Hallo,
ich habe im Webconfig gesehen, das man einen SSH RSA Key uploaden kann, leider habe ich im Manual dazu nichts gefunden. Ist es damit möglich einen SSH Publickey in den Router zu laden und sich damit beim eingebauten SSH Server zu authorisieren ?
Wenn dies möglich ist :
Jeder Versuch meinen üblichen (Open)SSH Public Key hochzuladen schlägt leider fehl, das Format ist angeblich nicht richtig. Welches Format hätte der Router denn gerne (BASE64 unencrypted sagt nicht sonderlich viel aus) ?
Danke und viele Grüße !
SSH Publickey Upload
Moderator: Lancom-Systems Moderatoren
SSH Publickey Upload
1821+ Wireless ADSL (Ann. B) Rev. E7-WI1 (KW 26/07), VoIP Basic Option, LCOS 7.70 Rel
T-DSL 16+, ADSL2+, Zielnetz (VLAN8), kein L2 Mode, DSLAM: Infineon
T-DSL 16+, ADSL2+, Zielnetz (VLAN8), kein L2 Mode, DSLAM: Infineon
-
AndreasMarx
- Beiträge: 131
- Registriert: 31 Jan 2005, 19:10
- Wohnort: München
Hallo Popasi,
Du kannst den SSH-private-Key ändern. Hintergrund: Ein fest eincompilierter Key ließe sich evtl. durch Reverse-Engineering extrahieren. Wer ihn kennt (ist dann ja bei allen Geräten gleich) könnte sich also als Host, sprich als LANCOM-Router ausgeben (Man in the Middle Attack) und damit das Passwort erfahren, da der Admin ja nicht feststellen kann, daß er mit einer "gefälschten" Gegenstelle spricht.
Eine Authentifizierung über SSH-Key ist nicht möglich, daher macht auch das Hochladen eine Public-Key keinen Sinn. Die Authentifizierung des Benutzers erfolgt weiterhin über Angabe von Benutzername und Passwort.
Wenn ich mich recht erinnere kannst Du den Key in genau dem Format hochladen, in dem SSH-keygen den in ~/.ssh/id_rsa ablegt.
Viele Grüße,
Andreas
Du kannst den SSH-private-Key ändern. Hintergrund: Ein fest eincompilierter Key ließe sich evtl. durch Reverse-Engineering extrahieren. Wer ihn kennt (ist dann ja bei allen Geräten gleich) könnte sich also als Host, sprich als LANCOM-Router ausgeben (Man in the Middle Attack) und damit das Passwort erfahren, da der Admin ja nicht feststellen kann, daß er mit einer "gefälschten" Gegenstelle spricht.
Eine Authentifizierung über SSH-Key ist nicht möglich, daher macht auch das Hochladen eine Public-Key keinen Sinn. Die Authentifizierung des Benutzers erfolgt weiterhin über Angabe von Benutzername und Passwort.
Wenn ich mich recht erinnere kannst Du den Key in genau dem Format hochladen, in dem SSH-keygen den in ~/.ssh/id_rsa ablegt.
Viele Grüße,
Andreas
LANCOM 1722,1724,1821+,L-322agn dual,1681V,1781EW,1781VA,1781EW+
Schade, das es nicht funktioniert, wäre sehr angenehm gewesen alle Geräte (Router, NAS und Linux Server) über diesen Mechanismus ansprechen zu können.
Danke für die Antwort !
Danke für die Antwort !
1821+ Wireless ADSL (Ann. B) Rev. E7-WI1 (KW 26/07), VoIP Basic Option, LCOS 7.70 Rel
T-DSL 16+, ADSL2+, Zielnetz (VLAN8), kein L2 Mode, DSLAM: Infineon
T-DSL 16+, ADSL2+, Zielnetz (VLAN8), kein L2 Mode, DSLAM: Infineon
Moin,
auch im Zusammenhang mit VPN oder SSL genutzt wird.
Gruß Alfred
Yup, das ist ein RSA-Schlüssel im PEM-Format, wie erWenn ich mich recht erinnere kannst Du den Key in genau dem Format hochladen, in dem SSH-keygen den in ~/.ssh/id_rsa ablegt.
auch im Zusammenhang mit VPN oder SSL genutzt wird.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Heute mit der 6.22 getestet, funktioniert wunderbar, bin begeistert, habe meinen üblichen RSA Key hochgeladen, komme jetzt ohne nervigen Login direkt in die Shell, danke 
Eine Frage noch dazu : Wie kann ich einmal hochgeladene Public Keys wieder entfernen ?
Eine Frage noch dazu : Wie kann ich einmal hochgeladene Public Keys wieder entfernen ?
1821+ Wireless ADSL (Ann. B) Rev. E7-WI1 (KW 26/07), VoIP Basic Option, LCOS 7.70 Rel
T-DSL 16+, ADSL2+, Zielnetz (VLAN8), kein L2 Mode, DSLAM: Infineon
T-DSL 16+, ADSL2+, Zielnetz (VLAN8), kein L2 Mode, DSLAM: Infineon
Moin,
dokumentiert...
einfach löschen (bei einem Konfig-Reset verschwindet sie auch).
Hinzufügen oder Löschen von Schlüsseln ist im Moment noch etwas unbequem, die Datei
muß man offline editieren und neu hochladen. Mittelfristig sollte man dafür noch eine
Editierfunktion in der WEBconfig vorsehen...
Gruß Alfred
Freut mich, daß das so auf Anhieb geklappt hat. Hat das wirklich schon jemand im ManualHeute mit der 6.22 getestet, funktioniert wunderbar, bin begeistert, habe meinen üblichen RSA Key hochgeladen, komme jetzt ohne nervigen Login direkt in die Shell, danke Very Happy
dokumentiert...
In der Expertenkonfiguration unter Status->Dateisystem->Inhalt die Datei 'ssh_authkeys'Eine Frage noch dazu : Wie kann ich einmal hochgeladene Public Keys wieder entfernen ?
einfach löschen (bei einem Konfig-Reset verschwindet sie auch).
Hinzufügen oder Löschen von Schlüsseln ist im Moment noch etwas unbequem, die Datei
muß man offline editieren und neu hochladen. Mittelfristig sollte man dafür noch eine
Editierfunktion in der WEBconfig vorsehen...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015