Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- open:it:ssh [2024/12/22 13:10] – k@i
+++ open:it:ssh [2025/04/08 13:46] (aktuell) – [SSH-Key unter Linux generieren] k@i
@@ Zeile 25: / Zeile 25: @@
 b = Schlüssellänge (hier 4096 Bit) \\
-Schlüssel liegt automatisch im (versteckten) Verzeichnis ~/.ssh/ \\
+Sofern nicht anders angegeben, liegt der neue Schlüssel automatisch im (versteckten) Verzeichnis ~/.ssh/ \\
-Den Schlüssel ohne Passwort zu generieren, vereinfacht das Login, da dann später kein Passwort mehr angegeben werden muss. Wird der private Schlüssel zu einem anderen System transferiert, z.B. per E-Mail – **keine gute Idee!** — birgt das Abhör-Gefahren.
+Den Schlüssel ohne Passwort zu generieren, vereinfacht das spätere Login, da dann kein Passwort mehr angegeben werden muss. Die 2FA wird aber empfohlen.\\
+Soll der private Schlüssel auf ein anderes Systeme kopiert werden, um ihn auch von dort nutzen zu können: Auf dem neuen System müssen die Zugriffsrechte genauso eingeschränkt werden. Anderfalls gibt es Verbindungsprobleme.\\
+privater Schlüssel: .ssh/id_rsa -rw------- Owner & Group = User \\
+öffentl. Schlüssel: .ssh/id_rsa.pub -rw-r--r-- Owner & Group = User \\
 <WRAP important>
-**Der private Schlüssel muss unbedingt vor fremdem Zugriff geschützt bleiben!**
+**Der private Schlüssel muss unbedingt vor fremdem Zugriff geschützt bleiben!** \\
+Das betrifft auch den Transfer der Dateien (USB-Stick, E.Mail, etc.) \\
+Versand per E-Mail nur mit verschlüsselter E-Mail! \\
 </WRAP>
-Es werden 2 Dateien angelegt:
+Bei der Erstellung werden 2 Dateien angelegt:
   * id_rsa (privater Schlüssel)
   * id_rsa.pub (öffentlicher Schlüssel)
@@ Zeile 37: / Zeile 43: @@
 Der öffentliche Schlüssel wird auf das entfernte System übertragen, auf das zugegriffen werden soll. \\
 Der private Schlüssel bleibt auf dem lokal System, auf dem er generiert wurde. Für jedes weitere (lokale) System sollte jeweils ein eigener Schlüssel generiert werden.\\
+Werden privater und öffentllicher Schlüssel auf einen anderen PC kopiert, kann auch von dort aus auf die Server zugegriffen werden - ohne das der öffentliche Schlüssel neu auf diese Server übertragen werden muss. \\
 Zur Übertragung auf einen Server muss der User bereits dort angelegt sein und der Zugriff ohne Schlüssel (mit Passwort) muss temporär freigegeben werden. \\
@@ Zeile 124: / Zeile 131: @@
   logpath = /var/log/auth.log
   maxretry = 3
+Über die Zeit-Parameter in der Datei /etc/fail2ban/jail.local lässt es sich steuern: \\
+# "bantime" is the number of seconds that a host is banned. \\
+# Beispiel: Sperrung(banned) für 1 Stunde, wenn maxrtry innerhalb findtime erreicht wurde \\
+**bantime = 3600** \\
+# A host is banned if it has generated "maxretry" during the last "findtime" \\
+# Beispiel: Zeit (hier 3 Minuten). \\
+**findtime = 180** \\
+# "maxretry" is the number of failures before a host get banned. \\
+**maxretry = 5** \\
 Installieren
@@ Zeile 156: / Zeile 173: @@
 ==== Login über Linux-Shell ====
-Login mit Passwort oder wenn der key im <REMOTEHOST> hinterlegt ist:
+Login mit Passwort:
   ssh <USER>@<REMOTEHOST>
-<USER>@ kann weggelassen werden, wenn entfernter <USER> mit dem lokalen Usernamen übereinstimmt.
+<USER>: Benutzername auf Remote-Host. <USER>@ kann weggelassen werden, wenn entfernter <USER> mit dem lokalen Usernamen übereinstimmt. \\
+<REMOTEHOST>: IP-Adresse des Remote-Host
-Beim ersten Login, wenn der public-key noch nicht auf dem Server ist oder dieser sich geändert hat, muss dieser im Remote-Server registriert werden. Entweder wie oben beschrieben mit (ssh-copy-id ...) oder mit folgender Methode:
+Login mit Key wenn der key im <REMOTEHOST> bereits hinterlegt ist:
-  ssh -i ~/.ssh/id_rsa <USER>@<REMOTEHOST>
+  ssh -i <KEY_PFAD> <USER>@<REMOTEHOST>
+<KEY_PFAD> z.B.: .ssh/id_rsa \\
+Standardpfad für den Key ist: .ssh/id_rsa wenn er dort liegt, kann "-i <KEY_PFAD>" weggelassen werden. \\
+i = identity_file \\
-  * ~/.ssh/id_rsa = (relativer) Pfad und Name privater Schlüssel
+Beim ersten Login, wenn der public-key noch nicht auf dem Server ist oder dieser sich geändert hat, muss dieser im Remote-Server registriert werden.
-  * <USER>@<REMOTEHOST> = User und IP# des entfernten Systems
+  ssh-copy-id <USER>@<REMOTEHOST>
 Beim ersten Login erfolgt eine Validierung mit dem Passwort des Systems. Bei Folgeaufrufen nur noch mit dem PW des SSH-Keys bzw. wenn keines vergeben wurde, ohne PW. \\
-Beim ersten Login werden die dann bekannten Hosts lokal in **~/.ssh/known_hosts** gespeichert. Gibt es Änderungen an einem Host und ggf. damit verbundene Probleme, dann kann der Host daraus, oder die ganze Datei, gelöscht werden. Wird dann beim nächsten Aufruf neu generiert.
+Beim ersten Login werden die dann bekannten Hosts lokal in **~/.ssh/known_hosts** gespeichert. Gibt es Änderungen an einem Host und ggf. damit verbundene Probleme, dann kann der Host daraus, oder die ganze Datei, gelöscht werden. Wird dann beim nächsten Aufruf neu generiert. Auf dem server wird der "neue" Key eines Users eintgetragen in der Datei .ssh/authorized_keys. Für jeden User des Server-Systems werden die Schlüssel separat in seinem Home-Verzeichnis verwaltet.
 Wurde der Schlüssel am Server geändert, oder der Server neu eingerichtet, muss er aus der lokalen Datei ~/.ssh/known_hosts ausgetragen werden. Händisch oder mit dem Befehl (IP des betroffenen Servers):