SlideShare ist ein Scribd-Unternehmen logo
1 von 13
Downloaden Sie, um offline zu lesen
Jiří Kraml
Dev Day 2022, Dresden
Zugang mit signierten SSH-Keys
1
2
Ohne Login kein Service
● Typischerweise kein entfernter Zugang
3
Unterschiedliche Lifecycles
4
Anmeldung per SSH
● Passwort
● SSH Key
● Signierter SSH Key
● PAM
4
4
5
Passwort
● Meist nur ein Account
○ Also auch nur ein Passwort
○ Änderungen betreffen immer alle Nutzer
5
5
6
SSH Keys
● Beliebig viele pro Account
● Key-Pair ist ewig gültig
● Public Key muss Zielsystem bekannt sein (authorized_keys)
6
6
6
6
7
Signierte SSH Keys
● Gewohntes Key Pair, zusätzlich Zertifikat
○ “Signature Public Key” statt authorized_keys
● Beliebige Gültigkeit des Zertifikats
● OpenSSH Feature
● Systemzeit sicherheitsrelevant
7
7
7
7
8
Demo
8
8
8
8
9
Umsetzung
● OpenSSH bringt alle Tools mit
● Mehrere Projekte bauen darauf auf
○ Meist jedoch sehr umfangreich
9
9
9
9
10
Umsetzung
● Unsere Idee: “kleine” Lösung in Git
Repository
● Keine zusätzliche Infrastruktur
● Ein Skript
● Alle Zertifikate im Git
10
10
10
10
11
Demo
11
11
11
11
12
Bildnachweise
● “Company”: geotatah via flaticon.com
● “Factory”: srip via flaticon.com
● “Employee”: Freepik via flaticon.com
● “Certificate”: Freepik via flaticon.com
● “Login”: Freepik via flaticon.com
● “Key”: Freepik via flaticon.com
● “Server”: Smashicons via flaticon.com
● Rest: selbstgemacht, Jiří Kraml, ZIGPOS GmbH
12
12
12
12
13
Fragen?
Zertifikat-Repo forken:
gitlab.com/zigpos/public-events/devday-dresden-2022/ssh-certs
13
13
13
13

Weitere ähnliche Inhalte

Ähnlich wie Dev Day Jiří Kraml.pdf

Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen EinsatzSicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen EinsatzSpeedPartner GmbH
 
Dnug 112014 modernization_openn_ntf_ersatzsession
Dnug 112014 modernization_openn_ntf_ersatzsessionDnug 112014 modernization_openn_ntf_ersatzsession
Dnug 112014 modernization_openn_ntf_ersatzsessionOliver Busse
 
Remote Access auf Windows Server in einer neuen Dimension
Remote Access auf Windows Server in einer neuen DimensionRemote Access auf Windows Server in einer neuen Dimension
Remote Access auf Windows Server in einer neuen DimensionHOB
 
Unit Tests für Totalverweigerer
Unit Tests für TotalverweigererUnit Tests für Totalverweigerer
Unit Tests für TotalverweigererPeter Hauke
 
Domino HTTP Security - Neuerungen
Domino HTTP Security - NeuerungenDomino HTTP Security - Neuerungen
Domino HTTP Security - NeuerungenBelsoft
 
Open source business apps
Open source business appsOpen source business apps
Open source business appsManuel Pistner
 
"git.net" gibt's nicht?
"git.net" gibt's nicht?"git.net" gibt's nicht?
"git.net" gibt's nicht?inovex GmbH
 

Ähnlich wie Dev Day Jiří Kraml.pdf (7)

Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen EinsatzSicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
 
Dnug 112014 modernization_openn_ntf_ersatzsession
Dnug 112014 modernization_openn_ntf_ersatzsessionDnug 112014 modernization_openn_ntf_ersatzsession
Dnug 112014 modernization_openn_ntf_ersatzsession
 
Remote Access auf Windows Server in einer neuen Dimension
Remote Access auf Windows Server in einer neuen DimensionRemote Access auf Windows Server in einer neuen Dimension
Remote Access auf Windows Server in einer neuen Dimension
 
Unit Tests für Totalverweigerer
Unit Tests für TotalverweigererUnit Tests für Totalverweigerer
Unit Tests für Totalverweigerer
 
Domino HTTP Security - Neuerungen
Domino HTTP Security - NeuerungenDomino HTTP Security - Neuerungen
Domino HTTP Security - Neuerungen
 
Open source business apps
Open source business appsOpen source business apps
Open source business apps
 
"git.net" gibt's nicht?
"git.net" gibt's nicht?"git.net" gibt's nicht?
"git.net" gibt's nicht?
 

Mehr von CarolinaMatthies

Dev-Day-Keynote-Folien Leena Simon.pdf
Dev-Day-Keynote-Folien Leena Simon.pdfDev-Day-Keynote-Folien Leena Simon.pdf
Dev-Day-Keynote-Folien Leena Simon.pdfCarolinaMatthies
 
Dev Day Johannes Dienst.pdf
Dev Day Johannes Dienst.pdfDev Day Johannes Dienst.pdf
Dev Day Johannes Dienst.pdfCarolinaMatthies
 
DevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdfDevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdfCarolinaMatthies
 
Dev Day Stephan Pirnbaum.pdf
Dev Day Stephan Pirnbaum.pdfDev Day Stephan Pirnbaum.pdf
Dev Day Stephan Pirnbaum.pdfCarolinaMatthies
 

Mehr von CarolinaMatthies (9)

Dev-Day-Keynote-Folien Leena Simon.pdf
Dev-Day-Keynote-Folien Leena Simon.pdfDev-Day-Keynote-Folien Leena Simon.pdf
Dev-Day-Keynote-Folien Leena Simon.pdf
 
Dev Day Philipp Krenn.pdf
Dev Day Philipp Krenn.pdfDev Day Philipp Krenn.pdf
Dev Day Philipp Krenn.pdf
 
Dev Day Johannes Dienst.pdf
Dev Day Johannes Dienst.pdfDev Day Johannes Dienst.pdf
Dev Day Johannes Dienst.pdf
 
Dev Day Andreas Roth.pdf
Dev Day Andreas Roth.pdfDev Day Andreas Roth.pdf
Dev Day Andreas Roth.pdf
 
DevDay_Mirko Seifert.pdf
DevDay_Mirko Seifert.pdfDevDay_Mirko Seifert.pdf
DevDay_Mirko Seifert.pdf
 
DevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdfDevDay_Christian Mauth.pdf
DevDay_Christian Mauth.pdf
 
Dev Day Stephan Pirnbaum.pdf
Dev Day Stephan Pirnbaum.pdfDev Day Stephan Pirnbaum.pdf
Dev Day Stephan Pirnbaum.pdf
 
Vom Umgang mit Fehlern
Vom Umgang mit FehlernVom Umgang mit Fehlern
Vom Umgang mit Fehlern
 
Dev Day Maksim Gudow.pdf
Dev Day Maksim Gudow.pdfDev Day Maksim Gudow.pdf
Dev Day Maksim Gudow.pdf
 

Dev Day Jiří Kraml.pdf