Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
centos:ssh_c7 [29.03.2022 15:54. ] – [Passphrase eines SSH-Keys ändern] django | centos:ssh_c7 [07.04.2022 15:15. ] (aktuell) – [Verbindungsaufbau via SSH] django | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Secure Shell - ssh unter CentOS 7.x ====== | ====== Secure Shell - ssh unter CentOS 7.x ====== | ||
{{: | {{: | ||
+ | \\ | ||
+ | <WRAP center round info 65%> | ||
+ | **Hinweis**: | ||
+ | </ | ||
===== openSSH - Programmsuite ===== | ===== openSSH - Programmsuite ===== | ||
Zeile 3680: | Zeile 3684: | ||
===== ssh in der Praxis (Teil 2) ===== | ===== ssh in der Praxis (Teil 2) ===== | ||
==== Verbindungsaufbau via SSH ==== | ==== Verbindungsaufbau via SSH ==== | ||
- | Nachdem wir den Login mit Passwort deaktiviert haben, werden wir nun beim Verbindungsaufbau nach der Passphrase des zur Anwendung kommenden Schlüssels gefragt. | + | Nun ist es an der Zeit, dass wir uns mit unserem Zielhost verbinden. |
+ | |||
+ | <WRAP center round important 80%> | ||
+ | **Achtung**: | ||
+ | Doch bevor wir das machen, besorgen wir uns zuerst einmal noch die **fingerprints** des Zielhosts! doch warum sollten wir das machen? Nun, beim initialen Verbindungsaufbau wird uns der Fingerprint des '' | ||
+ | |||
+ | Also wichtig, nicht einfach **__blind__** irgendwelchen Zielen vertrauen. Eine gewisse Paranoia als Admin an den Tag legen ist nie verkehrt! | ||
+ | </ | ||
+ | |||
+ | /* | ||
+ | @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ | ||
+ | @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! | ||
+ | @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ | ||
+ | IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! | ||
+ | Someone could be eavesdropping on you right now (man-in-the-middle attack)! | ||
+ | It is also possible that a host key has just been changed. | ||
+ | The fingerprint for the ED25519 key sent by the remote host is | ||
+ | SHA256: | ||
+ | Please contact your system administrator. | ||
+ | Add correct host key in / | ||
+ | Offending ED25519 key in / | ||
+ | remove with: | ||
+ | ssh-keygen -f "/ | ||
+ | ED25519 host key for 192.168.0.23 has changed and you have requested strict checking. | ||
+ | Host key verification failed. | ||
+ | */ | ||
+ | |||
+ | |||
+ | Wir melden uns also direkt an der Konsole unseres Zielsystems vor Ort oder über eine Remote-Konsole an und lassen uns die betreffenden Fingerprints ausgeben. Hierzu ist es notwendig, dass wir das als Nutzer **'' | ||
+ | | ||
+ | < | ||
+ | -rw-r-----. 1 root ssh_keys | ||
+ | -rw-r-----. 1 root ssh_keys 1675 Jan 17 2017 / | ||
+ | |||
+ | Die Fingerprints dieser drei Schlüssel (**ECDSA**, **ED25519**, | ||
+ | | ||
+ | < | ||
+ | 256 SHA256: | ||
+ | 2048 SHA256: | ||
+ | |||
+ | Nun können wir uns das erste mal mit unserem Zielhost verbinden. | ||
$ ssh www | $ ssh www | ||
- | < | + | < |
+ | ED25519 key fingerprint is SHA256: | ||
+ | Are you sure you want to continue connecting (yes/ | ||
+ | |||
+ | Den angezeigten Fingerprint **'' | ||
+ | 256 SHA256: | ||
+ | |||
