Schlüssel › seeseekey.net

Um sich mit einem Rechner per SSH zu verbinden, kann ein Passwort oder ein kryptografisches Schlüsselpaar genutzt werden. Aus Gründen der Sicherheit sollte ein Login über SSH per Passwort im Normalfall nicht möglich sein. Stattdessen sollte sich immer über das Schlüsselpaar identifiziert werden. Dazu wird ein privater und ein öffentlicher Schlüssel generiert. Der öffentliche Schlüssel wird beim Zielserver in der Datei:

.ssh/authorized_keys

hinterlegt. Für die nötigen kryptografischen Operationen wird schließlich der private Schlüssel genutzt, welcher auf dem eigenen Rechner verbleibt. Normalerweise wird so nur ein Schlüsselpaar genutzt. Allerdings kann es durchaus vorkommen, das nicht nur ein Schlüssel, sondern mehrere unterschiedliche Schlüssel für die Verbindung zu unterschiedlichen Servern verwendet werden soll. Diese müssen dann auf dem eigenen Rechner vorgehalten werden. In diesem Fall muss der SSH-Client darüber informiert werden mit welchem Schlüssel die Anmeldung erfolgen soll. Normalerweise würde der Client wie folgt genutzt werden:

ssh root@example.com

In diesem Fall würde der Standardschlüssel aus dem ~/.ssh/-Verzeichnis genutzt werden. Soll nun ein bestimmter Schlüssel genutzt werden so muss der Parameter -i angegeben werden:

ssh -i .ssh/otherkey root@example.org

Damit kann der Schlüssel spezifiziert werden, welcher für die Verbindung genutzt werden soll. Eine andere Möglichkeit ist es für die einzelnen Server eine Konfiguration in der Datei ~/.ssh/config zu hinterlegen.

Host example.com
IdentityFile ~/.ssh/id_rsa

Host example.org
IdentityFile ~/.ssh/otherkey

So können unterschiedliche Schlüssel für unterschiedliche Server genutzt werden.

Normalerweise erzeugt man einen privaten und einen öffentlichen Teil seines SSH-Schlüssels, hinterlegt den öffentlichen Teil auf den entsprechenden Servern und loggt sich mit diesen dort ein. Nun kann es aber durchaus vorkommen, dass man mit unterschiedlichen Schlüsselpaaren arbeiten muss um sich auf verschiedenen Servern einzuloggen. Zur Lösung dieses Problems existieren zwei Herangehensweisen, welche beide mit der SSH-Konfigurationsdatei arbeiten. Die Konfigurationsdatei ist im Home-Verzeichnis der Nutzers unter .ssh/config zu finden ist. Bei der ersten Möglichkeit werden die entsprechenden Schlüssel in der Konfigurationsdatei hinterlegt:

IdentityFile ~/.ssh/id_rsa
IdentityFile ~/.ssh/id_rsa_production
IdentityFile ~/.ssh/id_rsa_test
IdentityFile ~/.ssh/id_rsa_integration

Damit werden bei einem Login auf einem Server die Schlüssel der Reihe nach durchprobiert. Bei der zweiten Möglichkeit wird ein Host pro Server konfiguriert:

Host production production.example.com
    HostName production.example.com
    User root
    IdentityFile ~/.ssh/id_rsa_production
    

Host test test.example.com
    HostName test.example.com
    User root
    IdentityFile ~/.ssh/id_rsa_test

Host integration integration.example.com
    HostName integration.example.com
    User root
    IdentityFile ~/.ssh/id_rsa_integration

In der Konfiguration des Hosts befinden sich neben dem Host auch die zu nutzende Schlüsseldatei. Als weiteren Vorteil kann man die SSH-Verbindung nun über den definierten Kurznamen aufrufen:

ssh production

Dabei wird die Verbindung mit der definierten Schlüsseldatei aufgebaut, so dass ein durchprobieren der unterschiedlichen Schlüssel vermieden wird.

Wer mittels PGP seine Mails verschlüsselt benötigt hierfür einen privaten und einen öffentlichen Schlüssel. Geht der private Schlüssel verloren, so können keine neuen Mails verschlüsselt und bestehende Mails nicht mehr gelesen werden. Deshalb ist es ratsam von dem Schlüssel ein Backup zu machen.

Die GPG Keychain unter Mac OS X

Unter Mac OS X wird dazu die GPG Keychain geöffnet und dort auf den entsprechenden Schlüssel geklickt. Im Kontextmenü muss der Punkt Exportieren ausgewählt werden. In dem sich öffnenden Dialog muss die Checkbox Geheimen Schlüssel ebenfalls exportieren ausgewählt sein. Damit wird der öffentliche und der private Schlüssel in eine ASCII-Datei exportiert, welche anschließend sicher verwahren kann.

Möchte man den privaten SSH Schlüssel welcher mittels des “PuTTY Key Generator” erzeugt wurde auch in der “Git Bash” nutzen, so muss man den Schlüssel in das OpenSSH Format bringen.

Der PuTTY Key Generator

Dazu öffnet man den PuTTY Schlüssel mittels “File” -> “Load private key”. Anschließend wird der Schlüssel über “Conversions” -> “Export OpenSSH key” in eine Datei mit dem Namen “id_rsa” exportiert. Diese Datei wird dann in den Benutzerordner (z.B. “c:\Users\seeseekey\.ssh\” unter Windows 7) gelegt. Anschließend kann der Schlüssel auch unter der Git Bash benutzt werden.

Mittels des Kommandos “ssh-copy-id” ist es ohne weitere Probleme möglich den öffentlichen SSH Schlüssel auf einen entfernten Rechner zu kopieren. Leider gibt es dieses Kommando nicht unter Mac OS X. Dank des Scriptes von devthought kann man dies aber unter Mac OS X nachrüsten. Dazu gibt man folgende Befehle im Terminal ein:

curl -O https://seeseekey.net/wp-content/uploads/2014/12/ssh-copy-id.sh
sudo cp ssh-copy-id.sh /usr/bin/ssh-copy-id
sudo chmod a+x /usr/bin/ssh-copy-id

Danach kann das Kommando benutzt werden:

ssh-copy-id -i ~/.ssh/id_rsa.pub root@example.org

Anschließend sollte man sich ohne Passwort an dem entsprechenden Rechner anmelden können.

seeseekey.net

Invictus Deus Ex Machina

SSH mit mehreren Schlüsseln nutzen

PGP-Schlüssel unter Mac OS X exportieren

PuTTY SSH Schlüssel in OpenSSH Schlüssel umwandeln

ssh-copy-id unter Mac OS X benutzen