SSH-Schlüsselbasierte Authentifizierung: known_hosts vs authorized_keys

Question 1

Sie verwechseln die Authentifizierung des Server-Computers gegenüber dem Client-Computer und die Authentifizierung des Benutzers gegenüber dem Server-Computer.

Serverauthentifizierung

Eines der ersten Dinge, die passieren, wenn die SSH-Verbindung hergestellt wird, ist, dass der Server seinen öffentlichen Schlüssel an den Client sendet und beweist (dankPublic-Key-Kryptographie) dem Client mit, dass er den zugehörigen privaten Schlüssel kennt. Dadurch wird der Server authentifiziert: Wenn dieser Teil des Protokolls erfolgreich ist, weiß der Client, dass der Server derjenige ist, der er vorgibt zu sein.

Der Client kann prüfen, ob es sich um einen bekannten Server handelt und nicht um einen betrügerischen Server, der sich als der richtige ausgeben will. SSH bietet nur einen einfachen Mechanismus zur Überprüfung der Legitimität des Servers: Es merkt sich Server, mit denen Sie bereits verbunden waren, in der ~/.ssh/known_hostsDatei auf dem Client-Rechner (es gibt auch eine systemweite Datei /etc/ssh/known_hosts). Wenn Sie sich zum ersten Mal mit einem Server verbinden, müssen Sie auf andere Weise prüfen, ob der vom Server bereitgestellte öffentliche Schlüssel wirklich der öffentliche Schlüssel des Servers ist, mit dem Sie sich verbinden wollten. Wenn Sie den öffentlichen Schlüssel des Servers haben, mit dem Sie sich verbinden möchten, können Sie ihn ~/.ssh/known_hostsauf dem Client manuell hinzufügen.

Die Authentifizierung des Servers muss erfolgen, bevor Sie vertrauliche Daten an ihn senden. Insbesondere wenn die Benutzerauthentifizierung ein Kennwort erfordert, darf das Kennwort nicht an einen nicht authentifizierten Server gesendet werden.

Benutzerauthentifizierung

Der Server lässt einen Remote-Benutzer nur dann einloggen, wenn dieser nachweisen kann, dass er das Recht hat, auf dieses Konto zuzugreifen. Je nach Konfiguration des Servers und Wahl des Benutzers kann der Benutzer eine von mehreren Arten von Anmeldeinformationen vorlegen (die folgende Liste ist nicht vollständig).

Der Benutzer kann das Kennwort für das Konto eingeben, bei dem er sich anmelden möchte. Der Server überprüft dann, ob das Kennwort korrekt ist.
Der Benutzer kann einen öffentlichen Schlüssel vorlegen und beweisen, dass er den privaten Schlüssel besitzt, der mit diesem öffentlichen Schlüssel verknüpft ist. Dies ist genau dieselbe Methode, die zur Authentifizierung des Servers verwendet wird, aber jetzt versucht der Benutzer, seine Identität zu beweisen, und der Server überprüft ihn. Der Anmeldeversuch wird akzeptiert, wenn der Benutzer beweist, dass er den privaten Schlüssel kennt und der öffentliche Schlüssel in der Autorisierungsliste des Kontos ( ~/.ssh/authorized_keysauf dem Server) steht.
Bei einer anderen Methode wird ein Teil der Authentifizierungsarbeit des Benutzers an den Client-Rechner delegiert. Dies geschieht in kontrollierten Umgebungen wie Unternehmen, wenn viele Rechner dieselben Konten teilen. Der Server authentifiziert den Client-Rechner mit demselben Mechanismus, der auch umgekehrt verwendet wird, und verlässt sich dann auf den Client, um den Benutzer zu authentifizieren.

Answer

Sie verwechseln die Authentifizierung des Server-Computers gegenüber dem Client-Computer und die Authentifizierung des Benutzers gegenüber dem Server-Computer.

