Moinmoin zusammen, wie stehen hier kurz vor der Benutzung von SSH-Zertifikaten, zumindest für Admins. Grundsätzlich ist das Vorgehen bei Verwendung von öffentlichen Schlüsseln und Zertifikaten fast gleich. Nur erhält ein Benutzer zu seinem öffentlichen Schlüssel zusätzlich ein Zertifikat mit darin enthaltenen "Prinzipalnamen". Das sind Namen, mit denen er sich dann an Maschinen anmelden kann. Die entsprechenden Accounts müssen lokal oder in einem angebundenen Verzeichnis für die jeweilige Maschine existieren. Der Hauptgrund für die Benutzung von Zertifikaten ist die vereinfachte automatische Erzeugung/Änderung und Verteilung der nötigen Dateien. Während man sonst halt Listen mit kompletten Key-Zeilen verteilen muß, reichen bei Zertifikaten Listen mit Benutzernamen (o.a.), was weniger fehlerträchtig ist. In größeren Umgebungen kommt man da nicht um ein Konfigurations-Management-Programm herum. Wir haben hier Cfengine für Unix/Linux-Hosts, das auch den Vorteil hat, daß es über einen eigenen Port und TLS Dateien verteilt. Damit kann man also auch mal sshd_config's verteilen, die einen dann aussperren. :-| Es gibt aber auch überdenkenswerte Nachteile bei Zertifikaten. Ich hab's noch nicht komplett getestet, aber evtl. kann man mit Zertifikaten keine X-Umleitung auf Windows-Clients hinkriegen. Ohne X-Umleitung funktionieren Zertifikate aber z.B. auch mit dem neuen nativen Openssh auf Windows. Ein weiteres Problem oder Feature ist, daß man für einen Benutzer, dem man veränderte Zugriffsrechte im Sinn von Prinzipalen/Rollen erteilen will, immer ein neues Zertifikat er- und bereitstellen muß. Grüße Jochem _____________________________________________________________ Jochem Ippers Institut für Kraftfahrzeuge - RWTH Aachen University EDV, Netzwerk / IT-Department Steinbachstr. 7 - 52074 Aachen - Germany Tel +49 241 80 25628 - Fax +49 241 80 22147 ippers@ika.rwth-aachen.de www.ika.rwth-aachen.de _____________________________________________________________ ________________________________________ Von: Bernd Kohler <kohler@itc.rwth-aachen.de> Gesendet: Dienstag, 21. April 2020 14:19 An: rwth-security@lists.rwth-aachen.de Betreff: [rwth-security] Re: SSH-Key-Revocation? (Re: Re: Status SSH) Hallo zusammen, wollte mich (wenn auch recht spät) nochmals an diese gute Diskussion beteiligen. Sofern ich jetzt nichts überlesen habe, ist hier die Rede von - auth mit key - auth mit passwd - 2FA - SSHFP im DNS Hat hier schon jemand über ssh certificates nachgedacht bzw. diese in Verwendung (siehe dazu u.a. [0] - [3])? Diese machen zwar bspw. 2FA und SSHFP (inkl. DNSSEC!) nicht obsolet, erleichtern aber doch das Management bspw. revoke - obwohl ein separater Rechner (vor allem nicht weltwweit per SSH erreichbar) macht aber hier schon Sinn ;) Ich selber habe das leider noch nicht getestet, um Aussagen zu treffen. VG Bernd [0] https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/htm... [1] https://smallstep.com/blog/use-ssh-certificates/ [2] https://medium.com/tarkalabs/ssh-recipes-in-go-an-interlude-6fa88a03d458 [3] https://engineering.fb.com/security/scalable-and-secure-access-with-ssh/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de www.itc.rwth-aachen.de