Re: SSH: RSA Hostkey in ~/.known_hosts, trotzdem verlangt ssh nach DSA Hostkey

From: Bernd Walter <ticso(at)cicely9.cicely.de>
Date: Wed, 5 Mar 2003 23:43:21 +0100

On Wed, Mar 05, 2003 at 11:22:33PM +0100, Timo Schmidt wrote:
> * Bernd Walter <ticso(at)cicely9.cicely.de> [2003-03-05 22:10]:
> >
> > > > Weil der RSA erst benutzt wird, wenn DSA nicht möglich ist.
> > >
> > > Das kann ich auf dem NetBSD-Rechner nicht nachvollziehen.
> >
> > Der Server hat für ssh Protokol 1 einen RSA Host-key und für
> > Protokol 2 einen DSA Host-Key:
> > # HostKey for protocol version 1
> > #HostKey /etc/ssh/ssh_host_key
> > # HostKeys for protocol version 2
> > #HostKey /etc/ssh/ssh_host_dsa_key
>
> Oder - ebenfalls für Protokoll 2 - /etc/ssh/ssh_host_rsa_key.

Die gibt es noch nicht so lange.

> Aber hierbei handelt es sich um die Konfiguration des
> SSH-Daemons.

Die Syntax ist für den Client identisch.
Der Client benutzt in einigen Fällen auch die Host-Keys.
Wenn er den nicht kennt, dann kann er sich damit auch nicht
identifizieren.

>
> Aus sshd (8):
> | SSH protocol version 2
> | Version 2 works similarly: Each host has a host-specific
> | key (RSA or DSA) used to identify the host.
>
> Mir geht es aber um den ssh-Client.
>
>
> > Dann gibt es noch die Reihenfolge für Protokoll 1 vs. 2:
> > Protocol 2,1
>
> # grep Protocol ~/.ssh/config
> Protocol 2
>
>
> > Protokoll 2 ist aber das sinnvollere Verfahren, weswegen ich
> > nicht verstehen kann, warum du nicht einfach den DSA Host-Key
> > akzeptierst.
>
> Es wird ja Protokoll 2 verwendet, aber halt mit RSA.
>
> Aus irgendeinem Grund scheint bei FreeBSD auf RSA bei
> Verwendung von Protokoll 2 verzichtet worden zu sein. In
> sshd (8) wird bei Parameter -h unter NetBSD 1.6 auch auf
> drei Dateien verwiesen:
>
> | ... /etc/ssh/ssh_host_key for protocol version 1, and
> | /etc/ssh/ssh_host_rsa_key and /etc/ssh/ssh_host_dsa_key
> | for protocol version 2.
>
> Wohingegen unter FreeBSD 5.0 nur zwei Dateien erwähnt
> werden:
>
> | ... /etc/ssh/ssh_host_key for protocol version 1, and
> | and /etc/ssh/ssh_host_dsa_key for protocol version 2.
>
> Meine Frage ist nun, warum?

FreeBSD macht auch Protokoll 2 RSA, aber das ging früher AFAIK nicht.
Die Keyfiles werden auch erzeugt und es steht in der Manpage.
Ich glaube die default Konfiguration für den ssh listet den DSA Host
Key einfach nur zuerst.
Hast du schon mal versucht in der ssh_config die Keys explizit und in
einer anderen Reihenfolge zu definieren?

Ich habe mir da bislang jedenfalls noch keine genaueren Gedanken zu
gemacht, weils ja mit DSA funktioniert.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 05 Mar 2003 - 23:43:34 CET

search this site