tachtler:ssh
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
tachtler:ssh [2008/11/27 21:58] – Externe Bearbeitung 127.0.0.1 | tachtler:ssh [2014/10/01 16:19] (aktuell) – [Public-Key Authentifizierung] klaus | ||
---|---|---|---|
Zeile 54: | Zeile 54: | ||
Die folgende Konfigurationsdatei des SSH-Daemons wurde auf höhere Sicherheitsbedürfnisse angepasst. | Die folgende Konfigurationsdatei des SSH-Daemons wurde auf höhere Sicherheitsbedürfnisse angepasst. | ||
- | + | < | |
- | < | + | # |
- | + | ||
- | # | + | |
# This is the sshd server system-wide configuration file. See | # This is the sshd server system-wide configuration file. See | ||
Zeile 71: | Zeile 69: | ||
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES | AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES | ||
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT | AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT | ||
- | AcceptEnv LC_IDENTIFICATION LC_ALL | + | AcceptEnv LC_IDENTIFICATION LC_ALL |
- | AllowUsers | + | AcceptEnv XMODIFIERS |
+ | AllowUsers | ||
+ | AddressFamily inet | ||
Banner / | Banner / | ||
ChallengeResponseAuthentication no | ChallengeResponseAuthentication no | ||
- | GSSAPIAuthentication | + | GSSAPIAuthentication |
GSSAPICleanupCredentials yes | GSSAPICleanupCredentials yes | ||
- | | + | |
+ | HostKey / | ||
+ | ListenAddress 192.168.0.10: | ||
+ | ListenAddress 127.0.0.1: | ||
+ | MaxAuthTries 12 | ||
Protocol 2 | Protocol 2 | ||
Subsystem | Subsystem | ||
SyslogFacility AUTHPRIV | SyslogFacility AUTHPRIV | ||
- | UsePAM | + | UsePAM |
+ | UsePrivilegeSeparation sandbox | ||
X11Forwarding yes | X11Forwarding yes | ||
- | # Settings for " | + | # Settings for Key-Authorization |
AuthorizedKeysFile %h/ | AuthorizedKeysFile %h/ | ||
- | PasswordAuthentication no | + | PasswordAuthentication no |
- | PermitRootLogin no | + | PermitRootLogin no |
PermitEmptyPasswords no | PermitEmptyPasswords no | ||
- | RSAAuthentication no | + | RSAAuthentication no |
Zeile 294: | Zeile 298: | ||
# | # | ||
- | # HostKey | + | # HostKey |
# Specifies a file containing a private host key used by SSH. The | # Specifies a file containing a private host key used by SSH. The | ||
# default is / | # default is / | ||
Zeile 661: | Zeile 665: | ||
==== Konfiguration SSH-Client ==== | ==== Konfiguration SSH-Client ==== | ||
- | < | + | < |
- | # | + | # |
# This is the ssh client system-wide configuration file. See | # This is the ssh client system-wide configuration file. See | ||
Zeile 686: | Zeile 690: | ||
SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES | SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES | ||
SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT | SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT | ||
- | SendEnv LC_IDENTIFICATION LC_ALL | + | SendEnv LC_IDENTIFICATION LC_ALL |
+ | SendEnv XMODIFIERS | ||
# Host Restricts the following declarations (up to the next Host key- | # Host Restricts the following declarations (up to the next Host key- | ||
Zeile 1431: | Zeile 1436: | ||
Hier ein Beispiel für die Erzeugung eines solchen digitalen Schlüsselpaares, | Hier ein Beispiel für die Erzeugung eines solchen digitalen Schlüsselpaares, | ||
< | < | ||
- | # ssh-keygen -b 4096 -t rsa -C username@rechner.tld | + | ssh-keygen -b 4096 -t rsa -C username@rechner.tld |
Generating public/ | Generating public/ | ||
- | Enter file in which to save the key (/ | + | Enter file in which to save the key (/home/ |
- | Created directory '/ | + | Enter passphrase (empty for no passphrase): |
