LPIC102/110.3 Daten durch Kryptografie schützen: Unterschied zwischen den Versionen

Aktuelle Version vom 19. Oktober 2024, 13:35 Uhr

topic - Beschreibung

Beschreibung

Wissensgebiete

OpenSSH-2-Client grundlegend konfigurieren und verwenden
Bedeutung von OpenSSH-2-Rechnerschlüsseln verstehen
GnuPG grundlegend konfigurieren und verwenden
GnuPG verwenden um Dateien zu verschlüsseln, entschlüsseln, signieren und zu überprüfen
SSH-Port-Tunnel (auch X11-Tunnel) verstehen

Dateien, Verzeichnisse, Anwendungen

Anwendungen

ssh
ssh-keygen
ssh-agent
ssh-add

Dateien

User

~/.ssh/authorized_keys
~/.ssh/id_rsa und id_rsa.pub
~/.ssh/id_dsa und id_dsa.pub
~/.ssh/id_ecdsa und id_ecdsa.pub
~/.ssh/id_ed25519 und id_ed25519.pub

System

/etc/ssh/ssh_host_rsa_key und ssh_host_rsa_key.pub
/etc/ssh/ssh_host_dsa_key und ssh_host_dsa_key.pub
/etc/ssh/ssh_host_ecdsa_key und ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_ed25519_key und ssh_host_ed25519_key.pub

SSH

Server

Das Paket openssh-server installiert die serverseitige Komponente von SSH
SSH Dienst starten mit systemd

# systemctl start sshd.service
# systemctl enable sshd.service

Client

Die Verbidung startet ssh
Host-Namen bzw. die IP-Adresse wird angegeben
Anschliessend folgt die Eingabe des Kennwortes

$ ssh server
root@server's password:

Zwei Wege um sich mit einem alternativen Benutzerkonto anzumelden

$ ssh -l willi server
$ ssh willi@server

Grafische Anwendungen unter X tunneln

SSH-Verbindung wird von einem X-Terminal aus mit der zusätzlichen Option -X (großes X) initiiert

$ ssh -X server

Auf der Konsole des Remote-Systems führt man die Anwendung aus

$ libreoffice

Grafische Ausgabe und Bedienung erfolgt lokal am SSH-Client-Rechner
Das hier beschriebene Verfahren wird als X11-Tunnel bezeichnet

Weiterleitung anderer Ports durch einen SSH-Tunnel

Als Beispiel, der Zugriff auf einen Terminalserver im entfernten Netzwerk hinter einem SSH-Server
IP-Adresse des Terminalservers 192.168.50.10
Terminalserver lauscht an Port 3389
IP des SSH-Server 119.117.63.126

Zunächst wird die SSH-Verbindung initiiert

$ ssh 119.117.63.126 -L 4711:192.168.50.10:3389

Option -L leitet Port 4711 an 192.168.50.10 mit Portnummer 3389 weiter
Verbindungen werden an 192.168.50.10:3389 weitergeleitet
Terminal-Dienste-Clients (z. B. remmina) nutzen nun als Ziel localhost:4711

Hinweis: Auch vom Windows-Computer aus kann mittels PuTTy auf einen Linux-Host zugegriffen werden

Läuft ein X-Server auf dem Windows-Computer (z. B. Xming oder Cygwin), ist auch das Tunneln von Ports inklusive X11 durchführbar

Konfigurationsdateien

/etc/ssh/sshd_config

Die Konfigurationsdatei sshd_config dient der Konfiguration von sshd, also den SSH-Server

Port 22
Protocol 2
ListenAddress 192.168.0.58
PermitRootLogin no
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

Erläuterung

sshd verwendet den Standardport 22
Ausschließlich SSH-2-Verbindungen
Zugriff auf Schnittstelle des Rechners: 192.168.0.58
Kein login für root
Als Hostkey kommen RSA, ECDSA und Ed25519 in Frage

Hinweis: Auf die Authentifizierung mit Schlüsseln und ssh_known_hosts Datei wird später näher eingegangen

/etc/ssh/ssh_config

Konfiguration des SSH-Clients

Clientseitige X11-Weiterleitung oder Passwortauthentifizierung
RSA-Authentifizierung aktiv
Standardport für ausgehende Verbindungen festlegen
Die Optionsnamen innerhalb dieser Datei sind ansonsten selbsterklärend oder in der Manpage nachzuschlagen
Die beiden gerade besprochenen Dateien kann man aufgrund ihrer Namensähnlichkeit schnell verwechseln

/etc/hosts.allow und /etc/hosts.deny

Die Dateien steuern wie die oben beschriebenen Dateien, den Zugriff auf SSH
hosts.allow hat Vorrang vor der Datei hosts.deny
Wird einem Host der Zugriff auf SSH durch hosts.allow gewährt, kann das durch keinen Eintrag in hosts.deny zurückgenommen werden

/etc/nologin

Mit dem erstellen einer leeren Datei namens /etc/nologin lässt sich der Zugriff auf SSH verhindern
Nur root kann sich dann noch am System anmelden
In dieser Datei kann auch eine Nachricht an Benutzer hinterlassen werden die sich lokal anmelden wollen

