SSH Key bei neu aufgesetztem Server

  • Hallo Forum,


    ich bau mir zurzeit ein Setupscript und teste das immer wieder mit einem taufrisch aufgesetztem VPS 200. Also im SCP Debian 9 Minimal installieren, dann das Script auf dem Server durchlaufen lassen, Optimierungen anbringen, und von vorn. Das nur nebenbei, die eigentliche Frage die ich mir stelle, da ich dabei sehr oft das Debian Image einspiele: Gibts eine Möglichkeit, einen Public Key auf die VM nach /root/.ssh/authorized_keys zu bringen?

    Per extralangsamen VNC mit dem generierten root Passwort einloggen und dann den Public Key per scp von einer anderen Maschine kopieren ist grad der schnellste Weg den ich gefunden hab. Alternativ ginge noch temporär Passwortauthentifizierung für root im SSH Daemon zu erlauben, ssh Key von außen kopieren, und dann Passwordauth für root wieder deaktivieren.


    Hab das SCP schon lang und breit durchsucht, obs irgendwo eine "SSH Public Key auf die VM kopieren" Funktion gibt, aber ich hab nichts gefunden. Auch während der Installation des Debian Image lässt sich da nix auswählen. Bin ich der erste der sowas gern hätte oder einfach nur blind?

  • So ein Feature ist mir nicht bekannt, macht meiner Meinung nach aber durchaus Sinn. Am besten mit einer Public-Key Verwaltung im SCP, und bei der Installation kann dann ausgewählt werden, welche Keys auf dem Server hinterlegt werden sollen.

  • -> OS Installieren

    -> PubKey aufspielen

    -> Snapshot erstellen

    -> Snapshot als Cleaninstall verwenden

    Ein Snapshot ist an einen Server gebunden. Gerade bei den neuen VPS mit stundenweiser Abrechnung möchte man durchaus mehrere Maschinen initial installieren, dabei kann nicht auf Snapshots zurückgegriffen werden soweit ich weiß.

  • Ein Snapshot ist in dem Fall schon eine Lösungsmöglichkeit, wenn auch nicht optimal. In so einen Snapshot schleichen sich dann ja doch mal Dinge ein, "das mach ich gleich auch noch in den Snapshot, das ist doch immer das gleiche" - und dann wird das Script schon lückenhaft. Ist allerdings keine große Sache in dem Fall.


    Ich dachte einfach nur, dass ich das im SCP schon gesehen hatte, bin ich aber wohl einfach nur von anderen Anbietern und Oberflächen gewohnt.


    Wie das UI mäßig aussehen kann, kann man sich zB bei NAMEENTFERNT ansehen. Würd ich auf jeden Fall als sinnvolles Feature sehen. Wie janxb schon angemerkt hat, gehts gerade bei den VPS Angeboten ja durchaus auch mal in Richtung "Wegwerfserver". Die nutzt man vielleicht auch für Experimente, oder man probiert für ein Setup auch mal mehrere Distributionen durch. Da wärs schon hilfreich, wenn der "Einstieg" logistisch etwas einfacher ist.

  • Wir werden vermutlich Cloud-Init zukünftig anbieten. Hier wäre, wenn der Kunde dieses wünscht, auch bei einem Vorhandenen Image nachträglich ein Tausch von SSH-Keys möglich.



    Mit freundlichen Grüßen


    Felix Preuß

    Das wäre wirklich klasse!


    Ist aber vermutlich einiges an Aufwand, wenn man sämtliche Images neu erstellen und "Cloud-Init-Ready" anbieten möchte. Aber an sich sehr begrüßenswert, da dadurch auch Systeme wie RancherOS gut nutzbar wären. Bin auf jeden Fall sehr gespannt, was da kommen wird ;-).

  • Das will ich sehen, wie der Angreifer an dmcrypt vorbei kommt :)

    Den unverschlüsselten Teil manipulieren und warten, bis Du das Passwort das nächste Mal eingibst? :D


    (Aber prinzipiell natürlich 1:0 für Dich! 8o)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Was bedeutet CloudInit ist geplant zu unterstützen?
    Werdet ihr das intern nutzen und nach und nach features von CloudInit im scp zur Verfügung stellen?
    Oder gibt es Cloud Init Scripte/Configurationen die über das scp hochgeladen werden?
    Oder wird es (was ich ja favorisieren würde) eine API geben, so dass man ein durchgängiges Konfigurationsmanagement realisieren kann?

  • Guten Morgen,


    Zitat

    Werdet ihr das intern nutzen und nach und nach features von CloudInit im scp zur Verfügung stellen?

    Oder gibt es Cloud Init Scripte/Configurationen die über das scp hochgeladen werden?

    Oder wird es (was ich ja favorisieren würde) eine API geben, so dass man ein durchgängiges Konfigurationsmanagement realisieren kann?


    Alle Oders können durch ein Und ersetzt werden. Wir planen alles zu unterstützen.


    Mit freundlichen Grüßen


    Felix Preuß

  • Da ich gerade mit Kubernetes auf fünf vServern herumspiele und diese häufiger mal in den Auslieferungszustand versetze, begrüße ich diese Ankündigung sehr. Am liebsten wäre es mir, wenn das ganze an einen Punkt gelangt, an dem man terraform nutzen kann.


    Schönes Wochenende!