Wiki-Quellcode von Ssh

Version 65.3 von Narine Sumina am 2023/02/28 12:01
Zeige letzte Bearbeiter
1 = SSH Zugriff =
2
3
4
5 {{toc/}}
6
7
8
9 ----
10
11
12
13 {{html wiki="true"}}
14 <a name='Fingerprints'></a>
15 {{/html}}
16
17
18 = 0. Fingerprints =
19
20 Ein Schlüsselfingerprint bei SSH ist ein Hash aus dem Public Key des Hosts und dient der Verifikation und Identifikation des Servers. Damit kann zum Beispiel überprüft werden, ob sich ein Host ändert (z.B. wenn der DNS Server gehackt wurde und lxhalle.in.tum.de auf einmal auf einen bösen Server weisen würde).
21
22 Die ECDSA Keys wurden aus Sicherheitsgründen deaktiviert.
23
24 == lxhalle.in.tum.de ==
25
26 In der folgenden Tabelle sind die Fingerprints für **lxhalle.in.tum.de** aufgelistet.
27
28 |= lxhalle|= MD5-Fingerprint|= SHA256-Fingerprint
29 | Ed25519 | ##MD5:f8:73:a4:f9:47:8e:a2:ba:11:59:19:35:bf:d6:c7:c4## | SHA256:dSj0mkyuOXEdpKGGJmXkvhDnvbjGmGCYQXA0pV8Pe4s
30 | RSA | {{html wiki="true"}}<span>MD5:4b:84:7e:c4:cf:b7:ff:fb:eb:d0:0c:7b:c3:97:05:54</br></span>{{/html}} | SHA256:xJrFkhNs9pwibJFZZB5LvcrltWxfAIovk/UjKAXkIW4
31 Diese Fingerprints wurden zuletzt am 04.04.2019 verifiziert.
32
33 == ssh.ma.tum.de ==
34
35 In der folgenden Tabelle sind die Fingerprints für **ssh.ma.tum.de** aufgelistet.
36
37 |= ssh.ma.tum.de|= MD5-Fingerprint|= SHA256-Fingerprint
38 | Ed25519 | ##MD5:70:5d:b8:5f:51:69:60:07:22:a4:45:65:7b:c5:99:b9## | ##SHA256:EbNhVTkW+74PX0tQNb9bai0HXAVcQLC9lOeS+BgatPM##
39 | RSA | ##MD5:f0:07:65:2b:45:83:19:15:d9:fa:96:e4:5e:bc:8c:43## | ##SHA256:4J5P9HV9KrmMS6aKWYukNjVpaSFBrea2iQvXZOCQ7sQ##
40
41 {{html wiki="true"}}
42 <a name='OpenSSH'></a>
43 {{/html}}
44
45
46 = 1. OpenSSH =
47
48 [[SSH>>https://www.ssh.com/]] (Secure Shell) ist ein Tool für die sichere Systemverwaltung, Dateiübertragung und andere Kommunikation über das Internet oder ein anderes nicht vertrauenswürdiges Netzwerk. Es verschlüsselt Identitäten, Passwörter und übertragene Daten, damit diese nicht abgehört und gestohlen werden können. [[OpenSSH>>https://www.openssh.com/]] ist eine Open-Source-Implementierung des SSH-Protokolls.
49
50 OpenSSH liefert folgende Tools mit:
51
52 * SSH (Secure Shell Client, login auf einem remote System, Aufbau von Tunnel)
53 * SCP (Secure Copy Protocol, cp über einen SSH Tunnel)
54 * SFTP (Secure File Transfer Protocol, ftp über einen SSH Tunnel)
55 * ssh-add, ssh-keysign, ssh-keyscan, ssh-keygen und ssh-agent (Keymanagement)
56 * sshd (SSH Server)
57 * sftp-server (SFTP Server)
58
59 Auf Linux und !MacOS ist !OpenSSH in der Regel vorinstalliert und es exisitert auch eine Implementierung für Windows, die auf Windows 10 seit dem [[“Windows 10 fall creators update”>>https://github.com/PowerShell/Win32-OpenSSH/wiki/Project-Status]] mitgeliefert wird.
60
61 Unter Programme und Features lässt es sich seitdem aktivieren und seit etwa April 2018 sollte es standardmäßig aktiviert sein, wenn man auf dem aktuellstem Updatestand ist.
62
63
64
65 {{html wiki="true"}}
66 <a name='OpenSSHVerbindung'></a>
67 {{/html}}
68
69
70 == 1.1. SSH Verbindung mit Passwort ==
71
72 Öffnen Sie das Terminal (!MacOS / Linux) oder die !PowerShell (Windows). In diesem kann man nun mit
73
74 (% class="box" %)
75 (((
76
77 {{{$> ssh RBG-username@hostname}}}
78 )))
79
80 eine SSH-Verbindung aufbauen.
81
82 Also in unserem Fall z.B
83
84 (% class="box" %)
85 (((
86
87 {{{$> ssh musterma@lxhalle.in.tum.de oder $> ssh musterma@ssh.ma.tum.de}}}
88 )))
89
90 Falls der Server unbekannt ist, also die Verbindung zum ersten Mal aufgebaut wird oder die _known//hosts// Datei gelöscht wurde, ist eine Bestätigung des Fingerprints des public key des Servers gefragt.
