Sie befinden sich hier: Wissensdatenbank für/auf Djangos Server » LINUX Installation und Konfiguration » Secure Shell - ssh

Secure Shell - ssh

Bei Internetdiensten wie eMail oder Web haben sich verschlüsselte Datenübertragungen mit SSL/TLS ohne Eingriffe in das Originalprotokoll durchgesetzt. Bei den klassischen unverschlüsselten Unix-Diensten zum Arbeiten mit entfernten Rechnern oder zur Datenübertragung auf andere Rechner - z.B. telnet, rcp und rsh - erfolgt eine alternative Lösiung mittels OpenSSH.

openSSH - Programmsuite

Die für die Secure-Shell benötigten Pakete werden i.d.R. bereits bei der Erstinstallation erfolgreich ins System eingebettet. Bei Centos teilen sich die Programme der Programmsuite auf folgende Pakete auf:

openssh.i386 : Die OpenSSH-Implementierung der SSH Protokoll-Versionen 1 und 2
openssh-clients.i386 : Die OpenSSH-Client-Anwendungen
openssh-server.i386 : Der OpenSSH-Server Daemon
openssh-askpass.i386 : Passphrase-Dialog für OpenSSH und X

openssh

Mittels rpm -iql können wir überprüfen, welche Programme, Konfigurationsdateien und Dokumentationen installiert wurden.

# rpm -iql openssh
Name        : openssh                      Relocations: (not relocatable)
Version     : 4.3p2                             Vendor: CentOS
...

...
Signature   : DSA/SHA1, Mo 09 Mär 2009 02:48:50 CET, Key ID a8a447dce8562897
Packager    : Karanbir Singh <kbsingh@karan.org>
URL         : http://www.openssh.com/portable.html
Summary     : Die OpenSSH-Implementierung der SSH Protokoll-Versionen 1 und 2
Description :
SSH (Secure SHell) is a program for logging into and executing
commands on a remote machine. SSH is intended to replace rlogin and
rsh, and to provide secure encrypted communications between two
untrusted hosts over an insecure network. X11 connections and
arbitrary TCP/IP ports can also be forwarded over the secure channel.

OpenSSH is OpenBSD's version of the last free version of SSH, bringing
it up to date in terms of security and features, as well as removing
all patented algorithms to separate libraries.

This package includes the core files necessary for both the OpenSSH
client and server. To make this package useful, you should also
install openssh-clients, openssh-server, or both.
/etc/ssh
/etc/ssh/moduli
/usr/bin/ssh-keygen
/usr/libexec/openssh
/usr/libexec/openssh/ssh-keysign
/usr/share/doc/openssh-4.3p2
/usr/share/doc/openssh-4.3p2/CREDITS
/usr/share/doc/openssh-4.3p2/ChangeLog
/usr/share/doc/openssh-4.3p2/INSTALL
/usr/share/doc/openssh-4.3p2/LICENCE
/usr/share/doc/openssh-4.3p2/OVERVIEW
/usr/share/doc/openssh-4.3p2/README
/usr/share/doc/openssh-4.3p2/README.dns
/usr/share/doc/openssh-4.3p2/README.nss
/usr/share/doc/openssh-4.3p2/README.platform
/usr/share/doc/openssh-4.3p2/README.privsep
/usr/share/doc/openssh-4.3p2/README.smartcard
/usr/share/doc/openssh-4.3p2/README.tun
/usr/share/doc/openssh-4.3p2/RFC.nroff
/usr/share/doc/openssh-4.3p2/TODO
/usr/share/doc/openssh-4.3p2/WARNING.RNG
/usr/share/man/man1/ssh-keygen.1.gz
/usr/share/man/man8/ssh-keysign.8.gz

openssh-clients

Beim Paket openssh-clients wird mitgeliefert:

# rpm -iql openssh-clients
Name        : openssh-clients              Relocations: (not relocatable)
Version     : 4.3p2                             Vendor: CentOS
...

...
Signature   : DSA/SHA1, Mo 09 Mär 2009 02:48:50 CET, Key ID a8a447dce8562897
Packager    : Karanbir Singh <kbsingh@karan.org>
URL         : http://www.openssh.com/portable.html
Summary     : Die OpenSSH-Client-Anwendungen
Description :
OpenSSH is a free version of SSH (Secure SHell), a program for logging
into and executing commands on a remote machine. This package includes
the clients necessary to make encrypted connections to SSH servers.
You'll also need to install the openssh package on OpenSSH clients.
/etc/ssh/ssh_config
/usr/bin/scp
/usr/bin/sftp
/usr/bin/slogin
/usr/bin/ssh
/usr/bin/ssh-add
/usr/bin/ssh-agent
/usr/bin/ssh-copy-id
/usr/bin/ssh-keyscan
/usr/share/man/man1/scp.1.gz
/usr/share/man/man1/sftp.1.gz
/usr/share/man/man1/slogin.1.gz
/usr/share/man/man1/ssh-add.1.gz
/usr/share/man/man1/ssh-agent.1.gz
/usr/share/man/man1/ssh-copy-id.1.gz
/usr/share/man/man1/ssh-keyscan.1.gz
/usr/share/man/man1/ssh.1.gz
/usr/share/man/man5/ssh_config.5.gz

openssh-server

Hingegen liefert uns openssh-server folgende Dateien:

# rpm -iql openssh-server
Name        : openssh-server               Relocations: (not relocatable)
Version     : 4.3p2                             Vendor: CentOS
...

