SSH-Keys (Ed25519) erzeugen & installieren, passwortlose Anmeldung einrichten, installieren auf UDMP

Kanal: Navigio - Jürgen Barth

Upload: 16.09.2020

Dauer: 24:05

Kategorie: Science & Technology

Sprache: de

📄 Markdown Split-View 📕 PDF 🌐 HTML 📝 Word (.docx)

📝 Zusammenfassung openai-gpt-4o-mini

## HAUPTTHEMA In diesem Video wird erklärt, wie man SSH-Schlüsselpaare erzeugt, diese austauscht und praktisch anwendet, insbesondere auf einem Unified Device. ## KERNPUNKTE • **Schlüsseltypen:** Es werden vier Schlüsseltypen vorgestellt – DSA (unsicher), RSA (veraltet, verwenden von 3072 oder 4096 Bit empfohlen), ECDSA (fragwürdig) und Ed25519 (empfohlen wegen Sicherheit und Geschwindigkeit). • **Erzeugung unter Windows:** Die Nutzung des Programms PuTTY wird beschrieben, um SSH-Schlüsselpaare zu erzeugen. Die Schritte umfassen die Erstellung des Schlüssels und die sichere Speicherung. • **Erzeugung unter Unix/Linux/Mac:** Der Prozess zur Erstellung von SSH-Schlüsseln wird ebenfalls erläutert, wobei das Programm `ssh-keygen` verwendet wird. • **Schlüsselübertragung:** Es wird gezeigt, wie man den öffentlichen Schlüssel auf den Zielserver überträgt und die Authentifizierung ohne Passwort einrichtet. • **Konfiguration:** Die Konfiguration der SSH-Dateien zur Deaktivierung der Passwortanmeldung und zur Sicherstellung der Sicherheit wird demonstriert. • **Praktischer Einsatz:** Ein praktisches Beispiel zeigt, wie SSH-Schlüssel auf einem Unified Device verwendet werden, wobei die sicherheitsrelevanten Aspekte hervorgehoben werden. ## FAZIT/POSITION Das Video bietet eine umfassende Anleitung zur sicheren Handhabung von SSH-Schlüsseln für eine effektive und sichere Authentifizierung. Es wird betont, dass eine sorgfältige Verwaltung der Schlüssel entscheidend ist, da der Verlust oder Diebstahl erhebliche Sicherheitsrisiken darstellen kann.

