---

Jeg har lukket for telnet, og anvender ssh på serveren.
Dvs, at jeg anvender en ssh-client som terminalprogram (CRT fra Vandyke).

Jeg er bare lidt i tvivl om jeg kører secure!
første gang jeg kom på, fik jeg en dialogbox on at det var første gang, så
der ikke fantes en nøgle. Denne meddelse få jeg hvergang jeg logger på fra
en ny maskine eller som en ny bruger.

Jeg har altså aldrig 'genereret en nøgle' på serveren som er installeret på
clienten.(private-public keys!)


finn

---

CykelSmeden fra Aalborg wrote:
>
> Jeg har lukket for telnet, og anvender ssh på serveren.
> Dvs, at jeg anvender en ssh-client som terminalprogram (CRT fra Vandyke).

Glimrende.

> Jeg er bare lidt i tvivl om jeg kører secure!

Afhænger af hvor sikkert du vil have det.

> første gang jeg kom på, fik jeg en dialogbox on at det var første gang, så
> der ikke fantes en nøgle. Denne meddelse få jeg hvergang jeg logger på fra
> en ny maskine eller som en ny bruger.
>
> Jeg har altså aldrig 'genereret en nøgle' på serveren som er installeret på
> clienten.(private-public keys!)

Det er dog omvendt: du genererer et nøglepar på serveren, hvor du installerer
den offentlige af de to på serveren.

Hvis du gjorde det, kunne du konfigurere serverens sshd_config, så det nu
kun var muligt at logge på din server, såfremt man 1) har den private
nøgle, og 2) kender den adgangssætning, der krypterer den private nøgle.

Som du har det nu skal man stadig blot gætte en enkelt adgangskode, så har
man adgang til din server. Metoden med nøglepar er meget sikrere, men det kræver
du altid har din private nøgle der hvorfra du ønsker at logge på serveren.

Og at den private nøgle er tilstrækkeligt beskyttet - dvs du skal helst være
eneste root på maskinen, hvor den er, adgangssætningen, der beskytter den
skal være mindst ligeså svær at gætte som det ville være at gå efter selve
nøglen etc etc.

Der var en diskussion i dette forum for nogle uger siden, svjh, om hvad
præcis der skulle laves i sshd_config for at tvinge folk til public/private
identifikation/autorisation og intet andet.

-- Ole M.

---

Ole Michaelsen wrote:
>
> Det er dog omvendt: du genererer et nøglepar på serveren, hvor du installerer
> den offentlige af de to på serveren.

Argh! Du genererer det på _klienten_ og installerer så den offentlige på
serveren.

Damn.

-- Ole

---

"Ole Michaelsen" <omic+usenet3@fys.ku.dk> wrote:

> Der var en diskussion i dette forum for nogle uger siden, svjh, om hvad
> præcis der skulle laves i sshd_config for at tvinge folk til
> public/private identifikation/autorisation og intet andet. -- Ole M.

Alex Holsts glimragende vejledning til SSH:

http://a.area51.dk/ssh

--
"...personality goes a long way."

http://chran.dyndns.dk - Nu med misbrug!

---

Grunden til at den siger sådan til dig, er fordi at der ikke ligger en
public key (fra serveren) på den klient du logger på via...

Hvis SSH serveren er installeret som RPM (ol.) så blir keyen genereret
automatisk, så det er ikke derfor..

Håber det hjalp lidt :)

/Løjmann.

---

"CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:

> Jeg er bare lidt i tvivl om jeg kører secure!
> første gang jeg kom på, fik jeg en dialogbox on at det var første gang, så
> der ikke fantes en nøgle. Denne meddelse få jeg hvergang jeg logger på fra
> en ny maskine eller som en ny bruger.

Det er fuldstændig korrekt. Hver server har sine egne nøgler og
ligeledes hver bruger. Disse bliver udvekslet når man etablerer en ssh
forbindelse. Hvis denne ikke har været etableret før bliver man
spurgt om man ønsker at fortsætte og dermed acceptere serverens
nøgle.

