEFÄHRLICH - gebe ich hier kein Passwort ein (drücke nur Enter) - ist anschließend tatsächlich ein leeres Passwort hinterlegt und Einloggen ist auch nur mit Enter möglich.
GEFÄHRLICHER Sachverhalt, wie ich finde. Hier habe ich die Lösung gefunden [4] und nach Tests den Wiki-Artikel aktualisiert: [5]
Das war mein erste Beitrag im Wiki - ich hoffe, ich habe nicht gegen irgend welche Regeln verstoßen etc. - Bin offen für Kritik.
[1] https://www.mittwald.de/blog/mittwald/howtos/ssh-key-erstellen
[2] https://wiki.freifunk.net/Konsole#Nachtr.C3.A4gliches_Hinterlegen_eines_SSH.E2.80.93Schl.C3.BCssels_.28MacOS_und_Linux.29
[3] https://ffmuc.net/wiki/p/Routerkonfiguration_via_SSH#Passwort_.C3.A4ndern
[4] https://wiki.freifunk-stuttgart.net/anleitungen:howto_router-einstellungen-ueber-ssh-aendern#passwort_entfernen
[5] https://wiki.freifunk.net/index.php?title=Konsole&diff=40923&oldid=40491
--
itMotions Felix Hosenseidl
Reinhard-Booz-Strasse 14, 79249 Freiburg-Merzhausen
mobile: +49 179 2993 572
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 842 bytes
Beschreibung: Message signed with OpenPGP
URL : <http://lists.ff3l.net/pipermail/ff3l/attachments/20170614/c8be8bb6/attachment.sig>
Mehr Informationen über die Mailingliste ff3l