 Martin, bist du ready? Alles klar. Applaus für Herrn Leirer. Grüß euch, um die Frage von vorhin aus dem Warm-Up zu beantworten. Die Slides sind so eben fertig geworden, weil ich habe noch einen Tipp feller gefunden. Ich bin der Leirer, ihr befindet euch auf der GPN 21. Die Slides gibt es nachher wieder auf meiner Homepage. Wenn ihr Mast tröten oder sonst irgendwie auf einem Social Media euch verbreitern wollt, nutzt den Hashtag. Anders findet man die Dinger nicht. Wer ist zum ersten Mal in einem Talk von mir? Frischfleisch. Ich habe zusammen mit McClemmon die Methode eingeführt. Wir wollten interaktive Talks haben. Wir wollten immer, dass Menschen Zwischenrufe, Zwischenfragen stellen und um euch zu motivieren, dies auch zu tun, gibt es für eine gestellte Frage eine Mannerschnitte, die von meinem wunderbaren Harold und Sarah zugestellt wird. Das heißt, sie wird wahrscheinlich nicht viel sitzen können. Es tut mir leid. Diesmal haben wir als Alternative, wer jetzt aufgrund der fortgeschrittenen Stunde schon ein bisschen was stärkeres braucht, hätten wir auch einen Mannerschnittenlikör da. Nein, die GPN-Tasse wird damit nicht aufgefüllt. Schlückchen, Schlückchen, Schlückchen. Kurz noch eine Serious-Note. Wie gesagt, Anzeichen, Sarah kommt zu euch, stellt die Frage und alles ist gut. Ich habe keine Ahnung, wie lange wir brauchen werden. Ich habe keine Ahnung, wo wir enden werden. Es wird spannend. Widmann möchte ich dem Talk, dem wunderbaren Sven Guckes, der uns vor zwei Jahren leider verlassen hat, der hat mehr über Kommandozeilen und SSH vergessen, als ich jemals wusste. Wie gesagt, fehlt, fehlt, fehlt ganz schwer, auch menschlich. Das kam mir um links. Das musste ich einfach noch in den Talk einbauen. Grüße Ihnen raus an die Schweiz für die nächste Kursin, bereite ich was vor. Ist nicht von mir aber zu gut, den liegen zu lassen. Gut, wer war letztes Jahr in meinem Talk? Entschuldigung, das muss ich spezifizieren. Welchen meinst du? Wer war letztes Jahr in meinem SSH Talk? Schön, gut, dann langweilig nicht all zu viel, das ist schön. Ich habe nämlich mal kurz zusammengefasst, was wir da letztes Jahr gesprochen haben, weil das durchaus für das, was ich heute erzählen möchte, relevant werden könnte. Der letzte jährige Talk, das ist super, das war super billig für mich mit den Folien, deswegen habe ich das ein bisschen ernehmt. Letztes Jahr war besser Leben mit SSH. Wir haben darüber gesprochen, Mensch, eigentlich ein Konfig-File möchte für SSH, um sich das Leben einfacher zu machen. Ihr könnt jedes Mal popokatebattle.example.com eingeben, wenn ihr einen Server andere sehen wollt. Ihr könnt euch aber auch einfach einen Konfig-File schreiben und einen gemütlichen Allias definieren, wo man auch gleich den User-Namen mitangeben muss. Und dann kann man statt SSH-Lireite, SSH-Example.com, einfach SSH-Demo schreiben. Und wenn ich mich, ja stimmt, ich habe es mir leider gemacht, uff. Und damit spart man sich schon Tippen. Wir überlegen für nächstes Jahr, hey, eventuell eine Bash-Golf-Session oder so zu machen, in so etwas in der Richtung. Wie kurz bringe ich ein Kommando, ist immer wieder ein schöner Volkssport. Das Zweite, was wir angesprochen haben, letztes Jahr in dem SSH-Talk, war das Thema Public Private Key Authentifizierung. Das heißt, ich melde mich nicht mehr mit Benutzernamen und Passwort an, sondern hinterlege meinen Public Key am Server und authentifiziere mich mit meinem Private Key. Das war das Kommando, um den zu generieren, in dem Fall eine ED25519, weil er so schön knackig und kurz ist. Wer mehr wissen will, letzterigen Talk auf media.ccc.de. Wenn ihr einen auf YouTube schaut, dann seht ihr euch auf media.ccc.de an, da ist er doppelt gut. Danke an der SWOC an dieser Stelle. SWOC ist doch gering, Adios! Ich kann mich erinnern, damals in Berlin, ja, ich bin so alt, haben wir noch schnell am letzten Tag die ersten Videos gezogen und die letzten Videos kamen dann Monate nach Veranstaltungsende und mittlerweile so, der Talk ist 2 Stunden um, wieso ist das Video noch nicht online? Also die Jungs und Mädels und Menschen dort leisten sensationelle Arbeit und Automatisierung, das machen ja mittlerweile glücklicherweise die Maschinen. Gut, ich schweife ab wieder einmal, in der SSH-Config-Public-Private-Key-Konfiguration schaut dann so aus, das werden wir heute noch ein paar Mal sehen, weil wir haben da ein paar spannende Konfigurationen vorbereitet. Gesprochen haben wir auch über den SSH Agent, wo wir, den wir über SSH eine ID hinterlegen können und dann brauche ich meine Passfressen nur einmal nach dem Button eingeben und alles ist gut. Und wir haben auch über St. Defaults gesprochen, das heißt, ich kann in meinem Config-File nicht nur Konfigurationen für spezifische Zielrechen angeben, sondern ich kann auch Konfigurationen für generisch, also allgemein Catch All am Ende des Config-Files angeben, um gewisse Dinge, die ich in allen gesetzt haben will zu setzen. Wichtig am Ende. Gut, letzter Punkt, den wir letztes Mal besprochen haben, das Elegant Jumping, wo es darum ging, über einen sogenannten Bestian oder Jump Post auf einen Zielserver zuzugreifen, mit dem