Dieser Vortrag stellt eines der weniger bekannten OpenSSH Features vor: signierte Schlüssel. Neben einer kleinen Live-Demo gehe ich dabei auch auf praktische Fragen ein und erkläre, wie sich Teamwechsel, Schlüsselwechsel, Keyrevocation usw. umsetzen lassen.

1. Jiří Kraml
Dev Day 2022, Dresden
Zugang mit signierten SSH-Keys
1

2. 2
Ohne Login kein Service
● Typischerweise kein entfernter Zugang

3. 3
Unterschiedliche Lifecycles

4. 4
Anmeldung per SSH
● Passwort
● SSH Key
● Signierter SSH Key
● PAM
4
4

5. 5
Passwort
● Meist nur ein Account
○ Also auch nur ein Passwort
○ Änderungen betreffen immer alle Nutzer
5
5

6. 6
SSH Keys
● Beliebig viele pro Account
● Key-Pair ist ewig gültig
● Public Key muss Zielsystem bekannt sein (authorized_keys)
6
6
6
6

7. 7
Signierte SSH Keys
● Gewohntes Key Pair, zusätzlich Zertifikat
○ “Signature Public Key” statt authorized_keys
● Beliebige Gültigkeit des Zertifikats
● OpenSSH Feature
● Systemzeit sicherheitsrelevant
7
7
7
7

8. 8
Demo
8
8
8
8

9. 9
Umsetzung
● OpenSSH bringt alle Tools mit
● Mehrere Projekte bauen darauf auf
○ Meist jedoch sehr umfangreich
9
9
9
9

10. 10
Umsetzung
● Unsere Idee: “kleine” Lösung in Git
Repository
● Keine zusätzliche Infrastruktur
● Ein Skript
● Alle Zertifikate im Git
10
10
10
10

11. 11
Demo
11
11
11
11

12. 12
Bildnachweise
● “Company”: geotatah via flaticon.com
● “Factory”: srip via flaticon.com
● “Employee”: Freepik via flaticon.com
● “Certificate”: Freepik via flaticon.com
● “Login”: Freepik via flaticon.com
● “Key”: Freepik via flaticon.com
● “Server”: Smashicons via flaticon.com
● Rest: selbstgemacht, Jiří Kraml, ZIGPOS GmbH
12
12
12
12

13. 13
Fragen?
Zertifikat-Repo forken:
gitlab.com/zigpos/public-events/devday-dresden-2022/ssh-certs
13
13
13
13