[Musik] hallo leute im heutigen video zeige ich euch wie man es hieß erzeugt und wie man sie aus tauscht und das video schließt ab mit einem beispiel wie man das in der freien wildbahn verwenden kann und zwar auf einer unified drehmaschinen pro dann auf zum video viel spaß dabei und ich hoffe es ist informativ für euch wie gerade schon in der einführung angesprochen zeige ich euch jetzt welche verschiedene schlüssel arten es gibt und dazu wechseln war auf diese kurze slide und zwar unterscheiden wir zwischen zwischen diesen vier verschiedenen es ist ein schlüssel typen der erste das ist dsa das ist der älteste der aus der ganzen sammlung und der ist zwischenzeitlich als unsicher bekannt und wird deswegen auch nicht weiter unterstützt nur noch auf lag ist die anwendungen und sollte man einfach nicht mehr einsetzen und man es nicht unbedingt muss dann haben wir den wohl am weitesten verbreiteten schlüssel typ das ist rsa der ist auch schon ein bisschen in die tage gekommenen die kürzeste schlüssel einheit nämlich der 1024 bit lucky ist zwischenzeitlich geknackt das heißt eine sicherheit ist abhängig von der schluss länge und da sollte man eben gleich wenn man kann eben auf 3072 oder 4096 bit schlüssellänge gehen dann haben wir eh cds a dabei verhält es sich ähnlich wie zu rsa man sollte ihn nicht unbedingt verwenden denn es gibt bedenken hinsichtlich seiner vertrauenswürdigkeit und zu guter letzt haben wir den schlüssel typ über denen ich heute sprechen wird das ist der idee 255 19 der ist relativ neu und der derzeit empfohlen der algorithmus denn er ist nicht nur sicher sondern auch schnell weitere informationen zum nachlesen im web gibt es unter dem link den ich hier auch auf das land angezeigt habe und in habe ich auch nochmal unten in den videokommentar eingegeben dann bekommt ihr dann noch weitere informationen wenn ihr das nachlesen möchte so nachdem er jetzt erfahren habt welche schlüssel typen es gibt zeige ich jetzt wie man den oder ein ssh schlüssel paar auf windows erzeugt unter windows läuft es erzeugen der ssh schlüssel etwas anders ab als unter den unique soeben hier ist es üblich die programme aus der partie street zu verwenden wo man die herunterladen kann habe ich unten in der video beschreibung verlinkt ich mache jetzt partie denn auf party channels das programm das wir verwenden um unseren kies zu erzeugen und hier unten unter parameters sieht man welche schlüssel typen verfügbar sind und wie ich vorhin schon erklärt habe werde ich einen schlüssel von ppd 2 5 519 erzeugen das werde ich jetzt aus klicke auf generate und jetzt heißt es hier oben place dennis endras beim mouseover geplant area und sobald ich das tue bewegt sich der grüne balken sehr schnell und der schlüssel ist erzeugt jetzt kann ich hier unter kiko band noch einen kommentar angeben der etwas sprechen da ist als das was hier vorgeschlagen ist es ist empfehlenswert hier die e-mail-adresse des entsprechenden user zu verwenden denn das macht dann später einfach auf diesen schlüssel dann zuzuordnen wie immer ist das wäre dann hier muss der mann dann gibt es noch die möglichkeit passt fraser eine passt race zu vergeben für den private key das kann man machen es ist aber ein optional ich verzichte jetzt drauf wenn man ein paar fans verwendet wird bei jedem aufruf dieses public keys eben diese passt alles abgefragt gut jetzt kann ich meine schlüssel sichern das mache ich beim ersten public key und hier ist mein sicherungs dialog bei der bemessung ist es so üblich dass man dieses präfix idee unterstrich nimmt und dann das ganze mit dem schlüssel typ volk folgt das wäre dann in unserem fall g unterstrich gb 25 19 und ich füge jetzt noch die endung pb hinzu rum eindeutig zu machen dass es hier um den public key geht und nicht um den party safe und das gleiche jetzt für den party hier moniert jetzt eben passieren dass ich keine pass face vergeben habe und habe ich bin da auch wenn ich ganz sicher darüber bin und ich antworte mit jetzt und hier genau das gleiche spiel hier steckt partie schon gleich eine änderung mit pdk vor das ist sehr hilfreich denn das im ziert gleich den partie private key also gleiche vorgehen wie vorhin idee unterstrich 2519 alt idee unterstrich credit 25 19 und jetzt eben ohne änderung weil die ja schon von partikeln vorgeschlagenes ich klicke auf save und schon ist er gesichert ich kann profitieren jetzt schließen so in diesem abschnitt geht es darum wie ein ssh schlüssel paar auf unix linux mac os erzeugt wird da gibt es zwischen den verschiedenen unix hätten überhaupt keinen unterschied denn das wir verwenden das programm es ist ja chen und das funktioniert auf allen plattformen identisch so gehen wir gleich auf die maschinen und im prinzip ist es super einfach das zu machen denn das programm es ist halb kitchen wie gesagt ist recht einfach zu bedienen wer mehr informationen haben möchte der kann sich ja die mir 1 pages davon anschauen es ist okay die ist der gibt den schlüssel typ an und das ist die idee 25 19 und wir geben keine weiteren parameter mit dazu ist es möglich zum beispiel auch noch eine zusätzliche parameter anzugeben - kleiner im wesentlichen gehe aber dazu die pasten und wir jetzt gleich sehen wird verwende ich keine pass frei ist jetzt - c dokument ich habe es vor allem unter windows schon erwähnt ich empfehle unbedingt einen kommentar mit anzugeben damit man eben zuständig den zuständigen user dann leicht ermitteln kann zb in der config datei oder