Forums Neueste Beiträge
 

SSH key und OTP

01/02/2011 - 18:42 von Peter Mairhofer | Report spam
Hi,

Ich habe meinen Server gerade "fit" für "Notfallssessions" auf fremden
PCs gemacht. Per SSH loggt man sich entweder mit einem public key (mit
Passphrase geschützt) ein oder mit dem sicheren, geheimen Passwort.

Bin ich an einem unsicheren Rechner, gebe ich zuerst ein
"Spezialpasswort" ein, danach wird der Login mit Einmalpasswörtern per
OPIE freigeschalten. Das OPIE Passwort ist dabei das gleiche wie das
sichere, geheime Passwort für den normalen Login. Eine Liste der OTP
Passwörter ist in meiner Geldtasche [1].

OPIE mittels PAM funktioniert auch mit sudo super!

Was mir aber noch fehlt: Mit diesem Server greife ich per SSH auf andere
Systeme zu, manche davon funktionieren *nur* per public key. Jetzt
stelle ich mir die Frage ob es möglich wàre, sich ebenfalls an diesen
Rechnern einzuloggen ohne ein Passwort eingeben zu müssen.

Die erste Möglichkeit ist am Server den private key ohne Passwort
gespeichert zu haben. Will ich natürlich nicht.

Die zweite Möglichkeit ist den Key zwar mit einem Passwort zu schützen,
dieses aber dennoch einzugeben. Will ich auch nicht, führt das Konzept
ad absurdum.

Gibt es eine Möglichkeit dieses Problem zu lösen? Vielleicht in
Kombination mit dem SSH Agent?

Da ich mir nicht vorstellen kann wie das technisch funktionieren soll
tippe ich mal auf "nein". Aber vielleicht gibts ja doch eine Lösung :)

LG
Peter


[1] Mit dieser Konstellation wird sowohl ein Spezialpasswort als auch
die Liste der OTP Passwörter benötigt. Jemand, der die Codes in meiner
Geldtasche findet müsste zusàtzlich zuerst das Spezialpasswort sniffen.
 

Lesen sie die antworten

#1 Wolfgang Meiners
02/02/2011 - 13:48 | Warnen spam
Am 01.02.11 18:42, schrieb Peter Mairhofer:

Gibt es eine Möglichkeit dieses Problem zu lösen? Vielleicht in
Kombination mit dem SSH Agent?



Würde ich so versuchen. ssh kennt die Option -A für das
Agentenforwarding. Ob das allerdings funktioniert, wenn die
ssh-Verbindung per OTP geöffnet wurde, habe ich nie ausprobiert.

Grüße
Wolfgang

Ähnliche fragen