Proxy Jump funktioniert das ganz wunderbar und ich bekomme Post, hurra! Dankeschön. Nutzt mehr Chaos Post, auch intern und extern, es ist ganz gut, es ist ganz toll. Die Orga. Bitte an den Spinnen. Hi, Leira, danke, dass du so viele Talks hältst. Das ist die Rechnung für den Waffle-Kicks-Chaos-Zoll. Wir bitten dich hiermit die vorgesehene Waffle-Kicks-Abgaben an der Talk-Produktion beteiligen, insbesondere Heralding, AV-Technik und Content zu leisten. Dafür, dass mir diese Bastarde jeden Tag mindestens einen Talk eingeteilt haben und das Ganze auch noch leider Normverteilung nennen. Ist das freust du so, das hast du bekommen? Ja, ja, ja, ja. Das war natürlich, dass Herald und AV-Technik-Team hattende Mannerschnitte verdient. Beim Content-Team, das mache ich mir mit ihnen ab Person am Aus. So, wo waren wir stehen geblieben? Ja, Jumping, also Proxy Jump, Jump-Post, wie gesagt, letztes Jahr haben wir das gut besprochen. Zurückkommend auf die Public-Private-Key-Geschichte. Ich möchte das noch mal betonen, wir werden uns heute eigentlich fast ausschließlich damit beschäftigen. Die sind gratis, die kosten nichts, die sind quasi kostenlos, außer 10 Sekunden neuer Zeit und ein bisschen Rechenzeit. Jedes YouTube-Videoabspiel braucht wahrscheinlich mehr Rechenpower. Generiert euch mehr als einen, generiert euch einen pro Server, einen pro Kunden, einen pro Service, wie ihr wollt, wie ihr euch wohlfüllt, benutzt mehr als einen, benutzt nicht einen für alles, genauso wie beim Passwort, das will man auch nicht eins für alle haben, oder? Ein eins, zwei, drei, vier, oder so aber. Zur Erinnerung, beim SSH-Key-Gen fallen dann zwei Files raus, weil das heißt Public-Private-Key-Authentication, das heißt, wir haben einen Public-Key, der endet mit Punkt PUP, das heißt jetzt nicht trinken, sondern Public und den Private-Key, den man nach Möglichkeit nicht herzeigen sollte. Wir haben letztes Mal auch schon darüber gesprochen, das Thema Security versus Convenience, das waren dann immer die Fragen, ich habe immer so ein Teil von SSH erklärt und dann so, kam sofort die Frage aus der Überbrugung, ja aber da muss ich ja noch immer und dann habe ich den nächsten Teil erklärt, bis wir dann soweit waren, dass wir mit SSH-Agent und Public-Private-Key den Private-Key nur einmal eingeben mussten und ab dann für jede Session automatisch der Key, der Private-Key aus dem SSH-Agent genommen wurde und ich nicht jedes Mal nach meiner Passphrase für den SSH-Key entgefragt wurde. Jo, das hier begleitet uns, ich glaube, da könnte mir zustimmen, in der gesamten IT überall, es ist immer eine Abwägung Security versus Convenience, je sicherer ich etwas mache, umso unbequemer wird das für die betroffenen Personen, das kann man jetzt auch wieder so sehen, die einen verdienen es, die anderen, ja, wenn die in den Medien wieder etwas steht, mit ja, wir haben, da ist wieder irgendeine Firma verschlüsselt worden, also jetzt unabsichtlich verschlüsselt worden, dann muss natürlich die Security wieder nach oben gegeben werden, wenn aber dann irgendein C-Level, also CTO, CFO oder sonst irgendwo, alle 20 Minuten dann wieder einen Pin irgendwo eingeben muss, dann muss man ganz schnell die Security wieder nach unten drehen, weil so kann man ja nicht arbeiten. Ein Kritikpunkt an SSH und ein Kritikpunkt an dem, was wir letztes Mal besprochen haben, war, dass der Private Key natürlich dann auf der Festplatte liegt, also SSH ist mittlerweile so weit und so gut durch Feedback optimiert worden, dass es gar nicht funktioniert und startet, wenn die Berechtigungen für das Pfeil nicht stimmen, das heißt, hier werden wir durch das Tool bereits schon relativ gut geschützt, so weit es halt möglich ist. Wir können immer wieder bessere Methoden erfinden, das Universum erfindet immer wieder bessere Idioten. Eine Möglichkeit, den SSH Key jetzt etwas sicherer abzulegen, ist das Ganze im TPM abzulegen. Wieso habe ich eigentlich keine Speaker Notes? Ich prangere das an. So, besser. TPM, Trusted Computing Module. Trusted Platform Module, ja genau, danke. Wird unser jetzt in der Zukunft dank Microsoft öfter über den Weg laufen, ist mittlerweile eine Voraussetzung für Windows 11. Mein X220 Lenovo Thinkpad kann das leider nicht. Trusted Platform Module, hier in einer Implementierung von Infinion, bietet uns die Möglichkeit, Private Keys, also jetzt nicht nur den Windows-Lizenz-Schlüssel, sondern auch sinnvolle Informationen, in einem geschützten Platz abzulegen. Das ist jetzt nicht super toll und macht nicht auf einmal alles magisch sicher und ich bin jetzt gegen alle Angriffe gefeiert, aber es ist zumindest besser, als das Ding im Home-Verzeichnis, im Punkt SSH-Verzeichnis, liegen zu haben. Ist auch insofern praktisch, wenn jemand die Festplatte ausbaut, ist da auf der Festplatte mein privater Schlüssel nicht drauf. Das ist gut. Nein, ihr könnt es nicht einmal mehr auf GitHub hochladen. Ihr tümlich. Schau, das ist mir gerade sensationell. Das passiert doch niemanden, oder? Hat wer Freunde, die schon mal gehört, haben das jemand seinen privaten Schlüssel? Ja, mittlerweile, nachdem das doch des öfteren angeblich, gibt es zu dieser Person