dann später auch paten anmeldung der mann sieht dessen schlüssel verwendet worden ist und dann nehme ich hier einfach den namen unseres kollegen das wird hier musste man da kommt sein und auf geht so das ganze teil frag jetzt ab wo er die schlüssel park speichert werden sollen das kann man jederzeit überschreiben wenn man das möchte aber im prinzip ist das hier der goldene standard der überall gültigkeit hat und deswegen kann man einfach den vorstellung übernehmen jetzt fragt es ist hart denn nach der papst weiß wie ich vorhin schon gesagt habe kann man eine paar space angeben dann wird eben bei jeder anmeldung diese paar space abend gefragt wenn der private key verwendet wird ich entscheide mich keine post race einzugeben und einfach hier zweimal inter damit ist das ganze erledigt und die schlüssel preis erzeugt wie wir erhoben schon gesehen haben ist es im punkt ssh fordert dass entsprechenden users das heißt wir können schon übung ist dort lässt das haar ganz anzeigen was sich im punkt es ist voller hier abspielt und da ist unsere idee unterstrich idee 2 5 519 schlüsselpaar jetzt wo die schüsse para erzeugt sind muss man die natürlich irgendwie auch auf den zielserver bekommen und das schon und jetzt an als erstes auf unix linux mac os weil es so schön einfach ist und dafür gehen wir wieder aufs tamino der befehl ist sehr einfach und zwar ist es etwa bindestrich profi bin ich frei die dann mit bildungs input feil das ist da wir wissen dass es im punkt es ist voller unseres users liegt statt in der startelf unterstrichen die 255 19 der public geben und jetzt die anmeldung auf die via diesen schlüssel anwenden wollen und zwar ist es ja mustermann und jetzt den zielserver ja jetzt wird hier natürlich als erstes mal eine passwort anmeldung die brauchen wir nur jetzt praktisch zum letzten mal denn beim nächsten mal wird es über den schlüssel gehen so wir sehen hier als resultat ein key wurde hinzugefügt und des vorstands auf jetzt die anmeldung mit dem mini usernamen vorzunehmen um zu prüfen das ist auch mit dem qih funktioniert diese aufforderung komm ich jetzt auch noch und melde mich am ziel system an mit dem user dem neben verwendet haben ssh muss 2 und wie man sehen kann habe ich kein passwort bekommen und die anmeldung hat dennoch funktioniert das heißt es hat mit dem schlüssel geklappt nachdem wir jetzt gesehen habe wie einfach das war unter unix linux mac os zeige ich jetzt wie das ganze unter windows funktioniert auch hier ist windows im vorgehen etwas anders als die yonex reden und das jetzt zu bewerkstelligen benutze ich das programm partie das mache ich jetzt auf und wie ich erzeugt jetzt als erstes eine neue session gibt hier die ip adresse des servers 12.100 2002 dann vergebe ich hier einen namen damit ich mir diese stellen auch abspeichern kann 10 201 682 hier kann man auch natürlich einen sprechenden namen verwenden klick hier gleich mal auf save dann ist diese session schon mal gesichert dann kann ich hier und connection data die login details angeben und da ich ja weiß dass ich immer mit dem gleichen usernamen mit dieser session anmelden werde vergeblich hier gleich den usernamen dann muss ich das nicht noch mal nur ein tippen mustermann und jetzt gehe ich auf den knoten ssh und darunter auf aus wie of recession und hier gibt es im eingabefeld da klicke ich auf braus und das bringt mich auf den man private key den ich vorher schon angelegt habe den werde ich jetzt aus klick auf open dann gehe ich zurück auf session und safe und damit es der party mit dieser session verknüpft jetzt kann ich mich mit dieser session am ziel server anmelden klicke auf opern und wie man sehen kann wurde der username musste man verwendet der server und partie haben schon versucht über key austausch mich anzumelden das hat aber nicht funktioniert weil es zu malen private key ein publisher auf dem server gibt bisher das heißt ich muss jetzt hier nochmal eine passwort anmeldung vornehmen das mache ich jetzt auch und jetzt schaue ich mich gleich im user direktorium wonach ich schaue ist das punkt ssh directory und es fällt auf dass es noch nicht da ist das ist auch nicht weiter schlimm denn das können wir erzeugen mit dem verkehr dunkles haar und da landet später eben unser public key drin da ich aber vermeiden will dass andere leute in meinem punkt es ist hd rektor ihren fuhrwerken werde ich das jetzt noch mal absichern extra und zwar mache ich hier' ch mod 700 grundrisses haar und es sorgt dafür dass das ssh directory nur für den user mustermann zugänglich ist jetzt gehe ich in das punkt es ist toll ihn ein und erzeugt die datei auf kreiskys und hier muss jetzt der public key hinein wie finde ich den wir hatten in der freund mit partikeln erzeugt also gehe ich wieder nach politikern klicke auf lot lademann private key klick auf open und hier ist der public key sowie ein wir hin angelegt haben man konnte unzählige ich mit ihnen in die zwischenablage gehe hier überein dass termin am fenster rechter mausklick und schon ist der public key in der office datei so jetzt doppelpunkt gut zum speichern und auf weiß kies befüllt jetzt kann ich mir die anmeldung schon mal anschauen ob das auch alles funktioniert hieraus öffne partie neu ulm eine session claude open und die anmeldung funktioniert wenn man nach oben klick nicht nach oben klick seine augen scrollt sieht man hier dass die authentifizierung mittels das public keys vom user mustermann erfolgt ist ich hatte ja eingangs schon