Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:ssh

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:ssh [2008/11/27 21:58] – Externe Bearbeitung 127.0.0.1tachtler:ssh [2014/10/01 16:19] (aktuell) – [Public-Key Authentifizierung] klaus
Zeile 54: Zeile 54:
  
 Die folgende Konfigurationsdatei des SSH-Daemons wurde auf höhere Sicherheitsbedürfnisse angepasst. Die folgende Konfigurationsdatei des SSH-Daemons wurde auf höhere Sicherheitsbedürfnisse angepasst.
- +<code ini
-<code> +#       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
- +
-#       $OpenBSD: sshd_config,v 1.73 2005/12/06 22:38:28 reyk Exp $+
  
 # This is the sshd server system-wide configuration file.  See # This is the sshd server system-wide configuration file.  See
Zeile 71: Zeile 69:
         AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES         AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
         AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT         AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
-        AcceptEnv LC_IDENTIFICATION LC_ALL +        AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE 
-        AllowUsers mann frau+        AcceptEnv XMODIFIERS 
 +        AllowUsers klaus 
 +        AddressFamily inet
         Banner /etc/issue.net         Banner /etc/issue.net
         ChallengeResponseAuthentication no         ChallengeResponseAuthentication no
-        GSSAPIAuthentication yes+        GSSAPIAuthentication no
         GSSAPICleanupCredentials yes         GSSAPICleanupCredentials yes
-        Port 22+        HostKey /etc/ssh/ssh_host_rsa_key 
 +        HostKey /etc/ssh/ssh_host_ecdsa_key         
 +        ListenAddress 192.168.0.10:22 
 +        ListenAddress 127.0.0.1:2222 
 +        MaxAuthTries 12
         Protocol 2         Protocol 2
         Subsystem       sftp    /usr/libexec/openssh/sftp-server         Subsystem       sftp    /usr/libexec/openssh/sftp-server
         SyslogFacility AUTHPRIV         SyslogFacility AUTHPRIV
-        UsePAM no +        UsePAM yes 
 +        UsePrivilegeSeparation sandbox
         X11Forwarding yes         X11Forwarding yes
  
-# Settings for "Public-Key"-Authorization+# Settings for Key-Authorization
  
         AuthorizedKeysFile %h/.ssh/authorized_keys         AuthorizedKeysFile %h/.ssh/authorized_keys
-        PasswordAuthentication no  +        PasswordAuthentication no 
-        PermitRootLogin no +        PermitRootLogin no
         PermitEmptyPasswords no         PermitEmptyPasswords no
-        RSAAuthentication no  +        RSAAuthentication no
  
  
Zeile 294: Zeile 298:
 #       HostbasedUsesNameFromPacketOnly no #       HostbasedUsesNameFromPacketOnly no
  
-# HostKey -DISABLED-+# HostKey
 #            Specifies a file containing a private host key used by SSH.  The #            Specifies a file containing a private host key used by SSH.  The
 #            default is /etc/ssh/ssh_host_key for protocol version 1, and #            default is /etc/ssh/ssh_host_key for protocol version 1, and
Zeile 661: Zeile 665:
 ==== Konfiguration SSH-Client ==== ==== Konfiguration SSH-Client ====
  
-<code> +<code ini
-#       $OpenBSD: ssh_config,v 1.21 2005/12/06 22:38:27 reyk Exp $+#       $OpenBSD: ssh_config,v 1.25 2009/02/17 01:28:32 djm Exp $
  
 # This is the ssh client system-wide configuration file.  See # This is the ssh client system-wide configuration file.  See
Zeile 686: Zeile 690:
         SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES         SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
         SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT         SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
-        SendEnv LC_IDENTIFICATION LC_ALL+        SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE 
 +        SendEnv XMODIFIERS
  
