Page 1 of 1

Next - Dropbear - ssh keyfile

Posted: Fri Aug 08, 2008 15:34
by type5demonlord
Hallo,
erstmal geil das das alles funktioniert. Großes Lob an die Macher der Extensions.

Kurze Frage: Weiß jemand ob ein keyfile für den dropbear unterstützt wird? Und wenn ja, wie kann ich eins erzeugen und wo muss ich es hinkopieren?

Danke
-Matthias

Re: Next - Dropbear - ssh keyfile

Posted: Thu Aug 14, 2008 7:26
by lochness
Ich habe zwar das Paket rausgegeben, aber ehrlich gesagt, weiss ich nicht genau, was Du meinst, da ich von Dropbear auch wenig Ahnung habe :). Bitte beschreibe mal genauer, was Dir da fehlt.

Re: Next - Dropbear - ssh keyfile

Posted: Thu Aug 14, 2008 14:19
by zaphod42
lochness wrote:Ich habe zwar das Paket rausgegeben, aber ehrlich gesagt, weiss ich nicht genau, was Du meinst, da ich von Dropbear auch wenig Ahnung habe :). Bitte beschreibe mal genauer, was Dir da fehlt.


Hi Nessie,

bei SSH hast Du verschiedene Möglichkeiten, den Benutzer am Zielhost zu authentifizieren. Einmal geht das wie gewohnt über Login und Passwort und außerdem hast Du die Möglichkeit die Authentifizierung über sogenannte ssh keys (oder auch Zertifikate) zu machen. Die bessere und sichere Variante ist die über Key-Files. Dazu wird z.b. auf dem Client ein Key pair (public und private) erzeugt. Der public Key gehört dann auf den Zielhost in das Verzeichnis $HOME/.ssh und mit dem private Key (der auf dem Client ist) meldest Du Dich dann am Zielhost (via sshd) an. Der private Key ist dann üblicherweise mit einer Passphrase geschützt, die man beim Login auf dem Client eingeben muss, welche aber nicht an den Zeilhost übertragen wird.

Die Frage war wohl nun, ob der dropbear diese key files unterstützt. Kann ich aber auch nicht beantworten, da ich dieses Paket nicht einsetze. Ich vermute aber mal, dass er es kann... :wink:

Cheers,
Zap

Re: Next - Dropbear - ssh keyfile

Posted: Thu Aug 14, 2008 15:33
by hennesk
es gäbe beim AMS150 allerdings Probleme, da per default alle via Web-Interface angelegten Benutzer
das gleiche Home-Verzeichnis /mnt in /etc/passwd eingetragen bekommen. Damit hätten alle
Benutzer das gleiche $HOME/.ssh Verzeichnis so wie schon jetzt für alle Benutzer das gleiche
$HOME/.profile gilt.

hennesk

Re: Next - Dropbear - ssh keyfile

Posted: Thu Aug 14, 2008 15:55
by zaphod42
Hi hennesk,

da hast Du natürlich Recht. Aber wenn ich einem anderen User SSH Zugang zu meinem AMS erlauben würde, dann würde ich den User auch nicht per Web-Interface anlegen, sondern mal ganz geschmeidig zu telnet (oder putty) greifen und das in der Console erledigen... :wink:

Cheers,
Zap

Re: Next - Dropbear - ssh keyfile

Posted: Thu Aug 14, 2008 15:58
by lochness
Wenn ich das richtig verstehe, muss man doch sowieso manuell auf dem AMS per Console eingreifen. dan könnte man doch auch das Homedirectory des Users umsetzen, oder für Dropbear-Zugang einen neuen User anlegen, mit eigenem Homedirectory (wäre wohl besser).

Die Dropbear-Implementierung, die ich genommen habe, steht aber in der readme, vielleicht bekommt ihr ja raus, wie man das konfigurieren muss und könnt es hier posten. Vor Montag komme ich leider nicht dazu, was nachzusehen.