Serverauthentifizierung

Eines der ersten Dinge, die passieren, wenn die SSH-Verbindung hergestellt wird, ist, dass der Server seinen öffentlichen Schlüssel an den Client sendet und beweist (dankPublic-Key-Kryptographie) dem Client mit, dass er den zugehörigen privaten Schlüssel kennt. Dadurch wird der Server authentifiziert: Wenn dieser Teil des Protokolls erfolgreich ist, weiß der Client, dass der Server derjenige ist, der er vorgibt zu sein.

Der Client kann prüfen, ob es sich um einen bekannten Server handelt und nicht um einen betrügerischen Server, der sich als der richtige ausgeben will. SSH bietet nur einen einfachen Mechanismus zur Überprüfung der Legitimität des Servers: Es merkt sich Server, mit denen Sie bereits verbunden waren, in der ~/.ssh/known_hostsDatei auf dem Client-Rechner (es gibt auch eine systemweite Datei /etc/ssh/known_hosts). Wenn Sie sich zum ersten Mal mit einem Server verbinden, müssen Sie auf andere Weise prüfen, ob der vom Server bereitgestellte öffentliche Schlüssel wirklich der öffentliche Schlüssel des Servers ist, mit dem Sie sich verbinden wollten. Wenn Sie den öffentlichen Schlüssel des Servers haben, mit dem Sie sich verbinden möchten, können Sie ihn ~/.ssh/known_hostsauf dem Client manuell hinzufügen.

Die Authentifizierung des Servers muss erfolgen, bevor Sie vertrauliche Daten an ihn senden. Insbesondere wenn die Benutzerauthentifizierung ein Kennwort erfordert, darf das Kennwort nicht an einen nicht authentifizierten Server gesendet werden.

Benutzerauthentifizierung

Der Server lässt einen Remote-Benutzer nur dann einloggen, wenn dieser nachweisen kann, dass er das Recht hat, auf dieses Konto zuzugreifen. Je nach Konfiguration des Servers und Wahl des Benutzers kann der Benutzer eine von mehreren Arten von Anmeldeinformationen vorlegen (die folgende Liste ist nicht vollständig).

Der Benutzer kann das Kennwort für das Konto eingeben, bei dem er sich anmelden möchte. Der Server überprüft dann, ob das Kennwort korrekt ist.
Der Benutzer kann einen öffentlichen Schlüssel vorlegen und beweisen, dass er den privaten Schlüssel besitzt, der mit diesem öffentlichen Schlüssel verknüpft ist. Dies ist genau dieselbe Methode, die zur Authentifizierung des Servers verwendet wird, aber jetzt versucht der Benutzer, seine Identität zu beweisen, und der Server überprüft ihn. Der Anmeldeversuch wird akzeptiert, wenn der Benutzer beweist, dass er den privaten Schlüssel kennt und der öffentliche Schlüssel in der Autorisierungsliste des Kontos ( ~/.ssh/authorized_keysauf dem Server) steht.
Bei einer anderen Methode wird ein Teil der Authentifizierungsarbeit des Benutzers an den Client-Rechner delegiert. Dies geschieht in kontrollierten Umgebungen wie Unternehmen, wenn viele Rechner dieselben Konten teilen. Der Server authentifiziert den Client-Rechner mit demselben Mechanismus, der auch umgekehrt verwendet wird, und verlässt sich dann auf den Client, um den Benutzer zu authentifizieren.

Question 2

Meine Freunde haben mir die Antwort gegeben. Standardmäßig identifiziert der Schlüssel eine Maschine und keinen Benutzer. Daher werden die Schlüssel in /etc/ssh/ gespeichert. Deshalb habe ich einen anderen Schlüssel als den in /root/.ssh gespeicherten.

Answer

Meine Freunde haben mir die Antwort gegeben. Standardmäßig identifiziert der Schlüssel eine Maschine und keinen Benutzer. Daher werden die Schlüssel in /etc/ssh/ gespeichert. Deshalb habe ich einen anderen Schlüssel als den in /root/.ssh gespeicherten.

SSH-Schlüsselbasierte Authentifizierung: known_hosts vs authorized_keys

Antwort1

Serverauthentifizierung

Benutzerauthentifizierung

Antwort2

verwandte Informationen