git config --global credential.helper 'cache --timeout=86400'<\/code><\/pre>\nGit speichert dadurch das eingegebene Passwort f\u00fcr 24 Stunden. Dies reduziert die Passwortabfragen und kann theoretisch auch weiter erh\u00f6ht werden. Allerdings gibt es einen gravierenden Nachteil: Das Passwort wird im Klartext in der Datei .gitconfig<\/strong> des Homeverzeichnisses gespeichert. Passw\u00f6rter im Klartext zu speichern ist schlechte Praxis und sollte nach M\u00f6glichkeit vermieden werden.<\/p>\nSSH-Keys f\u00fcr Sicherheit und Komfort<\/h2>\n
Als wesentlich bessere Alternative bieten sich SSH-Schl\u00fcssel<\/strong> an. In der Linux-Welt kommen sie seit Jahrzehnten zum Einsatz, um verschl\u00fcsselt auf Linux-Systeme zugreifen zu k\u00f6nnen. Grunds\u00e4tzlich wird ein Schl\u00fcsselpaar ben\u00f6tigt. Dies besteht aus einem privaten<\/strong> und \u00f6ffentlichen Schl\u00fcssel<\/strong>. Mit dem \u00f6ffentlichen Schl\u00fcssel lassen sich Daten verschl\u00fcsseln, die nur mithilfe des privaten Schl\u00fcssels wieder lesbar gemacht werden k\u00f6nnen. Es handelt sich um eine asymmetrische Verschl\u00fcsselung<\/strong>. Das Gegenst\u00fcck ist die klassische symmetrische Verschl\u00fcsselung<\/strong>, bei der das gleiche Passwort zum Ver- und Entschl\u00fcsseln zur Anwendung kommt.<\/p>\nDer \u00f6ffentliche Schl\u00fcssel wird auf das Zielsystem abgelegt. Damit kann dieses System Daten verschl\u00fcsseln, aber nicht entschl\u00fcsseln. Es ist daher auch v\u00f6llig ungef\u00e4hrlich, den \u00f6ffentlichen Key weiterzugeben. Beim privaten Schl\u00fcssel sieht dies allerdings ganz anders aus: Da er zur Entschl\u00fcsselung dient, sollte er das Ger\u00e4t, auf dem er generiert wurde m\u00f6glichst nicht verlassen<\/strong>.<\/p>\nAls Konsequenz gibt man private Schl\u00fcssel auch nicht dann weiter, wenn mehrere Benutzer Zugriff auf eine Ressource (z.B. einen Linux-Server) erhalten sollen. Stattdessen generiert jeder Benutzer sein eigenes Schl\u00fcsselpaar.<\/p>\n
SSH ist jedoch nicht nur auf die Fernwartung von Linux-Systemen beschr\u00e4nkt. Es kann auch f\u00fcr Git genutzt werden. Das Prinzip bleibt gleich: Die Gegenstelle bekommt den \u00f6ffentlichen Schl\u00fcssel, wodurch der private Schl\u00fcssel entsprechend zugriffsberechtigt wird. Zur Authentifizierung wird der private Schl\u00fcssel genutzt. Ein Passwort muss nicht eingegeben werden – au\u00dfer man sch\u00fctzt den privaten Schl\u00fcssel zus\u00e4tzlich mit einem Passwort (oft passphrase<\/strong> genannt).<\/p>\nDies ist als zus\u00e4tzlicher Schutz empfehlenswert – sp\u00e4testens, wenn es sich um sensible Daten handelt. Ohne Schutz kann der private Schl\u00fcssel z.B. durch physischen Zugang zum Ger\u00e4t kopiert werden. Der Angreifer besitzt dann die jeweiligen Rechte ohne zus\u00e4tzlichen Schutz. Wurde dagegen ein Passwort vergeben, ist der Schl\u00fcssel ohne Kenntnis des Passwortes f\u00fcr den Angreifer nutzlos.<\/p>\n
Schl\u00fcsselpaar generieren<\/h2>\n
Sofern noch kein Schl\u00fcsselpaar existiert, muss man zuerst eines generieren. Standardm\u00e4\u00dfig werden die Schl\u00fcssel im Heimverzeichnis des Benutzers in den versteckten Ordner .ssh<\/strong> gelegt und hei\u00dfen id_rsa<\/strong> (privater Schl\u00fcssel) und id_rsa.pub<\/strong>. Das .pub<\/strong> steht f\u00fcr public<\/strong>, also \u00f6ffentlich.<\/p>\nIm folgenden Beispiel existiert bereits ein Schl\u00fcsselpaar:<\/p>\n
daniel@ws:~$ ls -lh ~\/.ssh\ninsgesamt 8,0K\n-rw------- 1 daniel daniel 1,7K Apr 17 14:38 id_rsa\n-rw-r--r-- 1 daniel daniel 393 Apr 17 14:38 id_rsa.pub\n<\/code><\/pre>\nSollten keine Schl\u00fcssel vorliegen, k\u00f6nnen diese mit dem Kommandozeilenwerkzeug ssh-keygen<\/strong> in wenigen Sekunden erstellt werden. Man kann ihn auch ohne Parameter mit den Standardeinstellungen aufrufen. Ich setze die L\u00e4nge immer auf das Maximum, um die Sicherheit zu erh\u00f6hen. Standardm\u00e4\u00dfig werden nur 2048 Bit lange Schl\u00fcssel erzeugt.<\/p>\nssh-keygen -t rsa -b 4096<\/code><\/pre>\nDas Tool fragt nach dem Speicherort f\u00fcr den privaten und \u00f6ffentlichen Schl\u00fcssel. Hier kann der oben beschrieben Standard mit der Enter-Taste \u00fcbernommen werden. Optional l\u00e4sst sich am Schluss ein zus\u00e4tzliches Passwort festlegen, das den privaten Key sch\u00fctzt. Falls ihr des nicht m\u00f6chtet, nichts eingeben und zweimal mit Enter best\u00e4tigen.<\/p>\n
daniel@ws:~$ ssh-keygen -t rsa -b 4096\nGenerating public\/private rsa key pair.\nEnter file in which to save the key (\/home\/daniel\/.ssh\/id_rsa): \nEnter passphrase (empty for no passphrase): \nEnter same passphrase again: \nYour identification has been saved in \/home\/daniel\/.ssh\/id_rsa.\nYour public key has been saved in \/home\/daniel\/.ssh\/id_rsa.pub.\nThe key fingerprint is:\nSHA256:zQoWjC0vsMXvIYJ91c9I\/oKKWa7jkrhVopF7J1+Oi4w daniel@ws\nThe key's randomart image is:\n+---[RSA 4096]----+\n| |\n| . + . |\n| . = = o |\n| + + = + * |\n|+ = = * S = |\n| + = = + o |\n|+.+ o + o . |\n|+=.X = . |\n|E+Bo*.. |\n+----[SHA256]-----+<\/code><\/pre>\n\u00d6ffentlicher SSH-Schl\u00fcssel in GitHub hinterlegen<\/h2>\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2020\/04\/Bildschirmfoto_2020-04-17_15-32-44.png\")
<\/figure>\n![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2020\/04\/Bildschirmfoto_2020-04-17_15-23-05.png\")
<\/figure>\n