Hallo Tutorialsde_ianer,

ich würde mich gerne auf meinen kleinen Server per ssh verbinden. Zu diesem Zweck
habe ich mithilfe des ssh-keygens ein schlüsselpaar erzeugt und dabei ist mir aufgefallen,
dass der erzeugte, öffentliche Schlüssel (id_rsa.pub) meinen aktuellen Benutzernamen
und den Hostnamen meines Clientpcs beinhaltet. Sollte nun aber, durch irgend welche
Umstände mal mein Server kompromittiert werden würde der potentielle Angreifer dadurch
auch gleichzeitig meinen Clienthostnamen und meinen Clientusernamen wissen. Das würde
ihm meiner Meinung nach helfen auch mein Clientsystem kompromittieren zu können, da
er ja jetzt zu mindest schon mal den Benutzernamen kennt.

Meine Frage lautet nun also:

Ist es möglich einen öffentlichen Schlüssel (id_rsa.pub) ohne diese Angaben (Benutzername
und Hostnamen) meines Clientsystems zu erzeugen?

Vielleicht wisst Ihr da näheres, habe bereits die Manpages bemüht aber bin dort leider nicht
fündig geworden und bei google suche ich dem Anschein nach nach den falschen suchbegriffen.

Auszug aus dem Manpage von ssh-keygen:

For RSA1 keys, there is also a comment field in the key file that is only for convenience to the user to help identify the key. The comment can tell what the key is for, or whatever is useful. The comment is initialized to “user@host” when the key is created, but can be changed using the -c option.

Du kannst hinter dem "==" hinschreiben was du willst, der Standard wert ist einfach nur user@host, weil man daran sehr leicht einen public-key wiedererkennen kann.
Aber wenn jemand schon auf deinem Server ist, kann er anhand von netstat, ssh-logs uvm garantiert noch mehr Informationen über deinen Client ermitteln als den User- und Hostnamen. Der effektivste Schutz ist in dem Fall eher ein starkes Passwort und minimalste Rechte des Users auf dem Clientsystem.

Gruß
Matt

Vielen Dank Matt, das werde ich gleich mal ausprobieren, verdammt das ich das doch übersehen habe.
Wünsche noch ein Frohes Fest! - stets EnricoX

Schade, zu früh gefreut... Habe es gerade ausprobiert und es kam die Meldung
"Comments are only supported for RSA1 Keys." Da ich aber einen RSA2 Key
verwende fällt diese Option für mich also flach, so ein Käse! Warum geht das
nicht auch bei RSA2 Keys? *amkopfkratz*

//edit: Puhh, Kommando zurück, es hat jetzt doch mit meinem RSA2 Key geklappt
nur für alle die die vielleicht einmal vor dem selben Problem stehen sollten, es gibt
einmal die Möglichkeit ein Kommentar in einem RSA1 Key zu hinterlassen per
-c aber möchte man ein Kommentar bei einem RSA2 Key hinzufügen muss man
bei der Generierung des Schlüssels mit Hilfe des -C (großes C) Parameters den
Kommentar hinzufügen. Anstatt des normalerweise verwendeten USERNAME@HOST
steht dann nur der gewählte KOMMENTAR.

stets EnricoX

Du kannst es aber auch nachträglich per Hand noch ändern, ist auch kein Problem, musst es nicht unbedingt mit der -c/C Funktion machen...

Echt? Wozu wird denn dann das Passwort für den RSA Key benötigt wenn man es mithilfe der -c Funktionen ändert? Wie auch immer, ich bin ja schon glücklich das es geklappt hat

Hi,

das Passwort dient nur zur Verschlüsselung des private keys. Um diesen verwenden zu können, musst du das richtige Passwort eingeben.

Gruß
BK

Hm, das ist alles etwas schwierig zu beschreiben. Hauptsache ist ja das es nun bei mir klappt und ich Glücklich bin, danke noch einmal allen die sich mit meinem Problem beschäftigt haben und mir bei der Lösung geholfen haben!