Anzeige
Linux & Co.NetzwerkSicherheit

SSH ohne Passwörter nutzen (Ubuntu)

Wenn Ihr SSH-Verbindungen ohne Passworteingabe herstellen wollt, könnt Ihr SSH-Schlüssel nutzen. Dabei wird ein Schlüssel-Paar erzeugt: Ein privater, geheimer Schlüssel, der auf dem Client-Rechner verbleibt und ein öffentlicher Schlüssel auf dem SSH-Server, der damit den Client authentifizieren kann. Das Ganze ist ziemlich simpel und echt bequem, wenn man häufig auf entfernte Rechner zugreifen muss.

Anzeige

1. Schlüsselpaar erzeugen

Erstellt zunächst die Schlüssel über den Befehl

ssh-keygen

Sofern Ihr mehrere Schlüssel auf dem Rechner einsetzen wollt, vergebt im nächsten Schritt einen Namen samt Pfad für den Schlüssel, also beispielsweise

/home/peter/.ssh/id_rsa_meinschluessel

Dann vergebt Ihr noch ein Passwort für den Schlüssel. Daraufhin werden in dem Standardverzeichnis die beiden Dateien id_rsa_meinschluessel und id_rsa_meinschluessel.pub angelegt. Die Endung .pub zeigt es schon: Das ist der öffentliche Schlüssel – die andere Datei ist vertraulich!

Anschließend müsst Ihr dem SSH-Agenten noch die eben erstellte Identität – nichts weiter ist so ein Schlüssel-Paar – mitteilen, damit er sie zum Authentifizieren nutzen kann:

Anzeige
ssh-add /home/peter/.ssh/id_rsa_meinschluessel

Nun geht es mit dem SSH-Server weiter.

2. Schlüssel auf Server eintragen

Dem SSH-Server muss nun dieser öffentliche Schlüssel übergeben werden, damit auch dieser an der Authentifizierung teilnehmen kann. Dafür kopiert Ihr den Inhalt der erstellten .pub-Datei vom Client-Rechner in die Datei /home/peter/.ssh/authorized_keys auf dem Server-Rechner. In der Regel werdert Ihr sie zunächst erstellen müssen. Ihr könnt das Ganze direkt vom Client aus erledigen:

cat /home/peter/.ssh/id_rsa_meinschluessel.pub | ssh peter@192.168.178.150 'cat >> ~/.ssh/authorized_keys

Natürlich könnt Ihr den Schlüssel auch auf beliebige andere Wege in die authorized_keys-Datei kopieren.

Ab sofort klappt der Befehl

ssh peter@192.168.178.150

ohne weitere Passwortabfrage.

Ihr könnt Euch das Prozedere einfach wie an einer Pforte vorstellen, die nur bestimmte Mitarbeiter passieren dürfen:

  • Mit Passwort: Ihr müsst eine PIN eingeben, um die Tür zu passieren.
  • Ohne Passwort: Der Pförtner hat eine Liste mit Mitarbeitern – die authorized_keys-Datei. Ihr wiederum habt Euren Mitarbeiterausweis, um Eure Identität nachzuweisen – den privaten Schlüssel. Der Pförtner lässt Euch ohne PIN passieren.

Und wie in der IT, greift auch hier, mit etwas Verzögerung, die Automatisierung: Der Pförtner erkennt Euch nach ein paar Tagen und wird Euch auch ohne Vorzeigen des Ausweises durch lassen.

Das gleiche Schlüsselsystem kommt übrigens auch bei Email-Verschlüsselung zum Einsatz.

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Do NOT follow this link or you will be banned from the site!