Bekijk Volledige Versie : easy SSH
Op deze manier is het niet langer nodig om de pass in te voeren van je user, wat het makkelijker maakt om dmv cron scp jobs uit te voeren :)
maak een key aan op je server:
ssh-keygen -t rsa -b 2048
(NO passphrase!)
Copy het .pub bestand naar de clients:
scp .ssh/id_rsa.pub admin@<client-ip>:~/
op de client:
whoami
>admin
mkdir .ssh/
mv id_rsa.pub .ssh/
cat .ssh/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
Nou werkt dit hier perfect, maar ik lees ook veel dingen over ssh-agent ofzo.. dus hoe zit dat ? Is dit niet secure (genoeg) ?
systemdeveloper
22/09/06, 19:30
Op deze manier is het niet langer nodig om de pass in te voeren van je user, wat het makkelijker maakt om dmv cron scp jobs uit te voeren :)
maak een key aan op je server:
ssh-keygen -t rsa -b 2048
(NO passphrase!)
Copy het .pub bestand naar de clients:
scp .ssh/id_rsa.pub admin@<client-ip>:~/
op de client:
whoami
>admin
mkdir .ssh/
mv id_rsa.pub .ssh/
cat .ssh/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
Nou werkt dit hier perfect, maar ik lees ook veel dingen over ssh-agent ofzo.. dus hoe zit dat ? Is dit niet secure (genoeg) ?
Klopt, werk ook goed. Probleem is dat je security gehalveerd is. Als de client gehacked wordt is er direct een serveraccount beschikbaar.
Tenzij je de ssh key op een USB stick ofzo bewaart en die ook consequent uit je werkstation trekt als je 'm niet gebruikt, is het niet aan te raden om ssh keys aan te maken zonder passphrase. Als je in wilt loggen zonder steeds de passphrase in te moeten voeren kun je het beste ssh-agent gebruiken, die is daarvoor. Dan hoef je je passphrase maar 1x in te voeren.
Maar goed, security is over het algemeen omgekeerd evenredig met gemak. Ik heb er ook een hekel aan om met 'n tas vol boodschappen onder m'n arm m'n huissleutel te moeten zoeken, maar toch draai ik als ik weg ga altijd de deur op slot. Anders kan ik m'n eigen TV straks via Marktplaats terugkopen.
Klopt, werk ook goed. Probleem is dat je security gehalveerd is. Als de client gehacked wordt is er direct een serveraccount beschikbaar.
aan de ene kant heb je gelijk, maar dat kun je verhelpen door niet dezelfde accountnamen te gebruiken voor het beheer toch ?
hoe zou het beter kunnen eigelijk....
edit:
het gaat trouwens om een systeem wat passwd+group moet overbeuken :) aangzien NIS een bitch is en ldap eigelijk ook een beetje :p
edit2:
het werkt maar een kant op trouwens, dus dat maakt het ietsje veiliger :) het wordt pas een probleempje als je main server dus compromised raakt... Dan hebben ze vanaf die machine toegang tot een x aantal andere machines, althans met die ene user account. Daar kunnen ze vervolgens nog helemaal nix mee omdat die user uitkomt in bijv. een chroot.
:)