eine... Also, die Frage darfst du vorstellen... Wir müssen erst mal fragen, ob die Frage gut ist, ne? Nein, nein, nein, nein. Ich habe nie gesagt, dass die Frage gut sein muss. Ah, okay. Ich wollte nur gesagt haben, dass GitHub es geschafft hat, irgendwie ihren eigenen Private-Hose-Key auf GitHub zu stellen. Richtig, ja. Das war dann der Moment, wo sie so Checks eingebaut haben, ne? Nein, nein. Die hatten sie schon, genau, ja, ja. Da war was, ja. Fun, fun, fun, fun, fun. Wie gesagt, ist funktioniert ganz gut mittlerweile. Hat aber auch ein bisschen gedauert. Also, die Spezifikation war 2014 fertig. Fedora hat es dann 2019 eingebaut, sind das auch, also so kurz vom letzten Kongress, wer sich noch erinnern kann. Apropos, wer war noch, wer war noch nie auf einem Kongress? Ja, heuer habt ihr hoffentlich die Chance. Teil, Teil, Teil. Und mittlerweile ist es auch in Debian drinnen. Und das funktioniert sogar halbwegs. Genau. Das Ganze passiert auf pkcs11. Also, falls jemand mal einen Talk über diese ganzen pkcs-Standards und Protokolle machen möchte, ich werde höchst interessiert daran. Ich möchte sie nicht selber halten. Ich habe bessere Einschlafflektüre. Die Idee dahinter ist, ich verbinde mich ganz normal mit SSH. Ich beginne mich per SSH auf meinen Server zu verbinden. Der Server sagt, ja, ich akzeptiere Public Private Key Identifizierung. Und der SSH Kleint greift dann auf den Private Key im TPM-Modul zu, um die Identifizierung mit dem Server abzuschließen. Was brauche ich dazu? Ich brauche dazu ein paar Tools auf dem Kleint. Also, das müsst ihr auf euren PCs installieren. LibTPM2 Tools und die pkcs11 Tools. Und das war es dann auch schon. Es ist relativ einfach. Eine halbwegs aktuelle Version von OpenSSH sollte der auch haben. Auf der alten Solaris-Box im Zwischenboden wird es nicht funktionieren. Aber das sollte mittlerweile gegessen und gegeben sein. Wenn ich diese Libraries installiert habe, dann habe ich überhaupt ein Trusted Platform-Modul und funktioniert das überhaupt. Ich habe für euch ein kleines Demo gebaut. Ich wollte mir jetzt nicht mein Produktions-TPM-Modul und die Inhalte darin überschreiben, weil ich habe mich beim Testen mehr als einmal ausgesperrt und musste alles resetten. Das heißt, vielleicht erst einmal mit dem KVM und dem TPM-Simulierungsmodul testen. Das heißt, wir probieren das jetzt mal. Schauen wir mal, wie mir die Demo-Götter heuer gewogen sind. Ich habe da prinzipiell was vorbereitet. Schauen wir mal. Erster Check war, gibt es das Device. Sieht man das halbwegs? Ja, wunderbar. Hurra! Es gibt ein Device. Großvater, Großvater, es hat geschneit. Das kennen nur Österreicher, da braucht ihr jetzt nicht lachen. Das Zweite wäre dann, spricht das Modul auch mit mir. Das heißt, bekomme ich da Daten zurück. Ich glaube, das habe ich mir fast schon an Schnaps verdient. Hurra! Genau. Also relativ einfach, relativ trivial, sind wir schnell durch. Wieso bin ich da falsch? So, da sind wir richtig, oder? Ja, verifallt. Das heißt, mein TPM-Gate, das Fext liefert mir Daten zurück, was da drinsteht, ist uns jetzt einmal unwichtig. Aber wir können mit dem Modul reden. Hurra! Erste Hürde genommen. Wie gesagt, auf dem X220 funktioniert das nur mit dem TPM-Immolationsmodus in einer VRM. Ansonsten muss mein User auch noch in der Gruppe TSS existieren, die von dem Package automatisch angelegt wird. Das habe ich mittlerweile auch gemacht. Und wenn es wahr ist und mit der Ribut nichts kaputtgemacht hat, ja, hurra! Der User Gulasch, der ich jetzt da gerade bin, ist in der Gruppe TSS. Der hofft mir da immer einmal falsch herum. Gut. Ansonsten kann ich nicht mit dem TPM-Modul reden. Ja, was brauche ich sonst noch? Ich muss, und das sind wir jetzt eigentlich schon am Eingemachten, ich muss einmal das TPM-Tool initialisieren. Das geht nur einmal. Das habe ich bereits gemacht. Und dann muss ich in meinem TPM einen normalen Modul an ein Token anlegen. Diesen Token gebe ich eine PID. Das wird keine Process ID sein, aber halt einen eindeutigen Kenner. Ein Label. Ich setze noch den Satz zu Ende und dann darfst du gleich. Ein Label, eine Userpin und ein Recovery Password, das in der PKCS 11 Spezifikation heißt. Das ist der SOPIN, Security Officer Personal Identification Number. Genau. Da gab es eine Frage. Ja, da gab es eine Frage. Und zwar, wenn ich den initialisiere, ist ja alles weg. Kann ich auch noch einen Token hinzufügen, wenn ich jetzt meinen TPM schon nutze, weil es bringt mir ja nichts, wenn ich jetzt nach dem Talk dahin gehe und sage, das ist schön, ich schmeiß mal alles weg. Dann kannst du deinen Windows nicht mehr nutzen. Dann kann ich mal nur den mir buden und dann ist es fertig. Ja, ich habe es aber noch nicht herausgefunden. Okay. Aber ja, ich habe jetzt ein paar Mal Reset und alles wieder auf zurückgesetzt, aber wie du richtig sagst, da gibt es sonst keinen Sinn. Was hast du vor? So viele Fragen? An der Schnitt. Okay. Sollen wir uns das mal, schauen wir mal an. Wie gesagt, die Demo-Götter sind mir anscheinend gewogen. Das riskiere ich jetzt gleich. Das heißt, ich erricht mir jetzt mal meinen Token ein. Herrlich, keine Rückmeldung, das heißt, alles ist