Login per SSH-Key nachträglich aktivieren

Hallo Zusammen,

ich gebe bei der Installation der Firmware später immer ein Passwort an, damit ich dann recht einfach über SSH auf das Gerät komme. Dann stelle ich alles weitere an, ist in der Regel einfacher und man kann aus der Doku mit Copy and Paste gewisse Befehle nutzen :slight_smile:

Nun kommt es dann aber vor, dass man einen SSH-Key hinterlegen möchte, später auch löschen oder ändern. Eventuell das Passwort löschen, so dass die Firmware auf dem Stand ist wie Sie gewesen wäre wenn gar nicht erst ein Passwort angegeben worden wäre.

Ich habe nun schon was von einem Linux Client aus mittels „ssh-copy-id“ gelesen, das klappt auch, ist aber nach einem Update weg. Dann habe ich was von /etc/dropbear/authorized_keys gelesen. Diese Datei alleine reicht aber nicht aus. Bevor ich nun alles ausprobieren wollte ich hier nun mal nachfragen.

Nicht getestet (will mich nicht aussperren) aber vermutlich noch richtig ist dagegen die Funktion die ich gefunden habe um das Passwort zu löschen. Wenn mir das jemand bestätigen könnte wäre das aber super. „passwd -l root“

Ach ja, aktuell geht es sich um die Domäne Niederrhein und die Firmware 0.8.0 http://images.niederrhein.freifunk.ruhr/ffkle/

Wenn ich es richtig verstanden habe, dann möchtest Du einzelne SSH-Keys aus dem Keyring löschen oder ändern, korrekt?

Prinzipiell stehen die ssh Keys in
/etc/dropbear/authorized_keys

darauf kannst Du mit dem integrierten vi arbeiten.
Oder in tmp eine neue Datei bauen und dann in einem Schlag (wenn o.k.) umkopieren in /etc/dropbear, wenn „o.k“
(würde ich vi-Neulingen empfehlen…)

Ob sich da einzelne Keys sinnvoll/einfach entfernen lassen hängt davon ab, ob man weiss, wie diese lauten oder zumindest welche ID „das letzte Feld, ganz rechts“ haben sollte.
Dann könnte man da auch Späße mit grep treiben, um das zu automatisieren.

Jein, da ich erst mal keinen SSH-Key angebe im Config-Mode, muss ich auch den ersten Key hinzufügen, löschen bzw. ändern könnte dann irgendwann mal nötig sein, ist für mich aber dann kein Thema mehr.

Also Linux und VI kenne ich, hab also auch mit der Nutzung von SSH und der Shell keine Probleme. Nutze sogar den VI lieber wie nano, den die meisten lieben ;-).
Ich muss halt nur wissen was man wo zu tun hat damit das Ergebnis wie gewünscht ist. Also meinst Du im Prinzip das hier
Adding SSH public keys — Gluon 2016.1 documentation Mich wunderte nur das ein „ssh-copy-id“ nur den /root/.ssh/authorized_keys erstellt hat.

Lange Rede kurzer Sinn, diese eine Datei mit dem Key reicht also aus? Korrekt?
Dann wäre mein „Snippet“ in etwa so.

touch /etc/dropbear/authorized_keys
chmod 0600 /etc/dropbear/authorized_keys
vi /etc/dropbear/authorized_keys

o.k. also erst nachträglich den key-Login überhaupt erst aktivieren.
Das geht so.
Wobei Du Dir cas chmod auch sparen kannst, es läuft auf dem Gerät sowieso (fast) alles als root.

Macht der Gewohnheit, gibt Dateien die mit falschen Rechten gar nicht erst genutzt werden. Da ist mir der SSH Server auf einem Linux im Gedächtnis geblieben. Muss alles seine Ordnung haben :wink:

Funktioniert das „passwd -l root“ auch. Also ist der Zustand nach diesem Befehl so, als hätte man im Config-Mode bei der Einrichtung nie ein Passwort eingegeben?

Soweit schon mal Danke.

Lieber passwd -d und dann nochmal passwd -l (letzteres nur zur Sicherheit weil die Doku im Gluon passwd mager ist und nicht weiß ob der sich so wie ein richtiges benimmt)

Dann ist der Passworthash gelöscht und du brauchst dir keine Sorgen mehr machen dass jemand deinen Hash knackt wenn du den Router weitergibst und so das Passwort erfährt.

Bei passwd -l ist nur der Login gesperrt, kann aber später reaktiviert werden.

2 Likes

Super, danke für den Tipp, genau das ist es was ich brauche…