Verschlüsselte SSH-Keys mittels Schlüsselbund ohne Kennworteingabe nutzen
Mittels SSH-Keys ist das Anmelden via SSH auf einen anderen Servern ohne Eingabe eines Kennwortes möglich – Vorausgesetzt der Key wird unverschlüsselt gespeichert. Wenn der unverschlüsselte SSH-Key jedoch in falsche Hände gelangt, kann sich der „neue Besitzer“ ohne jegliche Authentifizierung an sämtlichen Systemen anmelden, bei denen dieser Key hinterlegt ist. Abhilfe schafft hier das Verschlüsseln des Keys mit einem Kennwort. Nachteil: Bei einem Zugriff wird wieder nach einem Kennwort gefragt.
Was also tun? Unter macOS gibt es den sogenannte „Schlüsselbund“. Der Schlüsselbund ist eine Passwort-Zentrale von macOS, in dem unter anderem auch Kennwörter für Mail-Postfächer gespeichert sind (Schlüsselbund „Anmeldung“). Dieser wird mit dem Benutzerkennwort verschlüsselt und bei einer Anmeldung am System automatisch entsperrt. In diesem kann auch das Kennwort für den SSH-Key verschlüsselt gespeichert werden und somit den Zugriff auf den Key, ohne Eingabe eines Kennwortes, ermöglichen. So kannst Du den Luxus eines SSH-Keys genießen, ohne auf ein gewisses Maß an Sicherheit verzichten zu müssen.
Das ganze kannst Du wie folgt tun:
1. Wenn Du noch keinen SSH-Key besitzt, erstelle diesen z.B. mittels ssh-keygen
(ssh-keygen -t rsa -b 4096
) – Bei Passphrase bitte ein Kennwort vergeben.
2. Als nächstes musst du das Kennwort für den SSH-Key in den Schlüsselbund speichern. Hierfür musst Du folgenden Befehl eingeben: ssh-add -K ~/.ssh/id_rsa
3. Ab jetzt kannst Du den verschlüsselten SSH-Key ohne Eingabe des Kennwortes nutzen
Solltest Du bereits einen SSH-Key besitzen, der allerdings unverschlüsselt ist, kannst Du diesen mit „ssh-keygen -p
“ verschlüsseln und gleich mit Schritt 2 fortfahren.