 #    Host    Restricts the following declarations (up to the next Host key- #    Host    Restricts the following declarations (up to the next Host key-
Zeile 1431: Zeile 1436:
 Hier ein Beispiel für die Erzeugung eines solchen digitalen Schlüsselpaares, genauer gesagt eines SSH2-RSA-Schlüssels Hier ein Beispiel für die Erzeugung eines solchen digitalen Schlüsselpaares, genauer gesagt eines SSH2-RSA-Schlüssels
 <code> <code>
-ssh-keygen -b 4096 -t rsa -C username@rechner.tld+ssh-keygen -b 4096 -t rsa -C username@rechner.tld
 Generating public/private rsa key pair. Generating public/private rsa key pair.
-Enter file in which to save the key (/username/.ssh/id_rsa): +Enter file in which to save the key (/home/username/.ssh/id_rsa):  
-Created directory '/username/.ssh'. +Enter passphrase (empty for no passphrase):  
-Enter passphrase (empty for no passphrase): +Enter same passphrase again:  
-Enter same passphrase again: +Your identification has been saved in /home/username/.ssh/id_rsa. 
-Your identification has been saved in /username/.ssh/id_rsa. +Your public key has been saved in /home/username/.ssh/id_rsa.pub.
-Your public key has been saved in /username/.ssh/id_rsa.pub.+
 The key fingerprint is: The key fingerprint is:
-a1:a3:bc:35:a2:d0:22:99:73:72:3b:96:31:65:42:14 username@rechner.tld+f7:34:69:ce:d6:28:a5:72:78:a7:0b:7d:16:8d:f6:f6 username@rechner.tld 
 +The key's randomart image is: 
 ++--[ RSA 4096]----+ 
 +|                 | 
 +|                 | 
 +|                 | 
 +|               | 
 +|        S . X .  | 
 +|         + X *   | 
 +|        + * X +  | 
 +|         = B . . | 
 +|          o.    E| 
 ++-----------------+
 </code> </code>
 +
 +Hier ein weiteres Beispiel für die Erzeugung eines solchen digitalen Schlüsselpaares, genauer gesagt eines ECDSA-SHA2-NISTP256 Schlüssels
 +<code>
 +$ ssh-keygen -b 256 -t ecdsa -C username@rechner.tld
 +Generating public/private ecdsa key pair.
 +Enter file in which to save the key (/home/username/.ssh/id_ecdsa): 
 +Enter passphrase (empty for no passphrase): 
 +Enter same passphrase again: 
 +Your identification has been saved in /home/username/.ssh/id_ecdsa.
 +Your public key has been saved in /home/username/.ssh/id_ecdsa.pub.
 +The key fingerprint is:
 +17:62:9a:c8:92:e1:c7:b0:68:a8:8f:79:7d:7c:07:89 username@rechner.tld
 +The key's randomart image is:
 ++--[ECDSA  256]---+
 +|                 |
 +|                 |
 +|  o     o .      |
 +|.o B . + . .     |
 +|o.= = o.S..      |
 +|o  o  E o.       |
 +|.  . .         |
 +| +. . o . .      |
 +|o..  . . .       |
 ++-----------------+
 +</code>
 +
 +:!: **ACHTUNG** - **Aufgrund der Inkompatibilität von ECDSA-Schlüssel zu OpenSSH-Version __VOR__ Version 5.7, sollte der Einsatz genau geprüft werden. Auch wurde das Unterverfahren NIST mit Unterstützung der NSA erstellt !!!**
  
 === "Fingerprint" des digitalen Schlüsselpaares === === "Fingerprint" des digitalen Schlüsselpaares ===
Zeile 1454: Zeile 1497:
 Der Fingerabdruck in "Bubble Babble" Darstellung, kann über folgenden Befehl angezeigt werden Der Fingerabdruck in "Bubble Babble" Darstellung, kann über folgenden Befehl angezeigt werden
 <code> <code>
-$ ssh-keygen -B  -f ~/.ssh/id_rsa.pub+$ ssh-keygen -B -f ~/.ssh/id_rsa.pub
 4096 qwzer-sdfgg-ljkkr-yxcge-hthvc-qosng-bdtjg-pwmfh-opang-ncvet-kjdfh /username/.ssh/id_rsa.pub 4096 qwzer-sdfgg-ljkkr-yxcge-hthvc-qosng-bdtjg-pwmfh-opang-ncvet-kjdfh /username/.ssh/id_rsa.pub
 </code> </code>
Zeile 1506: Zeile 1549:
  