...
Signature   : DSA/SHA1, Mo 09 Mär 2009 02:48:50 CET, Key ID a8a447dce8562897
Packager    : Karanbir Singh <kbsingh@karan.org>
URL         : http://www.openssh.com/portable.html
Summary     : Der OpenSSH-Server Daemon
Description :
OpenSSH is a free version of SSH (Secure SHell), a program for logging
into and executing commands on a remote machine. This package contains
the secure shell daemon (sshd). The sshd daemon allows SSH clients to
securely connect to your SSH server. You also need to have the openssh
package installed.
/etc/pam.d/sshd
/etc/rc.d/init.d/sshd
/etc/ssh
/etc/ssh/sshd_config
/usr/libexec/openssh/sftp-server
/usr/sbin/sshd
/usr/share/man/man5/sshd_config.5.gz
/usr/share/man/man8/sftp-server.8.gz
/usr/share/man/man8/sshd.8.gz
/var/empty/sshd
/var/empty/sshd/etc
/var/empty/sshd/etc/localtime

openssh-askpass

Zu guter Letzt sehen wir uns noch das Paket openssh-askpass genauer an:

# rpm -iql openssh-askpass
Name        : openssh-askpass              Relocations: (not relocatable)
Version     : 4.3p2                             Vendor: CentOS
...

...
Signature   : DSA/SHA1, Mo 09 Mär 2009 02:48:50 CET, Key ID a8a447dce8562897
Packager    : Karanbir Singh <kbsingh@karan.org>
URL         : http://www.openssh.com/portable.html
Summary     : Passphrase-Dialog für OpenSSH und X
Description :
OpenSSH is a free version of SSH (Secure SHell), a program for logging
into and executing commands on a remote machine. This package contains
an X11 passphrase dialog for OpenSSH.
/etc/profile.d/gnome-ssh-askpass.csh
/etc/profile.d/gnome-ssh-askpass.sh
/usr/libexec/openssh/gnome-ssh-askpass
/usr/libexec/openssh/ssh-askpass

ssh in der Praxis

Auch wenn das Passwort bei ssh verschlüsselt übertragen wird, lohnt ein Blick auf die Alternative RSA/DSA-Authentifizierung. Bei dieser Variante muss gar kein Passwort über das Netz übertragen werden. Normalerweise muss der User beim Zugriff via ssh auf einen entfernten Rechner sein Passwort eingeben. Zum einen wollen wir aus Sicherheitsgründen darauf verzichten und zum anderen kann dies doch auf Dauer doch als etwas nervig empfunden werden. Einfacher geht dies über asymetrische Schlüssel.

Erzeugung eines Schlüssel

Als erstes erzeugen wir uns einen Schlüssel für die Authentifizierung:

[django@host ~]$ ssh-keygen -b 4096 -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/django/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/django/.ssh/id_rsa.
Your public key has been saved in /home/django/.ssh/id_rsa.pub.
The key fingerprint is:
2b:83:69:f2:76:e8:c9:8b:cf:34:c8:c2:ae:2b:e1:ee django@host.nausch.org

Die passphrase die man hier angibt, wird später beim Anmelden auf dem entfernten Rechner abgefragt, oder vom ssh-agent bei der Anmeldung mitübergeben.

Nun liegen in dem Verzeichnis /home/django/.ssh zwei Dateien:

[django@host .ssh]$ ll
insgesamt 24
-rw------- 1 django django 3311 22. Apr 22:11 id_rsa
-rw-r--r-- 1 django django  748 22. Apr 22:11 id_rsa.pub

id_rsa enthält den privaten Schlüssel und sollte auf keinen Fall weitergegeben werden und darf auch nur für den Nutzer selbst lesbar sein! id_rsa.pub, der öffentliche Schlüssel, dagegen muss auf den Zielrechner kopiert werden.

Zielverzeichnis anlegen und öffentlichen Schlüssel kopieren

Auf dem Zielrechner legen wir nun das Verzeichnis .ssh an und schützen es entsprechend.

