Public-/Private-Key Authentifizierung mit Webhosting

    Es ist ja möglich, selbst mit einem Webhosting-Paket via SSH auf die Umgebung zuzugreifen. Dies geschieht am Ende mit einem Username + Passwort - soweit ganz normal.

    Nun möchte ich aber ein Public-/Private-Key Verfahren hinterlegen, sodass neben dem Passwort ein der Private-Key abgefragt wird. Dies sollte schließlich auch bei einem Webhosting-Paket möglich sein, da es ja nichts daran ändert, dass es eine Zugangsmöglichkeit via SSH gibt. Dies hab ich bisher immer erfolgreich u.a. mit Puttygen auf anderen Systemen realisiert.


    Nun habe ich mal den "SSH Keys Manager" im WCP angeschmissen. Mit Puttygen hab ich einen RSA Key erstellt und den Public-Key mit "Add Key" hinzugefügt. Wenn ich mich jetzt via SSH anmelde und in authorized_keys schaue, dann sehe ich den Key auch - der Key Manager hat also seine Aufgabe erfüllt. Nun muss ich den Kram ja noch in /etc/ssh/sshd_conf aktivieren. Jedoch gibt es im /etc/ Ordner keinen ssh Ordner:


    Code
    bash-5.0$ pwd
/etc
bash-5.0$ ls
ImageMagick-6  fonts  group  hosts  localtime  mime.types  nsswitch.conf  passwd  php5  pki  resolv.conf  services  ssl
bash-5.0$


    Was nun?


    Edit: Auch interessant: Auf der Kiste lag bereits unter /.ssh/id_rsa ein private key?

    Du hast beim Webhosting keinen Zugriff auf die Konfiguration des SSH-Daemons, da Du diesen gemeinsam mit allen anderen Kunden nutzt. Dein /etc Ordner, den Du über SSH siehst, befindet sich in einem Chroot. Wenn Du den SSH-Server umkonfigurieren willst, brauchst Du einen VPS/RS.


    Beim Webhosting kannst Du die PasswordAuthentication jedenfalls nicht ganz deaktivieren, die bleibt immer aktiv. Wenn Du einen Public-Key hinterlegst, kannst Du Dich damit sofort anmelden, statt einem Passwort. Beides zu kombinieren geht ebenfalls nicht.


    PS: Ich würde im Jahr 2023 keine RSA-Keys mehr neu erstellen, wenn es nicht unbedingt notwendig ist. Verwende lieber ECDSA oder Ed25519. Bei aktuellen Webhostingtarifen (mit Plesk) sollte es da keine Probleme geben.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Danke 1 Gefällt mir 2

    Du kannst Deinen Private-Key aber natürlich immer mit einer Passphrase versehen. Aber ich denke das meinst Du nicht?

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Nein geht beim Webhosting nicht, was du machen kannst. Ein 128 stelliges Password generieren und setzen, dieses vergessen da du vorher schon deinen Key hinterlegt hast. Somit bist du ziemlich sicher vor Bruteforce und auch Erpressung gegen deine Person, da du das Passwort ja auch nicht kennst. Solltest dann aber natürlich auch nicht deinen Key rausgeben ;)