Ankündigung

Einklappen
Keine Ankündigung bisher.

SSH - Verfügbare Algorithmen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    SSH - Verfügbare Algorithmen

    Guen Abend dF-Team,
    wir haben einen ManagedServer gemietet. Nun ist uns aufgefallen, dass für SSH nur öffentliche Schlüssel in DSA und RAS existieren.
    Code:
    (20:27:16) [~] ls -lisa /etc/ssh/ssh_host_*_key.pub
    10253823 4 -rw-r--r-- 1 root root 622 Mar  3  2017 /etc/ssh/ssh_host_dsa_key.pub
    10253837 4 -rw-r--r-- 1 root root 414 Mar  3  2017 /etc/ssh/ssh_host_rsa_key.pub
    Kann man über den Support weitere Keys für ECDSA und ED25519 generieren lassen?


    Gruß,
    Dani

    #2
    Hallo Schakal,

    danke für die Nachfrage. Wir klären das und melden uns.

    Mit freundlichen Grüßen

    Nils Dornblut
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

    Kommentar


      #3
      Zitat von Schakal Beitrag anzeigen
      Guen Abend dF-Team,
      wir haben einen ManagedServer gemietet. Nun ist uns aufgefallen, dass für SSH nur öffentliche Schlüssel in DSA und RAS existieren.
      Code:
      (20:27:16) [~] ls -lisa /etc/ssh/ssh_host_*_key.pub
      10253823 4 -rw-r--r-- 1 root root 622 Mar 3 2017 /etc/ssh/ssh_host_dsa_key.pub
      10253837 4 -rw-r--r-- 1 root root 414 Mar 3 2017 /etc/ssh/ssh_host_rsa_key.pub
      Kann man über den Support weitere Keys für ECDSA und ED25519 generieren lassen?
      Leider müssen wir unsere Aussage von gestern revidieren. Es ist nicht möglich weitere Keys zu generieren, auch nicht über die Technik. Wir haben das noch einmal geprüft und können das innerhalb der Umgebung nicht anbieten. Grund dafür ist, dass die neuen Keys bei Updates überschrieben werden würden. Bitte entschuldigen Sie unsere Aussage von gestern.

      Aus Gründen der Übersicht haben wir unsere vorherige Antwort entfernt.

      Mit freundlichen Grüßen

      Nils Dornblut
      Blog - Facebook - Twitter
      Communitybetreiber: domainfactory GmbH
      Impressum / Pflichtangaben

      Kommentar


        #4
        Guten Abend Herr Dornblut,
        Grund dafür ist, dass die neuen Keys bei Updates überschrieben werden würden. Bitte entschuldigen Sie unsere Aussage von gestern.
        Bei welche Art von Update werden die Keys überschrieben? Ist mir auf unseren Servern noch nie aufgefallen, dass einmal erzeugte SSH Keys überschrieben werden. *grübel*


        Gruß,
        Dani

        Kommentar


          #5
          DF wird sicherlich nicht jeden Server einzeln den diversen Updates unterziehen, sondern einfach die entsprechenden Dateien draufklatschen. Wenn das Verzeichnis dabei komplett überschrieben wird, sind zusätzliche Dateien halt verschwunden.

          Gruß
          Jan
          Two hours of trial and error can save ten minutes of manual reading.

          Kommentar


            #6
            Zitat von Schakal Beitrag anzeigen
            Bei welche Art von Update werden die Keys überschrieben? Ist mir auf unseren Servern noch nie aufgefallen, dass einmal erzeugte SSH Keys überschrieben werden. *grübel*
            Danke für die Nachfrage, ich habe die direkt weitergegeben. Das hatte ich im Detail noch nicht weiter hinterfragt.

            Mit freundlichen Grüßen

            Nils Dornblut
            Blog - Facebook - Twitter
            Communitybetreiber: domainfactory GmbH
            Impressum / Pflichtangaben

            Kommentar


              #7
              Zitat von Enigma Beitrag anzeigen
              DF wird sicherlich nicht jeden Server einzeln den diversen Updates unterziehen, sondern einfach die entsprechenden Dateien draufklatschen. Wenn das Verzeichnis dabei komplett überschrieben wird, sind zusätzliche Dateien halt verschwunden.

              Gruß
              Jan
              Da die fraglichen Dateien eigentlich im Verzeichnis ".ssh" liegen und explizit auf der jeweiligen Maschine generiert werden müssen kann es bei einem Update eigentlich gar nicht zu Überschreibungen kommen.

              MfG,
              masterframe

              Kommentar


                #8
                Zitat von masterframe Beitrag anzeigen
                Da die fraglichen Dateien eigentlich im Verzeichnis ".ssh" liegen und explizit auf der jeweiligen Maschine generiert werden müssen kann es bei einem Update eigentlich gar nicht zu Überschreibungen kommen.
                Wenn das Verzeichnis gelöscht und danach die Generierung automatisiert durchgeführt wird, schon. Ich sehe da keinen Praktikaten sitzen, der Tausende von Servern einzeln beackert.

                Gruß
                Jan
                Two hours of trial and error can save ten minutes of manual reading.

                Kommentar


                  #9
                  Zitat von Enigma Beitrag anzeigen

                  Wenn das Verzeichnis gelöscht und danach die Generierung automatisiert durchgeführt wird, schon. Ich sehe da keinen Praktikaten sitzen, der Tausende von Servern einzeln beackert.

                  Gruß
                  Jan
                  Guter Einwand. Daran hatte ich nicht gedacht.
                  MfG,
                  masterframe

                  Kommentar


                    #10
                    Hallo Jan,
                    Wenn das Verzeichnis gelöscht und danach die Generierung automatisiert durchgeführt wird, schon. Ich sehe da keinen Praktikaten sitzen, der Tausende von Servern einzeln beackert.
                    ich gehe eigentlich davon aus, dass dF in der Größenordnung Puppet o.ä. einsetzt. Damit sollte das ignorieren von Dateien bei Aktualisierungen problemlos umsetzbar sein. Zumal hättest du jedes Mal bei einer Verbindung per SSH den hübschen Warnhinweis bezüglich des Key auf dem Bildschirm.


                    Gruß,
                    Dani

                    Kommentar


                      #11
                      Es ist ja nicht so, dass DF am laufenden Band Updates durchführen würde...

                      // Edit: Der Praktikat da oben sollte übrigens ein Praktikant sein.

                      Gruß
                      Jan
                      Zuletzt geändert von Enigma; 06.09.2019, 20:32.
                      Two hours of trial and error can save ten minutes of manual reading.

                      Kommentar


                        #12
                        Hallo zusammen,

                        diesbezüglich ist zu beachten, dass Updates in kleinem Rahmen (einzelne Pakete und ähnliches) schon an der Tagesordnung sind und wir dafür natürlich entsprechende Tools nutzen, es bräuchte sonst eine Armee von Praktikanten. Zusätzlich ist zu beachten, dass es natürlich für Abwandlungen immer Begründungen und größere Nutzergruppen geben muss. Unmöglich ist das natürlich nicht, aber aktuell nicht vorgesehen.

                        Mit freundlichen Grüßen

                        Nils Dornblut
                        Blog - Facebook - Twitter
                        Communitybetreiber: domainfactory GmbH
                        Impressum / Pflichtangaben

                        Kommentar

                        Lädt...
                        X