[django@zielhost django]$ mkdir .ssh
[django@zielhost django]$ chmod 700 .ssh

Den öffentlichen Schlüssel kopieren wir dann wie folgt auf das Zielsystem:

[django@host .ssh]$  scp /home/django/.ssh/id_rsa.pub zielhost:/home/django/.ssh/id_rsa.pub

Anschließend wird der Schlüssel in die Datei authorized_keys kopiert. Diese Datei kann mehrere Schlüssel enthalten, daher ist das doppelte Umleitungszeichen wichtig, um eine evt. existierende Datei nicht versehentlich zu überschreiben. Somit wird der neue Schlüssel in die Datei hinzugefügt:

[django@zielhost .ssh]$ cat id_rsa.pub >> authorized_keys

Zu guter Letzt passen wir noch die Berechtigungen an und löschen die nicht mehr benötigte id_rsa.pub

[django@zielhost .ssh]$ chmod 600 authorized_keys
[django@zielhost .ssh]$ rm id_rsa.pub

Das Kopieren des Public-Keys auf unseren Zielhost mit Anpassen der Dateiberechtigungen kann man natürlich auch einfacher vornehmen. Man benutzt hierzu einfach den Befehl ssh-copy-id aus dem Paket openssh-clients.

 $ ssh-copy-id -i ~/.ssh/id_rsa.pub testhost.intra.nausch.org

Die Angabe ~/.ssh/id_rsa.pub entspricht dabei dem Public-Key und testhost.intra.nausch.org dem gewünschten Zielhost.

authorized_keys vs. authorized_keys2

Bei der Einführung von SSH Version 2 kam die Datei authorized_keys2 zum Einsatz. Seit OpenSSH 3.0 wird nun wiederum neben der authorized_keys2 wieder die authorized_keys verwendet. In unserem Fall nutzen wir in unserem obigen Beispiel daher nur noch die Schlüsseldatei authorized_keys.

ssh-Daemon einrichten/anpassen

Folgende Zeilen müssen wir in der Datei /etc/ssh/sshd_config anpassen:

PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

Anschließend starten wir mit

# service sshd restart

den ssh-Daemon neu und melden uns mit ssh zielhost am entfernten Rechner an.

Finale sshd-Änderungen

Das war's eigentlich schon. Im Moment kann sich der user mittels rsa-key oder seinem Passwort anmelden -es funktionieren beide Verfahren. Das kann während der Umstiegphase von Passwörtern auf Schlüssel wichtig sein, um sich z.B. nicht versehentlich selbst auszusperren. Schlägt die Anmeldung mit dem fehl, tritt wieder die Passwortauthentifizierung in Kraft.

Wenn jedoch alles wunschgemäß funktioniert sollte man in der /etc/ssh/sshd_config des Zielsystems folgenden Eintrag freischalten:

PasswordAuthentication no

Anschließend den daemon wieder mittels:

# service sshd restart

neu starten.

Somit sind dann nur noch Userlogins zugelassen, die einen Publikkey auf dem Zielsystem besitzen.

Wichtig ist jedoch immer:

Der User muß selbst darauf achten, dass sein privater Schlüssel nicht in fremde Hände gelangt! Will man noch sicherer gehen, vergibt man, wie Eingangs bereits erwähnt, bei der Erzeugung des Schlüssels eine Passphrase. Diese muss er User dann aber bei jedem neuen Verbindungsaufbau angeben!

ssh-Daemon automatisch starten

Damit der ssh-Daemon sshd automatisch bei jedem Systemstart startet, kann die Einrichtung eines Start-Scripts über folgenden Befehl erreicht werden:

# chkconfig sshd on

Ein Überprüfung ob der Dienst (Daemon) sshd wirklich bei jedem Systemstart automatisch mit gestartet wird, kann durch folgenden Befehl erreicht werden:

# chkconfig --list | grep sshd
sshd            0:Aus   1:Aus   2:Ein   3:Ein   4:Ein   5:Ein   6:Aus

Wichtig ist jeweils der Schalter on bei den Runleveln - 2 3 4 5.

sshd-Agent nutzen

Damit man nicht bei jedem anmelden am entfernten Rechner, die Passphrase erneut eingeben müssen, nutzen wir nun den ssh-agent.

Im Homeverzeichnis des remote-clients legen wir ein Verzeichnis autostart an:

$ mkir /home/django/.config/autostart

Dort legen wir die Datei ssh-add.desktop mit folgendem Inhalt an:

[Desktop Entry]
Name=No name
Encoding=UTF-8
Version=1.0
Exec=ssh-add
X-GNOME-Autostart-enabled=true

Somit wird beim nächsten Amelden am X-Gnome-Desktop die passphrase einmalig abgefragt und beim Anmelden am Remotesystem mit übertragen.

Diskussion

Zuletzt angesehen: • Secure Shell - ssh