SSH-Key nachträglich via SSH mit Passwort

Felix Hosenseidl (itMotions) felix.hosenseidl at itmotions.de
Mi Jun 14 02:44:41 CEST 2017 

Hallo Freifunker

Mir sind - ich glaube - Dokumentationslücken oder -fehler aufgefallen. Oder ich mache etwas falsch.


Was wollte ich erreichen?
----------------------
Knoten, die für die Fernwartung per SSH lediglich ein Passwort hinterlegt haben, mit öffentlichem SSH-Schlüssel ausstatten und Login per Passwort deaktivieren. = Sicherheit verbessern gemäss mehrfach gelesener Empfehlung.



Was habe ich gemacht?
----------------------
Schlüsselpaar geniert gemäss fehlerhafter, nicht ganz vollständiger Anleitung. Mit zusätzlichem Passwortschutz [1]

öffentlichen Schlüssel auf dem Router hinterlegt, wie hier beschrieben [2]

Soweit so gut, Login mit SSH-Key funktioniert. Nicht ohne Passwort zur Aktivierung des Schlüssels - aber ok.


Was ist mir aufgefallen?
----------------------
Sobald ich keinen privaten Schlüssel habe, wird beim login (ssh root@<ip>) wieder das ursprüngliche Passwort abgefragt. Und damit kann ich mich auch einloggen. Gemäss Beschreibung im Wiki [2] müsste dieser Login aber deaktiviert sein: „<snip> aber anschließend nutzen alle Logins den Schlüssel. <snip>“

Ok - dachte ich mir - Passwort leeren, wie es in der Web-Oberfläche auch geht. Anleitung hier gefunden [3].
Aber GEFÄHRLICH - gebe ich hier kein Passwort ein (drücke nur Enter) - ist anschließend tatsächlich ein leeres Passwort hinterlegt und Einloggen ist auch nur mit Enter möglich.


GEFÄHRLICHER Sachverhalt, wie ich finde. Hier habe ich die Lösung gefunden [4] und nach Tests den Wiki-Artikel aktualisiert: [5]



Das war mein erste Beitrag im Wiki - ich hoffe, ich habe nicht gegen irgend welche Regeln verstoßen etc. - Bin offen für Kritik.





[1] https://www.mittwald.de/blog/mittwald/howtos/ssh-key-erstellen
[2] https://wiki.freifunk.net/Konsole#Nachtr.C3.A4gliches_Hinterlegen_eines_SSH.E2.80.93Schl.C3.BCssels_.28MacOS_und_Linux.29
[3] https://ffmuc.net/wiki/p/Routerkonfiguration_via_SSH#Passwort_.C3.A4ndern
[4] https://wiki.freifunk-stuttgart.net/anleitungen:howto_router-einstellungen-ueber-ssh-aendern#passwort_entfernen
[5] https://wiki.freifunk.net/index.php?title=Konsole&diff=40923&oldid=40491



--
itMotions Felix Hosenseidl
Reinhard-Booz-Strasse 14, 79249 Freiburg-Merzhausen
mobile: +49 179 2993 572


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 842 bytes
Beschreibung: Message signed with OpenPGP
URL         : <http://lists.ff3l.net/pipermail/ff3l/attachments/20170614/c8be8bb6/attachment.sig>

Mehr Informationen über die Mailingliste ff3l