• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SSH-PubKey Verwaltung / Verteilung

E

elcavolo

Newbie
Hi @all,

hoffe das ich jetzt das richtige Forum erwischt habe:)

ihr kennt das bestimmt auch, man hat unzählige Linux-Systeme auf denen überall SSH-PubKeys herumfahren. Mit der Zeit verliert man den Überblick, beim Hinzufügen und Entfernen ist das jedes mal eine schwere Geburt.

Wie hab Ihr das Problem gelöst? Wie verwaltet Ihr eure Pub-Keys? Hab Ihr ein eigen Entwickeltes Tool oder ein Prog im Einsatz?
Ich suche nach einer Möglichkeit wie man unsere Pub-Keys von einer zentralen Stelle verteilen und verwalten kann.

Ich bin mal auf Eure Antworten gespannt.
 
R

rolle

Guru
Tja, ich habe nur drei Pubkeys, die ich auf viele Rechner verteile. Da brauche ich kein extra Werkzeug für. Ich frage mich allerdings, wieviele Pubkeys Ihr denn so habt und braucht und ob man da nicht so manche zusammenlegen könnte.
 
OP
E

elcavolo

Newbie
Die genaue Zahl der Server kann ich dir gar nicht sagen, es sind aber definitiv über 80 Server auf denen dann Unterschiedlich viele Keys eingespielt sind. Was meinst du mit "Keys zusammen legen"?
 
R

rolle

Guru
Ich war davon ausgegangen, daß sich das in kleinerem Rahmen abspielt. Mit zusammenlegen hatte ich gemeint, daß eine Person immer denselben Schlüssel verwenden könnte und nicht wie oft gemacht für jeden Rechner einen eigenen. Darum scheint es aber ja bei Euch nicht zu gehen.
 
regexer

regexer

Advanced Hacker
Zwischenfrage: Hat das irgendwas mit dem mehr oder weniger aktuellen OpenSSL-Problem zu tun? Wenn auch nicht, wären evtl. die entsprechenden heise-Online-Artikel interessant...

http://www.heise.de/security/Der-kleine-OpenSSL-Wegweiser--/artikel/108001
http://www.heise.de/security/Gute-Zahlen-schlechte-Zahlen--/artikel/108272
 
OP
E

elcavolo

Newbie
HI,

damit hat alles angefangen ja :)
Unsere Keys habe ich alle mühselig gescannt und sowas möchte ich in Zukunft vermeiden ;)
 
nbkr

nbkr

Guru
SuSE hatte das SSL Problem nicht. Allerdings nutzt das natürlich nicht viel zum Thema Verwaltung.
 
regexer

regexer

Advanced Hacker
elcavolo schrieb:
nbkr schrieb:
SuSE hatte das SSL Problem nicht.
Zum Vergrößern anklicken....
Das nicht, ABER, wenn jemand einen Debian Pub-Key benutzt, dann gilt das für jedes System!
Zum Vergrößern anklicken....
So habe ich das auch verstanden. Und ich weiß z.B. bei den SSL-Verbindungen, die ich verwende, nicht, ob der Public Key von einem Debian-System erstellt wurde oder nicht.

Hast du dir schon mal das perl-Script von debian angesehen (von dem der heise-Artikel berichtet)? Eventuell kann man ja das als Grundlage nehmen...

Besonders erschreckend finde ich an dem Problem, dass mitgeloggter ssl-Transfer aus der Vergangenheit theoretisch nun in Ruhe gecrackt werden könnte...
 
OP
E

elcavolo

Newbie
Genau das Skript habe ich genommen um unsere Keys zu checken. Ich hab das Skript auch nach der Artikelbeschreibung erweitert, so das auch andere Keys gescannt werden. Wobei man da auch keine 100% Sicherheit hat, wie ich das verstanden habe, es werden ja nur die Keys von der vorhanden Blacklist gescannt, ob morgen ein neuer Auftaucht weiß man auch nicht.

Zum glück weiß ich das all unsere SSL-Zertifikate mit SuSE Rechnern generiert wurden.
Also wenn man ein Debian-System verwendet, würde ich um ganz sicher zu gehen, alles Tauschen, auch wenn das ein riesen Aufwand bedeutet.
 
regexer

regexer

Advanced Hacker
Vielleicht zur Info noch ein Link zu einem leicht verständlichen Artikel... ist heute bei heise erschienen.

http://www.heise.de/tr/Die-Geschichte-einer-Sicherheitsluecke--/artikel/108934
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben