{"id":17062,"date":"2021-06-09T05:15:58","date_gmt":"2021-06-09T03:15:58","guid":{"rendered":"http:\/\/blog.wenzlaff.de\/?p=17062"},"modified":"2025-10-05T20:23:15","modified_gmt":"2025-10-05T18:23:15","slug":"ssh-anmeldung-an-dem-raspberry-pi-ohne-passwort-mit-elliptische-kurve-ed25519_key","status":"publish","type":"post","link":"http:\/\/blog.wenzlaff.de\/?p=17062","title":{"rendered":"SSH Anmeldung an dem Raspberry Pi ohne Passwort mit Elliptische Kurve – ed25519 Key"},"content":{"rendered":"

\"\"
\nWenn man vom Mac (Windows geht nat\u00fcrlich auch) aus auf einen entfernten Raspberry Pi 4 B zugreifen will, kann man das auch ohne<\/strong> jedesmal ein Passwort eingeben zu m\u00fcssen. Daf\u00fcr kann das moderne ed25519<\/a> Key Verfahren verwendet werden.<\/p>\n

Dazu muss auf dem Pi ein .ssh<\/strong> Verzeichnis mit einer authorized_keys<\/strong> Datei angelegt werden:<\/p>\n

\r\n\r\n# wenn das .ssh<\/strong> Verzeichnis (Achtung, Verzeichnisname mit Punkt) noch nicht da ist, dann anlegen mit\r\nmkdir .ssh\r\n\r\ncd .ssh\r\ntouch authorized_keys\r\nchmod 700 ~\/.ssh\/\r\nchmod 600 ~\/.ssh\/authorized_keys\r\n<\/pre>\n
Dann in der \/etc\/ssh\/sshd_config<\/strong> des Pi die folgenden Eintr\u00e4ge setzen: …<\/p>\n
\r\n\r\nsudo vi \/etc\/ssh\/sshd_config\r\n\r\nHostKey \/etc\/ssh\/ssh_host_ed25519_key\r\nPubkeyAuthentication yes\r\nPasswordAuthentication yes\r\n\r\n<\/pre>\n
Dann den SSH Service restarten und in der Konsole bleiben. Das ist wichtig, um sich nicht selbst auszusperren bei Fehler in der Konfiguration.<\/p>\n
\r\n\r\nsudo \/etc\/init.d\/ssh restart\r\n\r\n<\/pre>\n
Dann einmalig auf dem Mac einen ed25519_key Key<\/strong> anlegen.<\/p>\n
Dazu bin ich in das .ssh<\/strong> Verzeichnis gewechselt und habe einen Key nur f\u00fcr die Pis ohne Passwort mit dem Programm ssh-keygen<\/strong> generiert.<\/p>\n
\r\n\r\nssh-keygen -t ed25519\r\n\r\n<\/pre>\n
Bei der Nachfrage nach einem Passwort, einfach nur Enter eingeben.
\nDa ich mehrere Keys in Verwendung habe, habe ich den Key in einer neuen Datei mit anderen Dateinamen gespeichert.<\/p>\n
Es werden nun zwei Dateien (ein asymmetrische Schl\u00fcsselpaar) generiert, die ed25519_key<\/strong> mit dem privaten Key<\/strong> und die ed25519_key.pub<\/strong> mit dem public Key<\/strong>.<\/p>\n
Am Dateinamen kann man erkennen, was der private Key ist, der endet mit key<\/em> und der public Key endet mit pub<\/em>. Wenn man aber ganz sicher sein will, l\u00e4\u00dft man sich den Inhalt des Key mit cat ausgeben. Z.B. cat ed25519_key dann erh\u00e4lt man den private Key auf der Konsole ausgegeben, und in der ersten Zeile steht dann, das es der PRIVATE KEY ist, z.B.<\/p>\n
\r\n-----BEGIN OPENSSH PRIVATE KEY-----\r\nb3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW\r\n....\r\nQyNTDIPenwfB9o...gmyAAAAKHRob21hc3dlbnpsYWZmQFRob21hcy1pTWFjLVByby5mcm\r\nl0ei5ib3gBAgMEBQ==\r\n-----END OPENSSH PRIVATE KEY-----<\/pre>\n
Wo hingegen der Public Key bei ED nur eine Zeile enth\u00e4lt, z.B. cat ed25519_key.pub:<\/p>\n
ssh-ed25519 AAAAC.....PenwfB9ogmy thomas@example.com<\/pre>\n
Da mein default Key im Mac ein anderer ist, habe ich in der ~\/.ssh\/config<\/strong> Datei des Macs, wie hier<\/a> schon mal beschrieben, um den folgenden Eintrag IdentityFile<\/strong> mit dem Namen f\u00fcr den privaten<\/strong> Key f\u00fcr die Verwendung des eben generierten Key und nicht des default Keys eingetragen:<\/p>\n
\r\nHost vier\r\n\tHostName pi-vier\r\n\tPort 22\r\n\tUser pi\r\n\tIdentityFile ~\/.ssh\/ed25519_key\r\n<\/pre>\n
Weitere Optionen zur ~\/.ssh\/config<\/strong> gibt es in der umfangreichen Referenz<\/a>.<\/p>\n
Jetzt noch den public Key vom Mac auf den Pi kopieren damit er in der ~\/.ssh\/authorized_keys<\/strong> Datei eingetragen wird, dazu in das ~\/.ssh<\/strong> Verzeichnis wechseln und:<\/p>\n
\r\ncd ~\/.ssh\r\n\r\ncat ed25519_key.pub | ssh pi@vier 'cat>>.ssh\/authorized_keys'\r\n\r\n<\/pre>\n
Jetzt von einer anderen Konsole testen ob alles l\u00e4uft. Wenn das Anmelden mit:<\/p>\n
\r\n\r\nssh vier\r\n\r\n<\/pre>\n
ohne Passwort nachfrage klappt ist alles ok. Sonst in der anderen Konsole fixen, sonst sperrt man sich selbst aus.<\/p>\n","protected":false},"excerpt":{"rendered":"
Wenn man vom Mac (Windows geht nat\u00fcrlich auch) aus auf einen entfernten Raspberry Pi 4 B zugreifen will, kann man das auch ohne jedesmal ein Passwort eingeben zu m\u00fcssen. Daf\u00fcr kann das moderne ed25519 Key Verfahren verwendet werden. Dazu muss auf dem Pi ein .ssh Verzeichnis mit einer authorized_keys Datei angelegt werden: # wenn das … <\/p>\n
\u201eSSH Anmeldung an dem Raspberry Pi ohne Passwort mit Elliptische Kurve – ed25519 Key\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[220,4606,1319],"tags":[4877,4923,819,4925,2759,380,4924,3613,740],"class_list":["post-17062","post","type-post","status-publish","format-standard","hentry","category-anleitung","category-crypto","category-sicherheit-2","tag-ed25519","tag-ed25519_key","tag-key","tag-keys","tag-ohne-passwort","tag-passwort","tag-private","tag-public","tag-ssh"],"_links":{"self":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/17062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17062"}],"version-history":[{"count":0,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/17062\/revisions"}],"wp:attachment":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17062"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}