ubuntuusers.de

Ich möchte in meinem lokalen Netz zwei Rechner per SSH ohne Passwort verbinden. Eine Sync-Software soll diese SSH-Verbindung automatisiert (also ohne Passwortabfrage) nutzen können.

Alle Anleitungen die ich bisher finde, raten für das per ssh-keygen generierte Schlüsselpaar eine Passphrase anzugeben. Die Erklärung ergibt sicherheitstechnisch für mich zwar Sinn. Vom ganz praktischen Standpunkt aus gesehen, führt es die Benutzung eines ssh-keys aber ad absurdum. Ich mache das ja, damit ich keine Passwörter (oder ähnliches) mehr eingeben muss.

1. Ist es den so fatal, keine Passphrase anzugeben?

2. Welchen Vorteil hat das Vorgehen mit Passphrase und key, gegenüber einer regulären ssh-Verbindung ohne key, wo ich nur ein Passwort eingebe?

Das Passwort schützt den Key halt, wenn er in fremde Hände gerät. Wenn das extrem unwahrscheinlich ist oder der Zugriff auf das damit verbundene System extrem limitiert (Heimserver lässt nur Verbindungen aus dem LAN zu), ist es eher vernachlässigbar. Steht der Rechner mit dem Key jedoch öfter ungeschützt und unbeobachtet herum (Arbeitsplatz, Laptop, Du sperrst nicht reflexartig Deinen Bildschirm, wenn Du ihn verlässt etc.) oder der Key ist auf einem USB-Stick, den Du dauernd herumträgst, ist das Passwort ungleich wichtiger.

MoonKid schrieb:

Ich mache das ja, damit ich keine Passwörter (oder ähnliches) mehr eingeben muss.

Das ist eine Anwendung von Public Keys. Oft geht es aber auch darum, dass diese Keys kryptografisch meist weitaus stärkere Passphrasen darstellen als herkömmliche Passphrasen, die der Mensch sich merken und häufig eintippen können muss.

MoonKid schrieb:

Vom ganz praktischen Standpunkt aus gesehen, führt es die Benutzung eines ssh-keys aber ad absurdum. Ich mache das ja, damit ich keine Passwörter (oder ähnliches) mehr eingeben muss.

Nein. Das mit den Schlüsseln macht man nicht, damit man keine Passwörter mehr eingeben muss, sondern weil es die Sicherheit erhöht.

1. Ist es den so fatal, keine Passphrase anzugeben?

Kommt drauf an.

1. Welchen Vorteil hat das Vorgehen mit Passphrase und key, gegenüber einer regulären ssh-Verbindung ohne key, wo ich nur ein Passwort eingebe?

Eine SSH-Verbindung ohne Schlüssel kann recht „einfach“ geknackt werden – es reicht das Passwort zu erraten oder mit Brute-Force zu finden. Und da viele Benutzer vergleichweise einfache Passwörter verwenden (ist bequemer) …

Einen SSH-Key kann man nicht so einfach erraten, da braucht man schon die Datei. Wenn du das zuhause machst spricht wohl nicht so viel dagegen dabei auf ein Passwort zu verzichten, wenn du den Key aber auch auf einem Laptop verwendest, der auch mal das Haus verlässt etc, dann willst du diesen Schlüssel selbst nochmals mit einem Passwort versehen. Im Prinzip wird dein Schlüssel dann mit deinem Passwort verschlüsselt und verschlüsselt auf der Festplatte gespeichert – ohne dein Passwort ist die Schlüsseldatei dann wertlos, bzw kann erst nach erraten des Passwortes verwendet werden → das gibt dir Zeit den Schlüssel von den Servern zu entfernen bevor jemand unbefugtes Zugriff erlangen kann.

~jug