gut gegangen. Dann doch, hier kommt noch was an. Nicht schock mich, wenn ich da keine Rückmeldung sehe und sage, aber da ist ein... Gilt es, gilt es gesagt von gerade eben auch von Mac OS? Sei es Intel oder ARM? I don't do Mac. Bitte sprich mit Mac-Leimen. Alles klar. Leider, ich probiere es einmal im Jahr, aber ich komme mit dem Gerät und der Taster zu und dem Ding nicht zurecht. Also, ich bin ein bedingter Mac-Basher. Ja, bitte. Jetzt Token impliziert ihr, dass man vielleicht mehr adden kann. Möchtest du die Demo-Götter mal befragen, oder soll ich das mit 2 und irgendwie? Ja, geht. Hab ich auch gemacht, geht. Dann hab ich die andere Frage. Also, du willst... Challenge, okay. Harald war das, gell? Bitte schön. Weil da, wo ich jetzt schon dreimal unterbrochen werde, deine Frage kommt auch gleich dran. Man kann sich nämlich dann anschauen, gibt es schon Tokens? Dann gibt es das Token 1 und es gibt doch das Token 2. Die Demo-Götter sind mir heute wirklich viel gewogen. Schaka. Kannst du mal da drüben? Ja. Den Herrn im schwarzen T-Shirt mit der Brille. Das ist eine generische Hackerbeschreibung. Also, gibt es den T.P. am 2-P-Tool-Befil auch in einer Variante, wo die Pie nicht in der Beschistorie steht? Nö. Kill-90 Du machst nächstes Jahr ein Talk. Ich weiß, ich sehe das jetzt schon. Ganz viele Fragen. Ich weiß, ich krieg dafür negative Kammerpunkte. Aber du meintest, die Solariskiste unter dem Tisch, die schafft das nicht. Dann Hinweis, wenn ihr Louis mit SSH verbindet, dann habt ihr weniger Schmerzen wegen Letten 1 und Unicode. Magst du nächstes Jahr ein Talk dazu machen? Nein. Wir brauchen mehr Talks. Es kann nicht sein, dass sich noch immer so viele Talks von mir genommen. Gereicht mehr Talks ein. Wir haben in der Pandemie alle Solariskisten weggeworfen. Ich dachte jetzt gepflegt, aufgeputzt, Kondensatoren getauscht. Okay. Nein, natürlich haben die keinen TBM. Vielleicht hat wer was gebastelt so eine Steckkarte mit TBM-Modul über den Auditor füllen. Über USB. Genau. Wo war ich stehen gebrimpt? Ihr verwirrt mich wunderbar. So soll es sein. Das haben wir jetzt beides. Das erste habe ich euch nicht gezeigt, weil das hatte ich ja schon. Wir haben jetzt mal den Token hinzugefüllt. Das heißt, wir können jetzt unseren Key erstellen. Überraschenderweise mit Ad-Key. Habe ich mich beim Liebeln verdannt. Ich habe mich beim Liebeln verdannt. Das ist falsch. Das ist ein Fehler. Der Lebel sollte natürlich, der Lebel sein, der auch hier ist, sprich SSH Gulasch. Das heißt, Lebel ist SSH Gulasch. Die Pin ist 1, 2, 3, 4. Dann kann ich mir einen Algorithmus aussuchen. In dem Fall nehmen wir mal ECC 256 und das habe ich ja letztes Jahr in meinem SSH Talk ja auch schon erwähnt. Ich bin ein großer Freund und das habe ich ja auch schon erwähnt. Ich habe auch schon erwähnt, dass ich die Kies auseinander hängen kann. Ich pflege nicht so eine innige Beziehung mit meinen Private Keys, dass ich jeden an den ersten 20 Zeichen oder so erkenne. Vielleicht habe ich die andere Hobbys, aber ich bevorzuge, einen vernünftigen, lesbaren Kommentar zu haben. Bevor ich das jetzt ausfülle, beantworte ich gerne die Frage, die da war. Ich weiß leider nicht, wie es in der Default von der Basis ist. Wie war das mit einem Space oder mehreren Spacesland ähnlich in der History? Das machst du super. Du machst nächstes Jahr zusammen mit dem Harald den Bashtalk. Dankeschön. Wie war dein Nick? Noch, ja. Es funktioniert so nicht in der ZSH. Ich fahr ZSH. Ich kann... I don't do Basch. Da hinten war noch eine. Wenn ich das richtig gesehen habe in der Ausgabeliste, gibt der da Jammel aus, kann dieses Tool auch ein weniger Cursedes-Format? Also ich habe noch keinen XML-Output gesehen, falls das so eine Frage war. Das darf ich. Aber ich arbeite gerade an einem pull-request, dass das DB3-Daten-Format unterstützt. Ja, du darfst auf Wikipedia nachschauen, was das war. Anyways, wir wollten einen Key erstellen. Sollen wir das mal schauen? Nachdem die Demogötter heute so gewogen sind, bin ich jetzt mal frech und probiert aus. Warum's? In diesem Fall hier seht ihr auch schön, hoffentlich ist es lesbar hinten oder soll es noch größer sein? Ja, super. Der Leber ist natürlich SSH-Gulasch und nicht wie in meiner Folie 1, 2, 3, 4. Den Userpin, wie gesagt, ist auch die Kombination, die ich an meinem Aktenkoffer habe und ein Key lebe und hurrah! In diesem Fall ist das Kommando etwas gesprächiger, sagt mir et und gibt mir auch zwei IDs aus. Hurrah! Und? Ja, das sind noch, also Identifier. Wie gesagt, Hash Algorithmen gibt's mehrere und jetzt kann ich mir, weil das brauche ich ja, um mich dann auf meiner Remote-Maschine einzumelgen, den Key, das heißt, den holen wir uns jetzt auch noch schnell. Da gab's gerade eben noch eine Anmerkung. Ja, dann machen wir die Anmerkung. Ja, das kann das abgestellt werden. Genau, der Userpin. Da geht's mit Redem weiter. Ja, und da fehlt ARL auch. Let me fix that for you. Genau, also ist er doch da. So, besser? Ja, jetzt ist er auf der Vorbereitung geschuldet. Das habe ich normalerweise besser im Griff mit dem Setup. Nehmen wir die Frage auch noch, bevor wir weitermachen, ja. Entschuldige Sade, du