+ | Da sich dieser nicht unterscheidet, | ||
+ | yes | ||
+ | < | ||
+ | ############################################################################## | ||
# # | # # | ||
# This is server of nausch.org. | # This is server of nausch.org. | ||
Zeile 3699: | Zeile 3753: | ||
# This is server of nausch.org. | # This is server of nausch.org. | ||
# # | # # | ||
- | # kd-141271-b357-fr138d | + | # kd-141271-b357-fr13nd |
# # | # # | ||
# | # | ||
Zeile 3708: | Zeile 3762: | ||
############################################################################## | ############################################################################## | ||
- | [django@kd-141271-b357-fr138d | + | [django@kd-141271-b357-fr13nd |
</ | </ | ||
Zeile 3722: | Zeile 3776: | ||
<file bash ~/ | <file bash ~/ | ||
# Django : 2016-11-18 | # Django : 2016-11-18 | ||
+ | |||
+ | # Standardwerte die für alle nachfolgenden Hosts gelten sollen, sofern diese Werte nicht überschrieben werden. | ||
+ | Host * | ||
+ | User django | ||
+ | | ||
+ | |||
Host 04x1 | Host 04x1 | ||
- | | + | |
Port 9922 | Port 9922 | ||
- | User django | ||
| | ||
| | ||
- | | ||
| | ||
Zeile 3734: | Zeile 3792: | ||
| | ||
Port 22 | Port 22 | ||
- | User django | ||
| | ||
- | | ||
| | ||
Zeile 3749: | Zeile 3805: | ||
- | Im folgenden Beispiel würde | + | Im folgenden Beispiel würde |
$ ssh 04x1 | $ ssh 04x1 | ||
__Ohne__ unsere Clientkonfigurationsdatei müssten wir hingegen folgenden Aufruf verwenden. | __Ohne__ unsere Clientkonfigurationsdatei müssten wir hingegen folgenden Aufruf verwenden. | ||
- | $ ssh -p 9922 -u django -Y -A -2 -i ~/ | + | $ ssh -p 9922 -u django -Y -A -2 -i ~/ |
Zeile 3960: | Zeile 4016: | ||
Die Komfortabelste Variante ist nun die Nutzung der Option **ProxyCommand**. Hierzu erweitern wir die bereits bei der [[centos: | Die Komfortabelste Variante ist nun die Nutzung der Option **ProxyCommand**. Hierzu erweitern wir die bereits bei der [[centos: | ||
$ vim ~/ | $ vim ~/ | ||
- | <file bash ~/ | + | <file bash ~/ |
+ | Host * | ||
+ | Port 22 | ||
+ | Protocol 2 | ||
+ | user admin | ||
+ | |||
+ | # Django : 2012-06-13 | ||
# ssh-jumps über mehrere Sprunghosts | # ssh-jumps über mehrere Sprunghosts | ||
Zeile 3967: | Zeile 4029: | ||
Host fwc | Host fwc | ||
Hostname firewall-c.idmz.nausch.org | Hostname firewall-c.idmz.nausch.org | ||
- | Port 22 | ||
- | Protocol 2 | ||
- | user admin | ||
IdentityFile ~/ | IdentityFile ~/ | ||
Zeile 3976: | Zeile 4035: | ||
Host fwb | Host fwb | ||
Hostname firewall-b.edmz.nausch.org | Hostname firewall-b.edmz.nausch.org | ||
- | Port 22 | ||
- | Protocol 2 | ||
- | user admin | ||
IdentityFile ~/ | IdentityFile ~/ | ||
ProxyCommand | ProxyCommand | ||
Zeile 3987: | Zeile 4043: | ||
Hostname firewall-a.nausch.org | Hostname firewall-a.nausch.org | ||
Port 22222 | Port 22222 | ||
- | | + | user sysadmin |
- | | + | |
IdentityFile ~/ | IdentityFile ~/ | ||
ProxyCommand | ProxyCommand | ||
Zeile 3997: | Zeile 4052: | ||
Hostname < | Hostname < | ||
Port 42422 | Port 42422 | ||
- | Protocol 2 | ||
user n3rd | user n3rd | ||
IdentityFile ~/ | IdentityFile ~/ |