SSH-Keys und Passwörter hinterlegen oder nicht?

Sollte man SSH-Keys und Passwörter auf Knoten hinterlegen?

Ich mache das grundsätzlich nicht, wenn der Knoten oder das Netzwerke nicht mir gehören.
Auch wenn der Knotenbetreiber dem Hinterlegen der SSH-Keys zustimmt: Unterm Strich würde ich mir mit einem SSH-Key den Zugang zu Knoten ermöglichen, ohne dass der jeweilige Knotenbetreiber dies dann mitbekommt oder Kontrolle darüber hätte.
Ich unterstelle keinem, solch einen Zugang zu misbrauchen! Ganz klar! Alleine aber die Möglichkeit, dies zu können, bringt einen schon in eine blöde Ausgangslage. Aus dem gleichen Grund WILL ich z.B. auch keine Passwörter anderer wissen. Ich möchte mich gar nicht erst in die Situation begeben, bei einem (Sicherheits)-vorfall (egal wie unrealistisch, gleich welcher Art) zu dem Kreis der Verdächtigen zu gehören. Deshalb kommt das Hinterlegen meines Keys in 99% der Fälle nicht in Frage, selbst wenn der Knotenbetreiber mich darum bitten würde.

Ich hätte dazu eher eine andere Idee:
Der Verein schafft sich einen Aladdin Token an (spende ich gern). Darauf kommt der private SSH Key für Knoten, die vom Verein ferngewartet werden sollen. Der Token liegt dann bei einer definierten Person, die PIN zum Token kennt nur eine andere Person. -> Vier Augen Prinzip…

Zum letzten Vorschlag bin ich sehr gespannt auf Eure Anmerkungen dazu!

Nein, nein, nein. :)
Der Verein wartet keine Knoten. Wir sind kein Dienstleister. Das muss immer ein aktiver Freifunker Vorort machen. Im Idealfall der oder die, welcher den Knoten auch aufgestellt hat. Das zum Beispiel du Zugriff auf den Knoten hast ist eine Vertrauenssache, wie auch das sich jemand so ein Gerät ins Netz stellt. Ich sehe da kein Problem, wenn man es den Leuten erklärt, dass man da zu Wartungszwecken Remote drauf geht. Wenn du da aus Haftungsgründen nicht machen möchtest, dann ist das so. Umso wichtiger ist es eigentlich, das jeder Knotenbetreiber grob auf seinen Knoten achtet und weiß wie der Config Mode aussieht. Schließlich geht es ja auch um die Vermittlung von Wissen, genaugenommen ist es ja sogar der Grund für die Gemeinnützigkeit.

Die einzige Ausnahme davon ist, wenn es um direkte größere Setups wie bei ner Flüchtlingsunterkunft geht. Selbst da warten wir nur die Richtfunk Strecken. Der Verein ist dafür eigentlich auch nicht gedacht.

Der Verwaltungsoverhead ist zu groß, der Nutzen quasi gleich null, wenn sich Person x erstmal mit Person y verabreden muss.

Es spricht aber nichts dagegen, das du mit einem anderen Freifunker Vorort so ein Setup fährst.

Ja, ist bekannt und rüber gekommen. Wenn man Admin ist, ist das nur ein Gefühl an das man sich gewöhnt hat. :)

Wenn jemand vom Verein für einen Dritten (z.B. ein Cafe) einen Knoten anlegt, dann könnte er bei der Registrierung doch angeben, dass er der Betreuer des Knotens ist.

Geht der Knoten für längere Zeit offline, dann wisst ihr, wer der Ansprechpartner des Knotens ist.

Würde jemand unbekanntes ins Haus kommen: „Ich muss mal kurz an ihrem Router was installieren…“ geht nicht.

So sollte das auch eigentlich in der Registry sein.

btw. Mit dem Verein hat das nix zu tun :)

Ok. Verstanden.
„Schickt mal den Techniker vorbei, wir haben grad kein Freifunk für unsere Gäste.“ :-)


Es ist doch traurig wenn man am Cafe (Meshviewer - loading...) vorbeiläuft, den Router hängen sieht, und auf der Karte ist der seit einer ganzen Woche offline.