kommst da wirklich zum Einsatz. Alles gut, alles gut. Es ist vielleicht eine dumme Frage. Nein, nein, stopp. Es gibt keine dummen Fragen. Es gibt Fragen, die ich vielleicht nicht beantworte, aber es gibt keine dummen Fragen. Gibt's da auch ein Limit, dass man vielleicht mehrere Keys drauf machen kann, die auch noch weiter einschränken kann, wenn man die Bereiche einschränkt? Wie meinst du jetzt auf Bereich, was meinst du jetzt auf Bereich? Wenn man jetzt zum Beispiel sagt, dieser Key darf, das und das essen, ha, ha, Key auslesen, das nicht. Der nächste Key darf, aber sobald wir drei auslesen. Ne, weil das ist, so weit ich weiß, nein, wenn es jemand besser weiß, weißt du es besser? Nein, wenn du es nicht besser weißt, dann machen wir das nach, ja. Ne, weil das ja eigentlich auch User bezogen ist. In diesem Kontext habe ich auf alle Keys Zugriff. Weil ich bin nie, also, sechs von meinen sieben Stimmen im Kopf sagen, ich bin normal, die siebte Summ, die Tetris Dital Melody, aber ich bin immer noch eine physische... Anyways, wo waren wir stehen geblieben? Darf ich mal kurz, ein bisschen weiter? Danke. Wir wollten uns jetzt den Public Key anschauen und... funktioniert auch ganz wunderbar. Und hier hinten sieht man dann eben auch den Kommentar. Wenn ich jetzt hier einen zweiten Key anlegen würde und ich würde bei keinem der Keys ein Label mit angeben, dann könnte ich jetzt schon raten, welcher war jetzt welcher und wofür wollte ich den jetzt benutzen und... ja. Gut, diesen Public Key, ich mach das jetzt auf die pragmatische Methode. Diesen Public Key kopiere ich mir jetzt in die Zwischenablage, weil ihr ratet vermutlich schon, ratet schon, was jetzt kommt. Also, so schaut's aus, das war, falls mir die Demo-Göter nicht gewogen waren. Den kopiere ich jetzt, so wie ich es auch letztes Mal in dem Talk beschrieben habe, Manuel Rüber und Pestin wenn die Authorized Keys hinein. Ja, das kann man automatisieren. Ja, das kann man mit Shell schöner machen. Ich mache es jetzt pragmatisch, weil ich habe noch vier andere Talks und habe keine Zeit, das in hübsch zu machen. Das heißt, ich verbinde mich auf... Nein, ich habe jetzt gerade... Ja, ich habe jetzt gerade... Danke. Wenn man da und zwischen Deutschland und Englisch und das der Tour wechselt, ich habe mich auf die Ich habe mich jetzt Manuel auf den Server verbunden. Gehe ins SSH, mache ein I Punkt SSH Authorized Keys Da habe ich natürlich den letzten nicht weggeräumt. Das ist immer das gleiche. Niemand räumt auf. So, das heißt, ich habe jetzt auf meinem Server im Authorized Keys meinen Public Key hinterlegt. Wechsel zurück auf meinen Client. Das ist nicht weil ich glaube, dass ihr zu doof seid zu sehen, was ich da tue. Das brauche ich, damit ich weiß, was ich als nächstes tun muss, weil ich doof bin. Editiere jetzt meinen Config File. Editiere meinen Punkt SSH Config File. Genau. Und habe da schon das hinter... Ich hatte das schon editiert. Ach, ist das praktisch. Und editiere jetzt meinen Config File für meinen Host SSH Server.Example.com Gebe ihm den Spitznamen Gulasch, melde mich als User Gulasch an und ich möchte hier die pkcs11 Authentifizierung den pkcs11 Provider verwenden und möchte für diesen Host keine Password Authentication verwenden. Wie gesagt, ist auch in den Folien drinnen, ist jetzt, wenn man meinen letzten SSH Talk gesehen hat, auch kein Hexenwerk. Und wenn es jetzt wahr ist, möchte ich mich jetzt mit SSH Gulasch anmelden. Und jetzt fragt er mich nicht nach meiner Passphrase oder sonst irgendwas, sondern fragt mich nach der Pin für den TPM Key. Das war jetzt 1, 2, 3, ja. Man kann sich auch ein 64 Zeichending für eine Demo einrichten, aber mein Ja, ich bin dumm, aber nicht so dumm. Und ich bin jetzt ganz wunderbar mit meinem Gulasch SSH selber verwendet und habe damit meinen TPM Key verwendet. Keine Verbesserung gegenüber dem, was wir bis jetzt gemacht haben und finde ich auch eine sinnvolle Nutzung von dem TPM Modul mal, wie gesagt. 1, 2, 3. Tatsächlich habe ich 2 Fragen. Ne, nur einmal schlitten. Nö, ist duckey, bin ich einverstanden. Trotzdem kann ich, wenn nun okay, kann der Pin einfach numerisch sein oder muss der numerisch sein? Aufgrund des Zeitdrucks, den ich hatte, einfach nach dem Pinstand mit Zipfang gemacht, es soll, soweit ich weiß, auch mit alphanomärisch funktionieren. 2. Wie wählt man? Nein, nein, nein, das kannst du, du kannst nächstes Jahr gerne einen Talk machen, UTF 8 in der Kommando-Zeile. Helfan. Und die 2. Wie selektet man, vielleicht mal, würdest du später noch mal erzählen, aber wie selektet man, wenn man mehrere Keys nur den Provider angegeben, aber nicht welchen Key? Das sollte eigentlich über die Challenge vom Server kommen. Ne? Die werden durchprobiert. Ja, genau, ja. Es wird dann auch so Spaß, wenn man irgendwie zu viele SSH Keys hat, weil dann geht es kaputt. Weil der Server dann irgendwann aufgibt und sagt, du kriegst nicht mehr versuchen. Helfan macht einen Talk, wo Leira falsch lag. Ich sitze vorhin in der ersten Reihe und verteile meiner Schnitten für Fragen. So was, ich weiß, kann man mit der Identity-File den Parameter in den Public Key angeben und dann wird der