Anhang

Siehe auch

LPIC102/110.3 Daten durch Kryptografie schützen

110.3 SSH Authentifizierung mit Schlüsseln
PuTTY - ein freier SSH-Client
ssh_known_hosts
gpg
gpg-agent
~/.gnupg/

Links

Weblinks

@@ Zeile 1: / Zeile 1: @@
-==Wichtigste Wissensgebiete==
+'''topic''' - Beschreibung
+== Beschreibung ==
-* einen OpenSSH-2-Client grundlegend konfigurieren und verwenden
+=== Wissensgebiete ===
-* die Rolle von OpenSSH-2-Rechnerschlüsseln verstehen
+* OpenSSH-2-Client grundlegend konfigurieren und verwenden
+* Bedeutung von OpenSSH-2-Rechnerschlüsseln verstehen
 * GnuPG grundlegend konfigurieren und verwenden
-* GPG verwenden um Dateien zu verschlüsseln, entschlüsseln, signieren und zu überprüfen
+* GnuPG verwenden um Dateien zu verschlüsseln, entschlüsseln, signieren und zu überprüfen
 * SSH-Port-Tunnel (auch X11-Tunnel) verstehen
-==Liste wichtiger Dateien, Verzeichnisse und Anwendungen==
+=== Dateien, Verzeichnisse, Anwendungen ===
+==== Anwendungen ====
 * ssh
 * ssh-keygen
 * ssh-agent
 * ssh-add
+==== Dateien ====
+; User
+* ~/.ssh/authorized_keys
 * ~/.ssh/id_rsa und id_rsa.pub
 * ~/.ssh/id_dsa und id_dsa.pub
 * ~/.ssh/id_ecdsa und id_ecdsa.pub
 * ~/.ssh/id_ed25519 und id_ed25519.pub
+; System
 * /etc/ssh/ssh_host_rsa_key und ssh_host_rsa_key.pub
 * /etc/ssh/ssh_host_dsa_key und ssh_host_dsa_key.pub
 * /etc/ssh/ssh_host_ecdsa_key und ssh_host_ecdsa_key.pub
 * /etc/ssh/ssh_host_ed25519_key und ssh_host_ed25519_key.pub
-* ~/.ssh/authorized_keys
-* ssh_known_hosts
-* gpg
-* gpg-agent
-* ~/.gnupg/
-==SSH verwenden==
-Die serverseitige Komponente von SSH lässt sich mit dem Paket openssh-server installieren.
-Ist systemd zuständig, führen Sie falls nötig die folgenden beiden Kommandos aus um den SSH Dienst zu starten:
- user:~ # systemctl start sshd.service
- user:~ # systemctl enable sshd.service
-'''Hinweis'''
+== SSH ==
-Zwar unterstützt sshd die Verwendung eines TCP-Wrappers und ist auch von inetd
+=== Server ===
-bzw. xinetd aus startbar, aber diese Vorgehensweise wird nicht empfohlen.
+; Das Paket ''openssh-server'' installiert die serverseitige Komponente von SSH
-==SSH-Client-Verbindung==
+;  SSH Dienst starten mit [[systemd]]
-Um eine Verbindung von einem Linux-System zu einem anderen aufzubauen, startet man ssh und übergibt den Host-Namen bzw. die IP-Adresse.
+ # systemctl start sshd.service
-Dann wird man zur Eingabe eines Kennwortes aufgefordert:
+ # systemctl enable sshd.service
-  user:~ # ssh server
+=== Client ===
+* Die Verbidung startet ssh
+* Host-Namen bzw.&nbsp;die IP-Adresse wird angegeben
+* Anschliessend folgt die Eingabe des Kennwortes
+  $ ssh server
   root@server's password:
-Um sich nicht mit dem gleichen Benutzerkonto anmelden zu müssen, das man derzeit lokal verwendet, gibt es zwei Wege einen alternativen Benutzer anzugeben:
+* Zwei Wege um sich mit einem alternativen Benutzerkonto anzumelden
-  user:~ # ssh -l willi server
+  $ ssh -l willi server
-  user:~ # ssh willi@server
+  $ ssh willi@server
+==== Grafische Anwendungen unter X tunneln ====
+* SSH-Verbindung wird von einem X-Terminal aus mit der zusätzlichen Option -X (großes X) initiiert
+ $ ssh -X server
+* Auf der Konsole des Remote-Systems führt man die Anwendung aus
+ $ libreoffice
+* Grafische Ausgabe und Bedienung erfolgt lokal am SSH-Client-Rechner
+* Das hier beschriebene Verfahren wird als X11-Tunnel bezeichnet
+==== Weiterleitung anderer Ports durch einen SSH-Tunnel ====
+* Als Beispiel, der Zugriff auf einen Terminalserver im entfernten Netzwerk hinter einem SSH-Server
+* IP-Adresse des Terminalservers 192.168.50.10
+* Terminalserver lauscht an Port 3389
+* IP des SSH-Server 119.117.63.126
+Zunächst wird die SSH-Verbindung initiiert
+ $ '''ssh 119.117.63.126 -L 4711:192.168.50.10:3389'''
-==Grafische Anwendungen unter X tunneln==