Re: Next - Dropbear - ssh keyfile

Posted: Thu Aug 14, 2008 16:05
by zaphod42
lochness wrote:Wenn ich das richtig verstehe, muss man doch sowieso manuell auf dem AMS per Console eingreifen. dan könnte man doch auch das Homedirectory des Users umsetzen, oder für Dropbear-Zugang einen neuen User anlegen, mit eigenem Homedirectory (wäre wohl besser).


Mein reden...(s.o.) :wink:

Die Dropbear-Implementierung, die ich genommen habe, steht aber in der readme, vielleicht bekommt ihr ja raus, wie man das konfigurieren muss und könnt es hier posten. Vor Montag komme ich leider nicht dazu, was nachzusehen.


Ich auch nicht... mein AMS ist seit meinem Umzug nicht einmal angeschlossen...

Cheers,
Zap

Re: Next - Dropbear - ssh keyfile

Posted: Thu Aug 14, 2008 19:58
by lochness
zaphod42 wrote:
lochness wrote:Wenn ich das richtig verstehe, muss man doch sowieso manuell auf dem AMS per Console eingreifen. Dann könnte man doch auch das Homedirectory des Users umsetzen, oder für Dropbear-Zugang einen neuen User anlegen, mit eigenem Homedirectory (wäre wohl besser).

Mein reden...(s.o.) :wink:
Ups :oops:, da haben wir wohl fast zeitgleich die gleiche Idee gehabt :)... Komisch, sonst bekommt man im Forum doch angezeigt, wenn ein anderer gepostet hat, während man schreibt :? ...

Re: Next - Dropbear - ssh keyfile

Posted: Mon Aug 18, 2008 10:17
by type5demonlord
Hallo,
danke schon mal für die vielen Antworten. Unterstützen tut das Teil es auf jeden Fall, da man bei den Startoptionen des dropbears ja auch die (unsichereren) Password-Logins deaktivieren kann und somit nur noch die keyfile-authentification zulässt. Das Problem, wie es auch jetzt konkretisiert wurde, ist, wo kommt das authorized_keys2-file hin und wie löst man das Problem mit den User<->Homedirectory-Mapping

Gruß
-Matthias

Re: Next - Dropbear - ssh keyfile

Posted: Mon Aug 18, 2008 21:35
by hennesk
ich habe mal probeweise bei einem normalen Benutzer-Account das home-Verzeichnis geändert.
Dadurch konnte man zwar ein individuelles ".profile" anlegen, das von FSC mitgelieferte ftpd
lief aber nicht mehr richtig, da die entscheidenden Zugriffs-Rechte im file "/mnt/.ftpd.conf"
abgelegt sind. Selbst eine Kopie dieser Datei in das neue home-Verzeichnis bringt keine Lösung.
Hier hilft nur ein neues offenes ftpd-Programm.

hennesk

Re: Next - Dropbear - ssh keyfile

Posted: Mon Aug 18, 2008 21:45
by lochness
Danke für den Test. Vielleicht können die Benutzer trotzdem damit leben? Ich meine, wer macht schon sicheres SSH mit einem Keyfile und macht dann mit dem gleichen User unsicheres ftp? Da könnte man dann doch auch scp verwenden. Funktioniert das denn dann mit dem Keyfile, wenn man das Homedirectory umlegt?

Ein offenes ftpd Programm nützt aber auch nichts, oder? Würde das denn mit den Zugriffsrechten laufen? Weil doch alle Ordner und Dateien für User, Group und World Lese- und Schreibberechtigung im Linux-Dateisystem haben. Wir hatten vsftp (ohne SSL) und andere mal evaluiert, unserer Ansicht nach was das nichts, da müsste man erst Teile des FSC ftpd integrieren, oder zumindest eine Konfiguration schaffen.

Re: Next - Dropbear - ssh keyfile

Posted: Mon Aug 18, 2008 22:33
by type5demonlord
Korrekt, auf ftp könnte man verzichten.

-M.