Private Key der halt zu den Public Key angeben hat verwendet. Ich habe jetzt die Syntax nicht komplett reingezogen. Ich gehe auch davon aus, dass man es definieren kann. Ich gehe davon aus, es geht, ja. Wir können dann auch mal rumspielen und ich werde auf den Masterton vielleicht noch ein Update posten. Harald? Wie kriege ich die Sachen SSH Agent mit SSH Ad und wähle aus, welche ich haben möchte? Ich möchte die Pinie auch nicht jedes Mal eingeben müssen. Ist da hinten noch ein Sitzplatz frei? Gute Frage. Gute Frage. Wir treffen uns nach Eröffnen-Chunk. Eine machen wir noch und dann machen wir ein bisschen Content weit. Ist das okay? Ich will euch nicht abwürgen mit den Fragen, aber... Wir haben jetzt einen Token angelegt und diesen Token haben wir ein Key zugefügt. Warum in der Form? Also kann man mehrere Keys auf einen Token machen und kann ja anscheinend auch mehrere Tokens haben. Was ist da die Gedanke dahinter? Liste PKCS 11 Spezifikation und erkläre es mir in dem nächsten Jahr. Okay. Ein paar verschiedene Pins für jeden Token und dann bei Multi-User-Maschinen vielleicht. Aha. Wie gesagt, Tech-Demo. Ich freue mich über Folge Talks. So, da waren wir. Das haben wir auch schon gemacht. Das hat funktioniert. Wo bin ich denn jetzt? Bin ich auf dem Server? Dann soll ich zurückgehen, weil sonst bin ich verwirrt. Gut. Das hat funktioniert. Genau. Für einen bestehenden SSH Key ins TPM importieren gibt es derzeit einen Pull-Request. Da soll dann mal eine Pass-In-Option kommen. Das ist in meiner Variante hier, die ich jetzt mit Debian laufen habe. Sieht. Noch nicht drinnen. Selbiges auch für TPM Keys without Password. Das heißt, ich möchte nicht jedes Mal die Pin eingeben müssen. Da gibt es derzeit noch einen Pull-Request. Das ist auch noch Pending. Kann ich sonst nichts, dass du sagst, ich schreibe den Code nicht. Das ist C. Das wollte ich nicht, dass ich schreibe. Wenn ich das jetzt richtig verstanden habe, hast du den Private Key gar nicht zur Gesicht bekommen. Der ist im TPM drin. Wenn dein Notebook morgens stirbt, dann kommst du auch nicht mehr in deinen Sauverein. Nein. Ich habe bei dir Danke für diese sensationell gute Frage. Ich habe mir eine schriftliche Antwort vorbereitet. Ich habe keine Freude. Ich habe keine Freunde. Ich kenne Menschen, die das genauso machen. Die haben für jeden Laptop, für jeden Kunden ein eigenes SSH-Feld. Dieser Laptop ist mir gestohlen worden. Lieber Kunde, entferne diesen Public Key aus deinen Servern. Das ist die Security-Core. Ja. Security-Core. Das ist ein Security-Core. Das steht noch da. Mach weiter. Danke. Das schweigt für mich lange. Zweite Thema. Security-Core SSH-Key mit Public Key Security Universal Second Factor. Auch eine nette Spielerei. Sprich mit deinen Arbeitgeber, wenn das Geld für Public Keys ausgeht. Komme ich jetzt gleich noch mal dazu. Wie gesagt, wer kennt diese One Time Pads U2 für Public Keys nicht? Wer kennt jemanden, der sie noch nicht kennt, empfehlt es ihnen. Es ist gut. Was brauche ich dafür? Ich brauche einen Open SSH 8.2 oder höher. In unserem Fall haben wir einen Open SSH 9.2 P1. Und ich brauche Fido 2 Libraries installiert. Und dann tut das ganze Ding eigentlich relativ gut. Funktionieren tut das mit am besten mit Public Keys, mit Firmware 523 oder höher. Weil dann kann man auch ED25519 verwenden, was man möchte. Warum lese ich nach? Solo Keys funktionieren auch, aber das ist ein bisschen mehr, das ist nicht so gut dokumentiert. Ich habe es jetzt mit einem Ubiky gemacht. Wie gesagt, man hat üblicherweise mehr als einen von diesen Dingen herumliegen. Prinzipiell jetzt als Public Service Announcement, wie funktioniert das mit den Ubikys und welche Version der Firmware hat mein Ubiky. Dafür habe ich einen Kommando vorbereitet, dass ich jetzt aber auch ins richtige Fenster eingeben muss. Das funktioniert sensationell. Meiner hat eine 4.27er Firmware, ich wollte jetzt vor der Demo auch nicht irgendwie noch groß herum tun, deswegen machen wir das jetzt so. Deswegen ist die Demo jetzt ohne ED25519 in Produktion, wollt ihr nur ED25519 verenden. Gut, in dem Fall, dass wir jetzt den Ubiky verwenden, ist es relativ gemütlich. Das ist ein Kommando, das wir schon kennen aus meinem Talk vom letzten Jahr, wer nicht gesehen hat, wir haben sich auf medias.cc an, vom wunderbaren Walk. Wir erstellen einen SSH Key vom Typ ECDSA bindestrich SK, alles was es ist kein typografischer Bindestrich, bitte. Ich habe das jetzt nicht aus dem Wert kopiert. Das ist ein Minus, minus SK, minus SK markiert alles was mit Ubiky zu tun hat. Das ist F, wie auch schon letztes Mal erklärt, lege ich mir den Pfeil mit den bestimmten Pfeilnahmee an, in dem Fall gpn.ubiky. Wie gesagt, ich kriege dann 2 Pfeils raus und Private in Public. Und ich habe auch hier wieder einen Kommentar, weil Kommentare sind, unsere Freunde legt das an. Und jetzt, ich habe leider den Walk zu spät bezeiht gegeben, ihr müsst mir jetzt glauben, dass mein Ubiky, der hier dran gesteckt ist blau blinkt. Es sind blaues Licht. Ich klicke da jetzt drauf und jetzt fragt er mich, es ist H-Kygen, möchtest du eine Passphrase haben, in dem Fall bin ich jetzt voll und