angedroht dass es einen abschluss geben wird der sich mit nacharbeiten beschäftigt und das machen wir jetzt es ist nicht viel zu tun es geht nur darum die datei ist hd unterstrich config zu editieren darin werden nur die brut anmeldung abklemmen und auch die passwort anmeldung abschalten ich bin jetzt hier auf dem zielserver angemeldet und ich werde jetzt im folgenden die datei solche tcs des shs hd unterstrich config modifizieren und bevor man sich an systemdateien zu schaffen macht es ist auf jeden fall eine gute idee sich eine kopie davon anzulegen damit man eben ein backup hat das mache ich jetzt schnell gut und schon kann es weitergehen jetzt kann ich die datei gefahrlos indizieren und wie ich schon gesagt habe möchte ich dass die root anmeldung modifizieren und dann auch die passwort anmeldung abschalten tegut anmeldung finden wir gleich ein paar zeilen tiefer und zwar gleich hier wo der chor sogar drauf steht und das passwort braid password bedeutet dass man sich kümmern dass hier ein schalt indem man das heißt zeichen wegnimmt als rosa zwar gut und user zwar noch anmelden kann aber dass dann eben die ssh schlüssel anmeldung zieht und eben kein passwort pumpt mehr möglich ist das ist der standard aber ich hatte gesagt wir klären die route anmeldung komplett ab was sagen wir auch sinn macht und aber ihr könnt das natürlich machen wie es bei euch in unternehmen oder bereich zu hause wo auch einmal wie es da geregelt ist ich würde vorschlagen hier eben das durch neue zu ersetzen jetzt kann man sich eben als ruth überhaupt nicht klar anmelden ich spreche das ganz kurz und jetzt kommt die anmeldung mit dem passwort das steht ganz am ende der datei und hier geht es eben um den parameter passwort rasante action und den setze ich auf no damit ist die passwort anmeldung unmöglich gemacht jetzt muss man noch den ssh die mit neu starten das ist vom system zu system unterschiedlich auf bunte benutzt man den befehl systems etl und sinologie zum beispiel ist es glaube senior system ctl da müsste eben schauen wie das funktioniert so das ist erledigt jetzt kann ich das gleich testen und zwar versuche ich mich jetzt als gut anzumelden und wie erwartet ist meine konfiguration gezogen worden und die root anmeldung hat nicht funktioniert eingangs des videos hatte ich schon erwähnt dass ich den praktischen einsatz des ssh kies demonstrieren will und es mache ich jetzt auch und zwar am beispiel einer unified rematch in pro und für den zweck gehe ich schon gleich auf den webbrowser hier bin ich auf dem unified portal und hier drüben sieht man schon meine juden pro klick drauf und startet den network controller auf dieser unified römischen pro ist nicht viel los ich verwende das jahr als lab plattform deswegen kann man auch solche sachen wie ich selbst demonstrieren will ziemlich ungestraft tun ich gehe auf settings und als erstes landet man auf dem punkt zeit und da bin ich auch schon gleich richtig rolle ganz nach unten bis ich auf den punkt die weiß aufwändig ation komme wichtig ist hier dass der punkt es ist age in hebel of education angekreuzt ist und dass man einen usernamen passwort vergeben hat das heißt es geht nicht allein um die dm sondern eben vor allen dingen eben um die jüngsten devices jetzt kann man hier auf den button uss haki klicken und man bekommt dieses prompt man kann dem key einen namen geben ich bin jetzt ganz kreativ und hat das einfach drei spielen und hier unten drunter sieht man schon die anforderung schutzstatus ssl bindestrich essay das heißt mit einem e d255 19 können wir hier überhaupt nichts tun das heißt wir brauchen hier einen normalen ssh rsa key und dann bekomme ich aus meinem terminal ich komme mit den einmal zwischenablage und passte ihn hier hinein klicke auf add und schon ist man public key hierunter beispiel gespeichert also niemals den privatkino nur den public key so jetzt muss man einfach nur noch auf handys klicken und der schlüssel ist gespeichert und wird dann auf alle unified device ist im netzwerk verteilt sicherlich ist euch aufgefallen dass es elementar ist sein es ist haki sicher aufzubewahren denn wir haben ja zum beispiel unseren es ist halt eben so eingestellt dass keine passwort anmeldung mehr möglich ist das heißt ihr müsst wirklich dafür sorgen dass das ding bei euch ist wenn es tatsächlich auch braucht und dass ihr dafür sorgt dass es nicht in die falschen hände fällt denn wenn ihr eine ganze menge server damit konfiguriert hat und der public private key fällt in die falschen hände wird geklaut was auch immer derjenige kann sich natürlich ganz einfach an euren systemen anmelden also darauf aufpassen und was euch sicherlich auch aufgefallen ist ist die tatsache dass es durchaus unübersichtlich werden kann wenn man als seinen die auf eine ganze reihe von servern verteilt hat deswegen ist es üblich dass man in größeren umgebungen im sogenannten besten horst einrichtet oder auch jump server genannt und den dann entsprechend so konfiguriert dass man sich auf dieses system mittels eines ssh kies anmeldet und von diesen dann als ebenfalls jumps verwendet und von dort aus mit wegen mit mit passwort authentifizierung oder wie auch immer das innerhalb des unternehmens geregelt ist dann weiter macht das bringt mich zum ende dieses videos und ich hoffe dass informativ für euch war wenn dem so ist dann freue ich mich wenn ihr mehr im weg da los ansonsten wäre es schön wenn ihr meinen kanal abonnieren würde bis zum nächsten mal dabei