[sage] SSH Keys (was: AFS)

[Juergen Kahnert]

On Sat, Dec 20, 2008 at 04:24:53PM +0100, Dirk Wetter wrote:
> Alternativ kann man auch die ACLs so setzen, dass in
> ~/.ssh alle lesen können. ;-) Das jedenfalls dachte wohl mal
> ein Netzadmin einer deutschen Uni.

Nicht nur einer Uni und auch nicht nur deutsche... Das machen viel zu
viele so ohne sich was dabei zu denken.

Es gibt auch Admins, die das absichtlich so machen. Die legen ihre SSH
Keys in einem privaten Verzeichnis ab und verlinken dann aus dem ~/.ssh
dorthin. Das funktioniert auch; ich halte es aber für fehleranfälliger,
da ein neuer Key jedesmal entsprechend behandelt werden muß. 


> Nur kam man mit seinem Schlüssel darin ohne Passphrase als root auf so
> ziemlich viele Uni-Rechner, wie z.B. dem Mailhost.

Meiner Erfahrung nach benutzt der durchschnittliche User, ja, selbst die
Admins, keine(!) Passphrase auf den privaten Keys. Das heißt, die liegen
eigentlich immer ungeschützt rum.

Es gibt keine Möglichkeit die Passphrase auf Serverseite zu prüfen, die
Keys laufen nicht ab und kein normaler User weiß, wo er den alles einge-
tragen hat und manche wissen nicht einmal, auf welchen Medien sich der
private Key befindet.

SSH Keys sind eine tolle und sichere Sache, wenn(!) der User damit umzu-
gehen weiß.  Die meisten tun das aber nicht.  Deshalb werden SSH Keys
häufiger für einen Einbruch verwendet, als er einen verhindert hätte.
Eine gute Paßwort-Policy bringt mehr, als eine breite Basis an Usern auf
SSH Keys zu bringen.

Wir sind sogar soweit gegangen und haben SSH Keys für den Zugang von
außen verboten.

    Jürgen


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20081221/f708c29b/attachment.bin