- | Enter passphrase (empty for no passphrase): | + | Enter same passphrase again: |
- | Enter same passphrase again: | + | Your identification has been saved in /home/ |
- | Your identification has been saved in / | + | Your public key has been saved in /home/ |
- | Your public key has been saved in / | + | |
The key fingerprint is: | The key fingerprint is: | ||
- | a1:a3:bc:35:a2:d0:22:99:73:72:3b:96:31:65:42:14 username@rechner.tld | + | f7:34:69:ce:d6:28:a5:72:78:a7:0b:7d:16:8d:f6:f6 username@rechner.tld |
+ | The key's randomart image is: | ||
+ | +--[ RSA 4096]----+ | ||
+ | | | | ||
+ | | | | ||
+ | | | | ||
+ | | | ||
+ | | S . X . | | ||
+ | | + X * | | ||
+ | | + * X + | | ||
+ | | = B . . | | ||
+ | | o. E| | ||
+ | +-----------------+ | ||
</ | </ | ||
+ | |||
+ | Hier ein weiteres Beispiel für die Erzeugung eines solchen digitalen Schlüsselpaares, | ||
+ | < | ||
+ | $ ssh-keygen -b 256 -t ecdsa -C username@rechner.tld | ||
+ | Generating public/ | ||
+ | Enter file in which to save the key (/ | ||
+ | Enter passphrase (empty for no passphrase): | ||
+ | Enter same passphrase again: | ||
+ | Your identification has been saved in / | ||
+ | Your public key has been saved in / | ||
+ | The key fingerprint is: | ||
+ | 17: | ||
+ | The key's randomart image is: | ||
+ | +--[ECDSA | ||
+ | | | | ||
+ | | | | ||
+ | | o o . | | ||
+ | |.o B . + . . | | ||
+ | |o.= = o.S.. | | ||
+ | |o o E o. | | ||
+ | |. . . | ||
+ | | +. . o . . | | ||
+ | |o.. . . . | | ||
+ | +-----------------+ | ||
+ | </ | ||
+ | |||
+ | :!: **ACHTUNG** - **Aufgrund der Inkompatibilität von ECDSA-Schlüssel zu OpenSSH-Version __VOR__ Version 5.7, sollte der Einsatz genau geprüft werden. Auch wurde das Unterverfahren NIST mit Unterstützung der NSA erstellt !!!** | ||
=== " | === " | ||
Zeile 1454: | Zeile 1497: | ||
Der Fingerabdruck in " | Der Fingerabdruck in " | ||
< | < | ||
- | $ ssh-keygen -B -f ~/ | + | $ ssh-keygen -B -f ~/ |
4096 qwzer-sdfgg-ljkkr-yxcge-hthvc-qosng-bdtjg-pwmfh-opang-ncvet-kjdfh / | 4096 qwzer-sdfgg-ljkkr-yxcge-hthvc-qosng-bdtjg-pwmfh-opang-ncvet-kjdfh / | ||
</ | </ | ||
Zeile 1506: | Zeile 1549: | ||
Eine etwas einfachere Methode den " | Eine etwas einfachere Methode den " | ||
- | < | + | < |
$ cat / | $ cat / | ||
#!/bin/sh | #!/bin/sh | ||
Zeile 1601: | Zeile 1644: | ||
</ | </ | ||
wobei diese besondere Art des startens der Anwendung durch den Zusatz '' | wobei diese besondere Art des startens der Anwendung durch den Zusatz '' | ||
- | < | + | < |
SHLVL=2 | SHLVL=2 | ||
SSH_AGENT_PID=3018 | SSH_AGENT_PID=3018 | ||
Zeile 1616: | Zeile 1659: | ||
Nach erfolgreicher Eingabe der " | Nach erfolgreicher Eingabe der " | ||
+ | |||
===== Ausführen von Kommandos auf einem entfernten Rechner über '' | ===== Ausführen von Kommandos auf einem entfernten Rechner über '' | ||
Zeile 1624: | Zeile 1668: | ||
4: | 4: | ||
</ | </ | ||
+ | |||
===== Kopieren mit scp ===== | ===== Kopieren mit scp ===== | ||
Zeile 1641: | Zeile 1686: | ||
Falls der Benutzername auf dem lokalen und dem entfernten Rechner identisch ist, kann dieser auch weggelassen werden. Dies gilt auch für den Dateinamen, falls er beim kopieren nicht geändert werden soll. | Falls der Benutzername auf dem lokalen und dem entfernten Rechner identisch ist, kann dieser auch weggelassen werden. Dies gilt auch für den Dateinamen, falls er beim kopieren nicht geändert werden soll. | ||
+ | |||
===== Kopieren mit sftp ===== | ===== Kopieren mit sftp ===== | ||
Zeile 1662: | Zeile 1708: | ||
sftp> quit | sftp> quit | ||
</ | </ | ||
+ |
tachtler/ssh.txt · Zuletzt geändert: 2014/10/01 16:19 von klaus