Ssh login key zuordnung bei einem benutzer
Hallo liebe Koleginnin und Kolegen.
Folgende Problemstellung:
Es gibt verschiedene Linuxserver (Debian basierend) auf allen ist SSH Login nur per Key möglich.
So weit so gut.
Der Login ist nur zu einem einzigen Benutzer möglich. Also bei diesem Benutzer sind alle Keys in der .ssh/authorized_keys enthalten.
In der Datei kan man die Keys auch wunderbar auseinanderhalten.
Beim Login jedoch steht selbst beim Debug nur der Fingerprint und der Name des Benutzers bei dem sich alle einloggen können drin.
Gewünscht wird zu erkennen wer sich eingelogt hat und dann am besten auch noch was er auf der Konsole gemacht hat.
Um das was auf der Konsole gemacht wurde mache ich mir später gedanken, das im Logangezeigt wird, wer sich da eingelogt hat (also Aufschlüsselung des Fingerprints).
Ich habe schon Google bemüht, aber bis jetzt nichts brauchbares gefunden.
Vielen Dank für Eure Hilfe.
Gruß
Chonta
Es gibt verschiedene Linuxserver (Debian basierend) auf allen ist SSH Login nur per Key möglich.
So weit so gut.
Der Login ist nur zu einem einzigen Benutzer möglich. Also bei diesem Benutzer sind alle Keys in der .ssh/authorized_keys enthalten.
In der Datei kan man die Keys auch wunderbar auseinanderhalten.
Beim Login jedoch steht selbst beim Debug nur der Fingerprint und der Name des Benutzers bei dem sich alle einloggen können drin.
Gewünscht wird zu erkennen wer sich eingelogt hat und dann am besten auch noch was er auf der Konsole gemacht hat.
Um das was auf der Konsole gemacht wurde mache ich mir später gedanken, das im Logangezeigt wird, wer sich da eingelogt hat (also Aufschlüsselung des Fingerprints).
Ich habe schon Google bemüht, aber bis jetzt nichts brauchbares gefunden.
Vielen Dank für Eure Hilfe.
Gruß
Chonta
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 175470
Url: https://administrator.de/contentid/175470
Ausgedruckt am: 28.03.2024 um 10:03 Uhr
5 Kommentare
Neuester Kommentar
Problem 2: z.B. unter Windows mit dem Putty Key Generator. Gibt aber sicherlich noch viel mehr Tools die das können.
Problem 1: Den RSA Kommentar ausgeben zu lassen ist sicher im Standard nicht vorgesehen. Aber man könnte natürlich den Source Code patchen.
Oder das Log durch ein Perl-Skript (oder ähnliches) anzeigen lassen, was die Fingerprints durch Klarnamen ersetzt. Wobei die Kommentare geändert werden können, ohne das die Einwahl sich ändert und dann stehen im Log auf einmal andere Namen drin. Fingerprint ist sicher, der kann nciht einfach geändert werden.
Oder doch verschiedene User machen, die dann per SU auf den Betriebs-User umgeswitcht werden.
Problem 1: Den RSA Kommentar ausgeben zu lassen ist sicher im Standard nicht vorgesehen. Aber man könnte natürlich den Source Code patchen.
Oder das Log durch ein Perl-Skript (oder ähnliches) anzeigen lassen, was die Fingerprints durch Klarnamen ersetzt. Wobei die Kommentare geändert werden können, ohne das die Einwahl sich ändert und dann stehen im Log auf einmal andere Namen drin. Fingerprint ist sicher, der kann nciht einfach geändert werden.
Oder doch verschiedene User machen, die dann per SU auf den Betriebs-User umgeswitcht werden.
Das ist der Kommentar.
Da er für die Arbeit nicht wichtig ist, wird er vom sshd Deamon vermutlich ignoriert. Deswegen kann ich mir auch nicht vorstellen, daß er ausgegeben werden kann.
Außerdem kann der User den Kommentar einfach ändern, was es zur Identifikation untauglich macht, wenn man eine leicht paranoide Einstellung hat. Soweit ich weiß besteht der sshd nämlich auf 600 als Rechte, damit kann der User ändern.
Da er für die Arbeit nicht wichtig ist, wird er vom sshd Deamon vermutlich ignoriert. Deswegen kann ich mir auch nicht vorstellen, daß er ausgegeben werden kann.
Außerdem kann der User den Kommentar einfach ändern, was es zur Identifikation untauglich macht, wenn man eine leicht paranoide Einstellung hat. Soweit ich weiß besteht der sshd nämlich auf 600 als Rechte, damit kann der User ändern.