ssh

ssh

Installation

Unter Debian Sarge installiert man auf den fernzusteuerden und den lokalen Rechner das Paket ssh. Unter Etch installiert man auf den fernzusteuernden Rechner openssh-server und auf den lokalen Rechner openssh-client. (Dieses wird beim Server automatisch mit installiert.)

Spezialfunktionen

X11-Weiterleitung

Um die X11-Weiterleitung einzuschalten installiert man auf dem entfernten Rechner das Paket xbase-clients um ssh das Progamm xauth zur Verfügung zu stellen. In der Konfigurationsdatei sshd_config setzt man die Option X11Forwarding yes. Dann kann man mit dem Befehl ssh -X user@remotehost die Verbindung mit dem X11-Tunnel aufbauen.

Port-Weiterleitung

Der Befehl

$ ssh -N -L 2000:127.0.0.1:25 root@192.168.1.17

leitet eine Verbindung mit Port 25 des Loopback-Interfaces des entfernten Recheners mit der IP 192.168.1.17 auf den Port 2000 des Loopback-Interfaces des localen Rechners weiter. Danach kann man sich auf einem anderen Terminal mit dem weitergeleiteten Port verbinden:

$ telnet 127.0.0.1 2000
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 localhost.localdomain ESMTP Exim 4.50 Mon, 02 Oct 2006 11:49:22 +0200

Um die Weiterleitung zu beenden, muß man die Weiterleitung mit der Tastenkombination ctrl-c abbrechen.

Der Befehl

$ ssh -N -R 2000:192.168.21.32:113 192.168.1.17

Kontaktiert vom lokalen Rechner ausgehend den Host mit der IP 192.168.21.32 auf Port 113 (ident) und leitet die Verbindung auf Port 2000 des entfernten Rechners mit der IP 192.168.1.17 weiter.

Dateien kopieren

Der Befehl scp kopiert Dateien zwischen zwei hosts. Das Beispiel

scp root@192.168.1.17:/bin/true .

kopiert die Datei /bin/true vom Rechner mit der IP 192.168.1.17 zum lokalen Rechner.

ssh sicherer machen

Passwort-Authentifizierung abschalten

Nach Abschalten der Passwortabfrage ist nur noch ein Login mittels Schlüsseldatei möglich.

Erzeugen der Schlüssel auf dem Client

Der Befehl ssh-keygen -t dsa erzeugt das Schlüsselpaar auf den Client (hier der Benutzer michael auf den Rechner merkur. Die vorgegebene Datei .ssh/id_dsa wird bestätigt. Die Passphrase eingegeben:

michael@merkur:~$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/michael/.ssh/id_dsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/michael/.ssh/id_dsa.
Your public key has been saved in /home/michael/.ssh/id_dsa.pub.
The key fingerprint is:
ff:ff:ff:ff:aa:ff:aa:aa:aa:aa:bb:bb:bb:cc:cc:cc michael@merkur

Übertragen des öffentlichen Schlüssels zum Server

Der folgende Befehl überträgt nach Eingabe des Passworts den öffentlichen Schlüssel des Clients zum Benutzer root des Servers mit der IP 192.168.16.17.

michael@merkur:~$ cat ~/.ssh/id_dsa.pub | ssh root@192.168.16.17 "cat > .ssh/authorized_keys"
Password:

Werden vom Client weitere Server angesprochen, erhalten diese den selben Schlüssel.

Passwort-Authentifizierung abschalten

In der Konfigurationsdatei des Servers /etc/ssh/sshd_config wird durch folgende Optionen die Passwort-Identitätsprüfung abgeschaltet:

# Change to no to disable s/key passwords
ChallengeResponseAuthentication no
 
# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no
ssh.txt · Zuletzt geändert: 2014/09/13 19:12 (Externe Bearbeitung)

Seiten-Werkzeuge