Hvis du ønsker at gør det mere sikkert kan du udlevere serverens nøgle
til brugerne på forhånd. På den måde er man sikker på man kobler op
til den rigtige server første gang. Jeg har dog sjældent mødt nogen
der gør dette.

Jeg forslår at du læser manual siderne til ssh eller køber O'Reillys
bog om emnet.


Mvh.
Sven Esbjerg

---

Hej,

CykelSmeden fra Aalborg wrote:
> [snip]
>
> første gang jeg kom på, fik jeg en dialogbox on at det var første gang, så
> der ikke fantes en nøgle. Denne meddelse få jeg hvergang jeg logger på fra
> en ny maskine eller som en ny bruger.
>
> Jeg har altså aldrig 'genereret en nøgle' på serveren som er installeret
> på clienten.(private-public keys!)

Når ssh logger på en server, så får den en host-key, fra den ssh-dæmon, der
kører på serveren. Denne nøgle skal er en identifikation af den server, du
logger på.

Første gang du logger på en server, bliver du spurgt, om du tror på at den
nøgle du får, korrekt identificerer den maskine, du logger på. Hvis du tror
på det, så gemmes den lokalt på din maskine. De næste gange du logger på,
checker ssh om den nøgle den modtager fra serveren, er den nøgle du har
liggende lokalt. Dvs - om det er den samme maskine - eller om der måske er
nogle, der udgiver sig for at være serveren, uden at være det.

Da nøglen gemmes lokalt på den maskine du logger på fra, så bliver du
spurgt om det samme, for hver ny maskine du logger på fra (endda for hver
ny bruger du er logget ind som på hver ny maskine).

Om du kører secure. Tjaaa, det afhænger jo lidt af, om den nøgle du
modtager første gang, er den korrekte Jeg skulle mene, at det sikreste
er at modtage nøglen på en sikker måde (e.g. på en diskette) fra serveren,
lægge ind på din maskine lokalt, og så se om du modtager den samme når du
logger på første gang. Meeeeen, med mindre du har MEET store
sikkerhedskrav, så er det nok bare at sige yep, første gang du spørges
(efter min mening).

/Per

---

Tak for alle bidrag, som jeg først ser nu da min newsfeed fra tdc af
uransagelige grunde har været blokeret.

Det har været meget lærerigt, og jeg kan nu godt se forskellen på hvad jeg
har gjort, og hvad jeg burde have gjort, og skønner at jeg roligt kan sove
videre om natten. (i alt fald hvad ssh angår

Tak iøvrigt for en letforståelig forklaring Per.

finn
"Per Olesen" <polesen@nordija.com> skrev i en meddelelse
news:3bf7aae7$0$216$edfadb0f@dspool01.news.tele.dk...
> Hej,
>
>
> Når ssh logger på en server, så får den en host-key, fra den ssh-dæmon,
der
> kører på serveren. Denne nøgle skal er en identifikation af den server, du
> logger på.
>
> Første gang du logger på en server, bliver du spurgt, om du tror på at den
> nøgle du får, korrekt identificerer den maskine, du logger på. Hvis du
tror
> på det, så gemmes den lokalt på din maskine. De næste gange du logger på,
> checker ssh om den nøgle den modtager fra serveren, er den nøgle du har
> liggende lokalt. Dvs - om det er den samme maskine - eller om der måske er
> nogle, der udgiver sig for at være serveren, uden at være det.
>
> Da nøglen gemmes lokalt på den maskine du logger på fra, så bliver du
> spurgt om det samme, for hver ny maskine du logger på fra (endda for hver
> ny bruger du er logget ind som på hver ny maskine).
>
> Om du kører secure. Tjaaa, det afhænger jo lidt af, om den nøgle du
> modtager første gang, er den korrekte Jeg skulle mene, at det sikreste
> er at modtage nøglen på en sikker måde (e.g. på en diskette) fra serveren,
> lægge ind på din maskine lokalt, og så se om du modtager den samme når du
> logger på første gang. Meeeeen, med mindre du har MEET store
> sikkerhedskrav, så er det nok bare at sige yep, første gang du spørges
> (efter min mening).
>
> /Per