sag, ne. Genau. Und ich habe jetzt einen Private-Ky erstellt und wenn ich jetzt hier im Verzeichnis nachschaue, dann habe ich hier einen gpn.ubiky und einen gpn.ubiky.pub. So weit, im Prinzip genau gleich wie letztes Jahr, bis auf das, dass ich einmal auf meinen Ubiky mit dem Finger draufdrücken musste und das war's dann. So. Wer weiß, was als nächstes kommt? Auch keine Täter? Nee, so weit jein, aber nicht jetzt. Das erste, was ich natürlich wieder brauche, ist, ich brauche meinen gpn.ubiky.pub. Was machen wir nicht, den Private-Ky auf den Beamer werfen? Das heißt, ich kopiere mir jetzt hier auch, deswegen brauche ich das den publicy in die Zwischenablage. Das müsste mir jetzt glauben, dass ich das tue. Machen SSH Gulasch. Ich mache SSH.Gulasch SSH Binnestich Server.x haben. Guten Morgen. So. Geh wieder, editiere wieder meinen Authorized-Ky-Files. Füge hier, wie gesagt, man kann VRS1 haben, meinen, ich hätte natürlich jetzt auch Ubiky nennen können, meinen gpn-Ky hinzu. Und wenn ich jetzt SSH habe, kann man gesagt Gulasch machen. Ja, ja, ich will eigentlich jetzt, nein, anders. Deutsche Englische, dass der Turm ist immer eine schlechte Idee. Komm, besser. Yes. Danke schön. Die Stimme aus dem Publikum hat mich darauf hingewiesen, dass mein Ubiky blau blinkt. Ich bin noch nicht gut genug konditioniert, dass ich jetzt auf diesen Ubiky auch draufklicke. Konfig, Gulasch. Das Ganze gibt es auch in, ich möchte nicht auf den Knopf drücken. Ob ihr das auch so implementieren wollt, überlasse ich euch. Ich übernehme keine Haftung und wir haben da hinten rechts noch eine Frage, die ich jetzt noch schnell nehme. Sollte sich aber alles, der geht bis drei Viertel, oder? Ja, danke. Dann sind wir gut in der Zeit. Wie haben wir in der Challenge Response Crypto mit dem SSH Server beteiligt? Oder entschlüsselt der einfach nur den Private Key? Private Key. Wir haben noch eine Frage. Ich habe dich gewarnt vorher. Ja, ich wollte noch kurz erwähnen zu dem No Touch. Ich glaube, das haben die nur eingebaut. Ich habe mal ein Video gesehen, da hat sich einer kleinen Roboterarm gebaut, um seinen Ubiky zu drücken, um das zu umgehen für Remote. Der Fischertechnik Roboterarm ist die 21. 100. Variante der Webcamps für die RSA. Der junge Mann hier vorne hat es schon weggenommen. Einen habe ich noch. Da darf ich ... Ach so, ja, gerne, bitte. Es gibt sogar extra den Ubiky Touch Detector, der einem eine Notifikation schickt, wenn der Ubiky auf einen wartet. Danke, installiere ich mir dann gleich nachher. Ich bin ein alter Mann, glät sich Gläser, das tut das schon alles so verwerfen, da sieht man gar nicht mehr, dass da was blinkt. Alles gut. Aber danke für den, hast du schon einen Mannerschnitten bekommen? Würdest du bitte diesen jungen Menschen da eine Mannerschnitte geben? Dankeschön. Gut, letztes Thema und dann sind wir auch schon durch, dann könnt ihr endlich schon trinken gehen und langweilig euch nicht mehr länger. Zwei Faktor-Antidifizierung, also wenn mein Manager sagt, das mit den Zertifikaten, also mit dem Public Private Kit, das ist mir so kompliziert, damit das kann ich nicht, ich will meinen Benutznamen und meinen Passwort haben, dann kann man ihm zumindest noch einen TOTP dazukonfigurieren. Ist im Prinzip schnell gemacht. Als Erste, was man braucht, ist man installiert auf dem Server, die Libharm Google Authenticator. Verbindet sich dann zum Server, da bin ich erst zufälligerweise schon, aber ich gehe trotzdem, ja. Und editiert, ich hoffe ich habe sie.. Nein, macht sich mal das, was man nie so tun sollte. Du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du, du. Ich habe alles nicht gesehen. Und ich muss jetzt 2 Kon... also nachdem ich die Library installiert hab, muss ich 2 Konfig-Feiles anpassen. Was ist die erste Regel, wenn man Konfigurationsänderung am SSH, die ich am SSH Server macht und dann den SSH Server, das machen wir jetzt noch gleich den SSH Dienst einmal durchstattet. Was ist die allererste Regel? Man hat ein zweites Fenster mit einer bestehenden Session, offen mit der man sich wieder Münchhausen im Notfall rausziehen kann und die lässt man offen solange der Laptop läuft. Es kann auch morgen passieren, dass man dann noch was nicht funktioniert. Gut, hätten wir das auch besprochen? Hier müsste das gewesen sein, oder? Nein, natürlich nicht. Es gibt hier den Eintrag KBD mit großem K, sonst funktioniert das nicht. KBD, ah, die Legas Tini schlägt bei mir, da machen wir es auf die alten Modus. Oder bin ich in der falschen Datei? Ah, ich bin in der PAM, okay. In der PAM ist es einfach, da habe ich unten in der letzten Zeile einen Blödsinn hineingeschrieben. Ich muss nur diese Zeit die Autorequired PAM Google, das heißt ich hänge mir den TOTP Authenticator, den uns dankenswerterweise Google für unsere Werbezahlungen geschrieben hat. In die PAM-D, auch PAM-D wäre so ein Thema, da würde ich irrsinnig gern mal einen Talk sehen, falls jemand Zeit und Lust hätte. Und dann habe ich gesagt, müssen wir nicht nur die PAM-D editieren, sondern auch die SSH-D-Konfig, und da habe ich jetzt meine KBD, jawoll, da habe ich meine KDB Inter-Effect-Authentication, die drehe ich auf. Yes, PAM