Ssh-agent: Unterschied zwischen den Versionen
Gehrke (Diskussion | Beiträge) K (Start/Stop) |
Gehrke (Diskussion | Beiträge) K (→Start/Stop: Timeout) |
||
Zeile 15: | Zeile 15: | ||
# ssh-agent | # ssh-agent | ||
</pre> | </pre> | ||
− | Viele Distributionen starten den Agent schon automatisch. | + | Viele Distributionen starten den Agent schon automatisch. Der Parameter '-t' (Timeout) ermöglicht es, die Zeitspanne zu steuern, in welcher der Schlüssel im Arbeitsspeicher verbleibt. Diese Zeitspanne sollte unter Sicherheitsaspekten möglichst kurz sein (kurze Angriffszeit auf das RAM) und unter Bequemlichkeitsaspekten möglichst lang. |
Stoppen des Programmes: | Stoppen des Programmes: |
Version vom 26. November 2013, 15:27 Uhr
Achtung dieser Artikel ist noch in Arbeit und dient vorläufig nur als Vorlage. Dieser Beitrag zu Linux oder der Abschnitt ist in Bearbeitung. Weitere Informationen findest du hier. Der Ersteller arbeitet an dem Beitrag oder Abschnitt und entsorgt den Wartungsbaustein spätestens 3 Tage nach der letzten Bearbeitung. Änderungen außer Rechtschreibkorrekturen ohne Absprache mit dem Urspungsautor sind möglichst zu vermeiden, solange dieser Baustein noch innerhalb der genannten Frist aktiviert ist. |
Das Programm ssh-agent aus der Programmfamilie ssh ermöglicht die kurzfristige Speicherung von Passphrases, welche zur Absicherung von ssh-Keys verwendet werden. Dadurch entfällt für den Zeitraum der Speicherung die Notwendigkeit, für jede Verwendung des Keys die Passphrase eingeben zu müssen.
Einführung
Eine erhebliche Steigerung des Sicherheitslevels kann man erreichen, wenn für die Authentifizierung an einem ssh-Server das PublicKey-Verfahren anstatt eines Passwortes verwendet wird. Bei Wahl eines kryptographisch ausreichend starken Schlüssels wird erreicht, dass nur Personen zu einem Login berechtigt sind, die im Besitz des privaten Schlüssels sind.
Um das Schlüsselpaar gegen Missbrauch wie Diebstahl abzusichern, sollte es darüber hinaus bei der Erzeugung mit einer ausreichend starken Passphrase geschützt werden. Problematisch ist in dieser Konstallation aber, dass bei jeder Verwendung des Schlüssels (also bei jedem Login) eine sichere (und damit lange und komplexe) Passphrase angegeben werden muss. Dies kann dazu führen, dass aus Bequemlichkeit kurze und unsichere Passphrases gewählt werden.
Das Programm ssh-agent umgeht dieses Problem, indem es für einen begrenzten Zeitraum die Schlüssel im Arbeitsspeicher hinterlegt. So wird es möglich, dass im betreffenden Zeitraum genau einmal die korrekte Passphrase eingegeben werden muss und beliebig viele password-lose Verbindungen zu allen ssh-Servern aufgebaut werden können, auf denen der öffentliche Schlüssel hinterlegt ist.
Start/Stop
Starten des Programmes:
# ssh-agent
Viele Distributionen starten den Agent schon automatisch. Der Parameter '-t' (Timeout) ermöglicht es, die Zeitspanne zu steuern, in welcher der Schlüssel im Arbeitsspeicher verbleibt. Diese Zeitspanne sollte unter Sicherheitsaspekten möglichst kurz sein (kurze Angriffszeit auf das RAM) und unter Bequemlichkeitsaspekten möglichst lang.
Stoppen des Programmes:
# ssh-agent -k
Überprüfung, ob der Prozess schon läuft:
# ps aux | grep ssh-agent