SSH Key Authentication

So kann man sich mit SSH ohne Kennwort bzw. mit Key Authentication bei einer anderen Maschine anmelden.

Auf dem eigenen Rechner (sozusagen der Client):

Standard-Verfahren (im Normalfall RSA mit Protokoll 2):

$ ssh-keygen

Zuerst wird gefragt, wo der Key gespeichert werden soll. Die Vorgabe (~/.ssh/id_rsa) sollte richtig sein. Aufpassen, dass dies auch unter dem Benutzer passiert, von dem man sich dann auf dem anderen Rechner aus anmelden möchte. Dann wird noch nach einer Passphrase gefragt. Mit Passphrase ist sicherer, ohne kann man sich dann entsprechend ohne weitere Eingabe auf der anderen Seite anmelden.

Man kann auch Angeben, ob RSA oder DSA Keys verwendet werden:

$ ssh-keygen -t rsa
$ ssh-keygen -t dsa

Nun muss der Public Key noch auf den entfernten Rechner (also unseren “Server”) kopiert werden:

ssh-copy-id -i ~/.ssh/id_rsa.pub user@meinserver

Dabei wird der Public Key einfach auf der anderen Seite nach ~/.ssh/authorized_keys angefügt. Falls ssh-copy nicht installiert ist, kann man das natürlich auch manuell machen. Entweder die Datei ~/.ssh/id_rsa.pub bzw. id_dsa.pub auf die andere Seite kopieren und an authorized_keys anhängen (nicht überschreiben) oder das ganze über ssh:

cat ~/.ssh/*.pub | ssh user@meinserver 'cat>>.ssh/authorized_keys'

Falls man einen anderen Port als 22 verwendet, muss dieser noch ein -p xxx direkt nach dem ssh stehen.

Man kann natürlich noch einiges unter /etc/ssh/ einstellen. So ist es möglich, sich nur noch über Keys an einen Server anzumelden.

Eine gute und auch kurze Zusammenfassung findet man bei schlittermann.de. Dort habe ich auch einige Teile dieser Anleitung “geklaut”. Weitere Infos findet man hier, zum Thema Mac uns SSH hier, über Windows (Cygwin) hier und mit Putty auch noch was hier.

Sehr schön und empfehlenswert für den Mac ist auch sshkeychain.org. Es verwendet die Apple Keychain für die Schlüsselverwaltung.