Ssh-login mit privatem Schlüssel, der dem Server nicht bekannt ist - möglich?
Hallo zusammen und frohe Festtage wünsche ich euch
Beim Versuch, mit meinem Android-Smartphone und der App "JuiceSSH" zu meinem "freesshd-Server" eine Verbindung aufzubauen, bin ich auf die folgende Supportseite von "JuiceSSH" gestoßen, die mich sicherheitstechnisch doch recht verwundert:
https://juicessh.com/faq/how-do-i-generate-an-ssh-key-within-juicessh
Auf der Seite wird beschrieben, wie man smartphoneseits einen SSH-Schlüssel erstellt und diesen auf den SSH-Server hochladen kann, so dass der Key vom Server akzeptiert wird. Nun widerspricht es ja eigentlich dem Sicherheitsgedanken von SSH, dass man selbst als unbekannter User dem Server irgendwelche Schlüssel anbieten kann, mit denen er dann eine Verbindung herstellt - das soll ja gerade nicht der Fall sein.
Oder muss ich die Seite so verstehen - und da würde ich gerne eure Interpretationen hören - dass man zwar mit dem Smartphone den Key erstellt, man zum Hochladen desselben aber eine Verbindung über die Eingabe eines ganz "normalen" Passworts herstellt, wenn da steht, dass "SSH into the desired server. As your private key is not configured yet on the server, JuiceSSH will prompt for password authentication instead". Server sagt sich also: "Schön, dass du mir nen neuen Schlüssel anbietest, aber wenn du mir den über ne Shell mitteilen willst, gib erstmal das Passwort für den User ein".
Wäre über eure Einschätzung der Thematik sehr froh
Beim Versuch, mit meinem Android-Smartphone und der App "JuiceSSH" zu meinem "freesshd-Server" eine Verbindung aufzubauen, bin ich auf die folgende Supportseite von "JuiceSSH" gestoßen, die mich sicherheitstechnisch doch recht verwundert:
https://juicessh.com/faq/how-do-i-generate-an-ssh-key-within-juicessh
Auf der Seite wird beschrieben, wie man smartphoneseits einen SSH-Schlüssel erstellt und diesen auf den SSH-Server hochladen kann, so dass der Key vom Server akzeptiert wird. Nun widerspricht es ja eigentlich dem Sicherheitsgedanken von SSH, dass man selbst als unbekannter User dem Server irgendwelche Schlüssel anbieten kann, mit denen er dann eine Verbindung herstellt - das soll ja gerade nicht der Fall sein.
Oder muss ich die Seite so verstehen - und da würde ich gerne eure Interpretationen hören - dass man zwar mit dem Smartphone den Key erstellt, man zum Hochladen desselben aber eine Verbindung über die Eingabe eines ganz "normalen" Passworts herstellt, wenn da steht, dass "SSH into the desired server. As your private key is not configured yet on the server, JuiceSSH will prompt for password authentication instead". Server sagt sich also: "Schön, dass du mir nen neuen Schlüssel anbietest, aber wenn du mir den über ne Shell mitteilen willst, gib erstmal das Passwort für den User ein".
Wäre über eure Einschätzung der Thematik sehr froh
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 291739
Url: https://administrator.de/contentid/291739
Ausgedruckt am: 28.03.2024 um 14:03 Uhr
5 Kommentare
Neuester Kommentar
letzteres, also "alles ok".
Beim Reinkopieren in die knownhosts des Servers wird ein letztes Mal nach Deinem Passwort gefragt, danach wird es durch eine Passphrase auf dem Client abgelöst.
Oder auch durch "keine Phrase" bei einem unverschlüsselten Zertifikat, da z.B. ein unbeaufsichtigter Zugang eines Backup-Benutzers gewünscht ist.
HG und Frohe Weihnachten!
Mark
Beim Reinkopieren in die knownhosts des Servers wird ein letztes Mal nach Deinem Passwort gefragt, danach wird es durch eine Passphrase auf dem Client abgelöst.
Oder auch durch "keine Phrase" bei einem unverschlüsselten Zertifikat, da z.B. ein unbeaufsichtigter Zugang eines Backup-Benutzers gewünscht ist.
HG und Frohe Weihnachten!
Mark
Moin,
Der publich key muß irgendwie zum Server kommen. Das kann dadurch gescehen, daß manihn per Datenträger dorthin kopuiert oder indem man den key per Netzwerk draufkopiert und sich dabei einer alternativen Authentifikationsmethode bedient. das kann entweder ein anderer User sein, dessen key schon auf dem Serve bekannt ist oder das herkömmliche Username/Paßwort. Man köntne natürlich den key auch unauthentifiziert kopieren lassen, was aber Mißbrauch Tür udn Tor öffnen würde udn deshalbt kaum gemacht wird.
lks
Der publich key muß irgendwie zum Server kommen. Das kann dadurch gescehen, daß manihn per Datenträger dorthin kopuiert oder indem man den key per Netzwerk draufkopiert und sich dabei einer alternativen Authentifikationsmethode bedient. das kann entweder ein anderer User sein, dessen key schon auf dem Serve bekannt ist oder das herkömmliche Username/Paßwort. Man köntne natürlich den key auch unauthentifiziert kopieren lassen, was aber Mißbrauch Tür udn Tor öffnen würde udn deshalbt kaum gemacht wird.
lks