 Eine etwas einfachere Methode den "öffentlichen Schlüssel" auf einem entfernten Rechner zu hinterlegen, ist dies mit Hilfe von ''ssh-copy-id'' durchzuführen. ''ssh-copy-id'' ist ein einfaches ''shell''-Script mit folgendem Inhalt, was letztendlich alle notwendigen Schritte erledigt: Eine etwas einfachere Methode den "öffentlichen Schlüssel" auf einem entfernten Rechner zu hinterlegen, ist dies mit Hilfe von ''ssh-copy-id'' durchzuführen. ''ssh-copy-id'' ist ein einfaches ''shell''-Script mit folgendem Inhalt, was letztendlich alle notwendigen Schritte erledigt:
-<code>+<code bash>
 $ cat /usr/bin/ssh-copy-id  $ cat /usr/bin/ssh-copy-id 
 #!/bin/sh #!/bin/sh
Zeile 1601: Zeile 1644:
 </code> </code>
 wobei diese besondere Art des startens der Anwendung durch den Zusatz ''eval'' am Anfang der Zeile bewirkt, dass einige Umgebungsvariablen der aktuellen Shell geändert werden. Das Programm ''ssh-agent'' läuft somit im Hintergrund. Merklich wurden folgende Umgebungsvariablen in der Shell geändert, bzw. eingefügt. wobei diese besondere Art des startens der Anwendung durch den Zusatz ''eval'' am Anfang der Zeile bewirkt, dass einige Umgebungsvariablen der aktuellen Shell geändert werden. Das Programm ''ssh-agent'' läuft somit im Hintergrund. Merklich wurden folgende Umgebungsvariablen in der Shell geändert, bzw. eingefügt.
-<code>+<code ini>
 SHLVL=2 SHLVL=2
 SSH_AGENT_PID=3018 SSH_AGENT_PID=3018
Zeile 1616: Zeile 1659:
  
 Nach erfolgreicher Eingabe der "Passphrase" wird diese nicht mehr abgefragt. Nach erfolgreicher Eingabe der "Passphrase" wird diese nicht mehr abgefragt.
 +
 ===== Ausführen von Kommandos auf einem entfernten Rechner über ''ssh'' ===== ===== Ausführen von Kommandos auf einem entfernten Rechner über ''ssh'' =====
  
Zeile 1624: Zeile 1668:
   4:13pm  up 5 days,  3:17,  5 users,  load average: 0.00, 0.00, 0.00   4:13pm  up 5 days,  3:17,  5 users,  load average: 0.00, 0.00, 0.00
 </code> </code>
 +
 ===== Kopieren mit scp ===== ===== Kopieren mit scp =====
  
Zeile 1641: Zeile 1686:
  
 Falls der Benutzername auf dem lokalen und dem entfernten Rechner identisch ist, kann dieser auch weggelassen werden. Dies gilt auch für den Dateinamen, falls er beim kopieren nicht geändert werden soll. Falls der Benutzername auf dem lokalen und dem entfernten Rechner identisch ist, kann dieser auch weggelassen werden. Dies gilt auch für den Dateinamen, falls er beim kopieren nicht geändert werden soll.
 +
 ===== Kopieren mit sftp ===== ===== Kopieren mit sftp =====
  
Zeile 1662: Zeile 1708:
 sftp> quit sftp> quit
 </code> </code>
 +
tachtler/ssh.1227819538.txt.gz · Zuletzt geändert: 2012/08/29 11:11 (Externe Bearbeitung)