hat gesagt. Und dann gibt es einmal, nachdem wir mittlerweile überall Dinge haben, haben wir jetzt SystemControl-Restart-SSH, wo bin ich denn da jetzt? Ich mache jetzt das, was man nicht tun sollte, bin jetzt auf meinem Client, als Client muss ich mich, ich bin entdepp. Genau, das passiert, es ist nämlich genau das passiert, was man nicht machen will. Es kommt nämlich davon, wenn man nicht, jetzt wird es mit der Zeit ein bisschen spannend, aber das kriegen wir hin. Sollen wir was sehen? Nee, ihr sollt jetzt nicht sehen, alles gut. Ganz ausgründen, ausgründen. Was ich jetzt gemacht habe, ist, ich habe den SSH-D neu gestartet, bevor ich den PAM-Authenticator für den User konfiguriert habe. Ups, kein Backup, kein Mitleid, absolut, bin ganz bei dir. So, das heißt, wir machen das mal wieder kurz rückgängig, no, mit, A, D, PAM, D, ganz am Rote, diesen hier und einmal SSH. Genau, so, dann machen wir es jetzt noch mal in der richtigen Reihenfolge, es steht nämlich eigentlich auch da richtig drinnen, nein, da steht es auch falsch drinnen. Ich verbinde mich als User zum Gulasch, 1, 3, 4 und rufe hier jetzt, bevor ich irgendetwas am Server ändere, den wie heißt er, ich habe es mir nicht mehr, Google Authenticator aufgenommen. Möchte ich jetzt einen TOTP-Generin, Nanonanet, das kommt jetzt hier sehr grauslich, das ist ein Barcode, den man abkontografieren kann am Handy. Ich mache das jetzt auf die Gemütliche, ich nehme da den Secret Key und habe da, machen wir mal diesen hier, den Software OTP, damit ich jetzt nicht mein Handy rauskamen muss und das Work noch mehr arbeitet. Ich füge jetzt hier manuell einen hinzu, das ist der SSH auf der GPN und das ist mein Secret und das ist auch Secret und jetzt habe ich hier ein Ding und das kann ich jetzt in mein Terminal Fenster hineinpesten und das funktioniert, damit ihr auch ein bisschen was seht. Machen wir da wieder ein Fokus her, do you want to update your Google Authentication, yes please, dann fragt er mich noch 20 Dinge über I don't care und jetzt haben wir das TOTP für den User konfiguriert, jetzt können wir uns zum Server verbinden, ich bin schon vor dem Server, jetzt kann ich mich zum Route machen, kann die zwei Änderungen machen, das war die PAMD, da muss ich nur hinunter gehen, dann nochmal, ich habe es euch ja vorhin schon gezeigt, deswegen kann ich das jetzt ein bisschen schneller machen, so ich mich nicht vertippe, da drehen wir auf, yes, wie komme ich nochmal aus dem VI raus, so da und jetzt bin ich hier und wenn es wahr ist und ich mich jetzt mit SSH coolasch und jetzt muss ich so machen, weil sonst wieder wieder der TPM kommen, SSH, server.example.com, dann will er jetzt wieder mein Passwort und jetzt sollte es, wenn ich alles richtig gemacht habe, die Frage nach dem verification Code kommen, da hole ich mir jetzt den neuen aus dem, das ist nur damit ihr was seht, gebt Enter ein und bin mit dem Server verbunden, also auch das hat dann jetzt schlussendlich funktioniert. Da hinten, ja du hast den Überblick, bitte danke. Die Frage hat sich gerade schon geklärt, aber ich wollte fragen warum du required setzt, weil ich dachte, das wäre optional, aber ich habe das falsch gehabt, also egal. Wie gesagt, PAMD Konfiguration wäre super spannender Vortrag, da drüben hat sich, ich habe ein Busterprojekt fürs Camp, eine Waffe, derzeit, ich tendiere derzeit an rollende Dinge mit Gummi, sehe ich das richtig, dass man dann auch immer für alle Benutzer das anschaltet und man nicht, man denkt. Es ist konfiguriert, also das ist PAMD Magic, da kannst du was tun, ich habe es jetzt mal auf die Schnelle zum Herzeigen einfach quer drüber gelegt, das ist ein bisschen, es ist flexibler. Da herröben ich mich, daher mit dem Käppchen, der ist sich schon in dem Bash geschrieben. Der wird gleich zum Aufwälchen. Ja, um dir deine eigene Weisheit wieder zu erzählen, es gibt tatsächlich eine Möglichkeit in der PAMD Konfig irgendwie anzugeben, dass nur wenn der Google Authenticator tatsächlich auch eingerichtig ist, eher auch gefragt wird. Genau. Das ist ganz hilfreich. Das heißt, du machst es am Talk, Dankeschön. Nein. Sada, bevor du, ja, damit bin ich eigentlich durch und wir sind beim Q&E-Teil, nur damit du auch Bescheid weißt. Mach mal noch zwei. Ja, ich würde sagen, also wir haben hier noch... 42 ist bei mir. Die nachfolgende Speakerin, die soll hier auch irgendwie noch ein bisschen Zeit geben. Ja, genau. Ich wollte nur noch anmerken bezüglich der Frage, dass man das nur für gewisse User machen kann, dass man ja in der SSHD-Konfig auch sagen kann, dass man das Keyboard Interactive auch nur für gewisse User macht und so weiter und so fort. Das Modern One Way to the Kinder-Cat. Ja. Bildet-Banden macht es gemeinsam nächstes Jahr am Talk. Dankeschön. Eine letzte? Mach mal eine noch, eine noch. Welchen? Sucht ihr aus? Haben wir irgendwo eine Dame? Wir hatten noch keine Dame. Ja, Mädels, komm. Zumindest eine. Oder ein nicht alter weißer Mann. Nein, du zählst nicht mehr heute. Das ist ein Monster. Gut, in diesem Sinne sage ich noch mal, danke, dass ihr euch die Zeit genommen habt, mit mir hier zu sein. Noch einen schönen Abend und eine schöne GPN.