Forwarding kryptografischer Keys

Her mit dem Schlüssel

Kryptografische Schlüssel liegen zumeist lokal vor und stehen somit nicht zwingend auch auf entfernten Rechnern bereit. Der Open-Source-Tipp in diesem Monat zeigt, wie sich solche kryptografischen Schlüssel auch in Cloudumgebungen einsetzen lassen.
Was liegt näher, als immer wiederkehrende Aufgaben mit Skripten zu automatisieren. Das reduziert den Arbeitsaufwand wie auch die Fehleranfälligkeit. In der ... (mehr)

Kryptografische Schlüssel liegen üblicherweise auf der Festplatte, einer Smart Card, einem Hardware Security Module (HSM) oder einem USB-Token. Typische Anwendungen, die auf solche kryptografischen Schlüssel zurückgreifen, sind etwa SSH, GnuPG oder Crypto-Frameworks wie OpenSSL, NSS oder GnuTLS.

Agent-Forwarding

Werfen wir zuerst einen Blick auf SSH: Möchte sich ein Benutzer mit Public-Key-Authentifizierung an einem entfernten Rechner anmelden, so muss darauf der öffentliche Schlüssel des Benutzers verfügbar sein. Meistens wird dieser mit Hilfe der Anwendung ssh-copy-id zur Verfügung gestellt. Der private Schlüssel des Benutzers verlässt den lokalen Rechner dabei natürlich nicht. Was passiert aber, wenn es von dem entfernten Rechner weitergehen soll? Beispielsweise weil dieser Rechner nur eine Art Jump-Host darstellt, von dem aus dann ein Login auf weitere Systeme im Backend erfolgen kann. Dann ist auf dem Remote-Rechner der Zugriff auf den privaten SSH-Schlüssel des Benutzers notwendig. Hierfür dient "ssh-agent": Diesem Agenten lassen sich mittels ssh-add beliebige private SSH-Schlüssel übergeben, die dieser dann im Speicher vorhält. Ist ein Zugriff auf einen dieser Schlüssel notwendig, so lässt sich der Agent über eine Socket-Datei ansprechen. Der Name dieser Datei findet sich in der Variablen SSH_AUTH_SOCK:

# echo "$SSH_AUTH_SOCK"/tmp/ssh-j3OzPSWatFUl/agent.2395

Mittels Agent-Forwarding lässt sich von entfernten Rechnern auf diesen Agenten zugreifen. Beim Aufbau einer Verbindung mittels SSH existiert hierfür die Option "-A". Alternativ dazu lässt sich die Option natürlich auch in der SSH-Konfigurationsdatei hinterlegen – hier lautet die Option "ForwardAgent". Diese ist standardmäßig auf "no" eingestellt. Aktivieren Sie das Forwarding, sind nach dem Login auf einem Remote-Rechner nach

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019