+* Option -L leitet Port 4711 an 192.168.50.10 mit Portnummer 3389 weiter
+* Verbindungen werden an 192.168.50.10:3389 weitergeleitet
+* Terminal-Dienste-Clients (z.&nbsp;B.&nbsp;remmina) nutzen nun als Ziel localhost:4711<br>
-Zuerst wird die SSH-Verbindung von einem X-Terminal aus initiiert.<br>
+; Hinweis
+: Auch vom Windows-Computer aus kann mittels PuTTy auf einen Linux-Host zugegriffen werden <br>
+Läuft ein X-Server auf dem Windows-Computer (z.&nbsp;B.&nbsp;Xming oder Cygwin), ist auch das Tunneln von Ports inklusive X11 durchführbar
-Verbindung zusätzlich mit der Option –X initiieren (großes X).
+=== Konfigurationsdateien ===
+; /etc/ssh/sshd_config
+* Die Konfigurationsdatei sshd_config dient der Konfiguration von sshd, also den SSH-Server
-  user:~ # ssh -l willi -X server
+  Port 22
+ Protocol 2
+ ListenAddress 192.168.0.58
+ PermitRootLogin no
+ HostKey /etc/ssh/ssh_host_rsa_key
+ HostKey /etc/ssh/ssh_host_ecdsa_key
+ HostKey /etc/ssh/ssh_host_ed25519_key
-Auf der Konsole des Remote-Systems führt man die Anwendung aus:
+; Erläuterung
+* sshd verwendet den Standardport 22
+* Ausschließlich SSH-2-Verbindungen
+* Zugriff auf Schnittstelle des Rechners: 192.168.0.58
+* Kein login für root
+* Als Hostkey kommen RSA, ECDSA und Ed25519 in Frage
- willi@server's password:
+; Hinweis
- willi@server:~ # openoffice
+: Auf die Authentifizierung mit Schlüsseln und ssh_known_hosts Datei wird später näher eingegangen
-Die Anwendung führt das entfernte System aus, während die grafische Ausgabe und die Bedienung lokal an dem SSH-Client-Rechner erfolgen. <br>
+; /etc/ssh/ssh_config
-Das hier beschriebene Verfahren wird als X11-Tunnel bezeichnet.
+Konfiguration des SSH-Clients
+* Clientseitige X11-Weiterleitung oder Passwortauthentifizierung
+* RSA-Authentifizierung aktiv
+* Standardport für ausgehende Verbindungen festlegen
+* Die Optionsnamen innerhalb dieser Datei sind ansonsten selbsterklärend oder in der Manpage nachzuschlagen
+* Die beiden gerade besprochenen Dateien kann man aufgrund ihrer Namensähnlichkeit schnell verwechseln
-Weiterleitung anderer Ports durch einen SSH-Tunnel.
+; /etc/hosts.allow und /etc/hosts.deny
+* Die Dateien steuern wie die oben beschriebenen Dateien, den Zugriff auf SSH
+* ''hosts.allow'' hat Vorrang vor der Datei ''hosts.deny
+* Wird einem Host der Zugriff auf SSH durch ''hosts.allow'' gewährt, kann das durch keinen Eintrag in hosts.deny zurückgenommen werden
-Als Beispiel der Zugriff auf einen Terminalserver im entfernten Netzwerk, hinter einem SSH-Server. <br>
+; /etc/nologin
-IP-Adresse des Terminalservers 192.168.50.10
+* Mit dem erstellen einer leeren Datei namens /etc/nologin lässt sich der Zugriff auf SSH verhindern
-Terminalserver lauscht an Port 3389
+* Nur root kann sich dann noch am System anmelden
-IP des SSH-Server 119.117.63.126
+* In dieser Datei kann auch eine Nachricht an Benutzer hinterlassen werden die sich lokal anmelden wollen
-Zunächst wird die SSH-Verbindung initiiert:
- archangel:~ # ssh 119.117.63.126 -L 4711:192.168.50.10:3389
-Option -L leitet den lokalen Port 4711 an die entfernte IP-Adresse 192.168.50.10
+<noinclude>
-mit der Portnummer 3389 weiter.
-Verbindungen, die mit diesem lokalen Port hergestellt werden, werden nun an 192.168.50.10:3389 weitergeleitet.
+== Anhang ==
-Sie können also in diesem Fall einen Terminal-Dienste-Client (z. B. remmina) starten und als Ziel
+=== Siehe auch ===
-localhost:4711 angeben.
+{{Special:PrefixIndex/{{BASEPAGENAME}}}}
+----
+* [[LPIC102/110.3 SSH Authentifizierung mit Schlüsseln|110.3 SSH Authentifizierung mit Schlüsseln]]
+* [[Putty|PuTTY - ein freier SSH-Client]]
+* ssh_known_hosts
+* gpg
+* gpg-agent
+* ~/.gnupg/
+==== Links ====
+===== Weblinks =====
+[[Kategorie:Linux/LPIC/102]]
+[[Kategorie:Kryptografie/Anwendung]]
+[[Kategorie:SSH]]
+</noinclude>