91
92 (% class="box" %)
93 (((
94 ~> The authenticity of host ‘<i>server (serverip)</i>’ can’t be established.
95 ~> ECDSA key fingerprint is <i>server fingerprint</i>
96 ~> Are you sure you want to continue connecting (yes/no)?
97 )))
98
99 Falls der Fingerprint richtig ist, kann die Abfrage bestätigt werden. Nun wird man noch nach seinem Passwort gefragt werden und man sollte am Server eingeloggt sein.
100
101
102
103 {{html wiki="true"}}
104 <a name='OpenSSHKonfiguration'></a>
105 {{/html}}
106
107
108
109
110
111 {{html wiki="true"}}
112 <a name='OpenSSHKey'></a>
113 {{/html}}
114
115
116 == 1.2. SSH-Verbindgung ohne Passwort (OpenSSH Konfiguration) ==
117
118 Mit der OpenSSH Konfigurationsdateien lassen sich unter anderem Aliase für SSH Hosts anlegen und Optionen setzen.Mehr Informationen unter https://www.ssh.com/ssh/config/
119
120 Falls die OpenSSH Konfigurationsdatei noch nicht vorhanden ist, kann man diese einfach mit
121
122 (% class="box" %)
123 (((
124
125 {{{touch ~/.ssh/config}}}
126 )))
127
128 erstellen. Danach öffnet man die Konfigurationsdatei (config) mit einem Texteditor z.B. vi oder vim im Terminal.
129
130 (% class="box" %)
131 (((
132
133 {{{vim ~/.ssh/config}}}
134 )))
135
136 Ein Beispiel Hosteintrag sieht wie folgt aus :
137
138 >
139 >{{{Host *}}}{{{IdentitiesOnly yes}}}{{{ServerAliveInterval 15}}}
140
141 >{{{Host <i>aliasname</i>}}}{{{HostName <i>FQDN oder IP des Server</i>}}}{{{User <i>username</i>}}}{{{Port <i>Port</i>}}}{{{IdentityFile <i>PfadzumKeyfile</i>}}}
142
143 Um eine SSH-Verbindgung ohne Passwort zur Lxhalle auszubauen, braucht man eine Konfigurationsdtei wie unten
144
145 >
146 >{{{Host *}}}{{{IdentitiesOnly yes}}}{{{ServerAliveInterval 15}}}
147
148 >{{{Host lxhalle}}}{{{HostName lxhalle.in.tum.de}}}{{{User musterma}}}{{{IdentityFile /Users/max/.ssh/id_rsa_lxhalle}}}
149
150 == 1.3. SSH Key ==
151
152 === 1.3.1. Schlüsselpaar generieren (Private und Public) ===
153
154 Zum Generieren eines SSH Keys folgendes Befehl ausführen.
155
156 (% class="box" %)
157 (((
158 ssh-keygen -t rsa -b 4096
159 )))
160
161 – b steht für die bits Anzahl womit die Länge des Schlüssels bestimmt werden kann.
162
163 – t steht für der type des Schlüssels.
164
165 Wenn Sie das angeben werden Sie nach einem Pfad nachgefragt wo das generierte Key hinterlegt werden soll.
166
167 >
168
169 {{{$> ssh-keygen -t rsa -b 4096
170 > Generating public/private rsa key pair.
171 > Enter file in which to save the key (/home/"$USER"/.ssh/id_rsa): <path_to_directory_to_store_key>
172 > Enter passphrase (empty for no passphrase):
173 > Enter same passphrase again:
174 > Your identification has been saved in <path>
175 > Your public key has been saved in <path>
176 > The key fingerprint is:
177 > SHA256:LtcxHv0vIgzbV/udUgBLQQ8ayBl10DzwLP0LtUC97mQ <username>@<hostname>
178 > The key's randomart image is:
179 > +---[RSA 2048]----+
180 > | ..==**o |
181 > | + O*o. |
182 > | o.=+o. |
183 > | .o+o. |
184 > | S +.oo. |
185 > | ..o +.Eo. |
186 > | . o=o +oo. |
187 > | o. + ooo.o|
188 > | o ..++|
189 > +----[SHA256]-----+
190 }}}
191
192 === 1.3.2. Öffentlichen Schlüssel auf Server übertragen ===
193
194 Der öffentlicher Schlüssel muss auf den Server übertragen werden.I.d.R. kann man dies einfach über //ssh-copy-id// erledigen.
195 {{{$> ssh-copy-id RBG-username@hostname /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: <path_to_directory_where_key_is_stored> /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys username@hostname password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'username@hostname'" and check to make sure that only the key(s) you wanted were added.}}}
196
197 Jetzt sollte der Key auf dem Server als authorisierter Key installiert worden sein und ein Login mit
198 {{{ssh -i !PfadZumKeyfile username@hostname}}}
199
200 möglich sein. Alternativ kann man das Identityfile wie oben spezifiziert in der SSH-Configuration angeben und sich mit //ssh alias// verbinden.
201
202 === 1.3.3. SSH-Keygen Manpages ===
203
204 Wenn man folgenden Befehl im Terminal ausführt, erfährt man mehr über SSH-Keygen
205
206 {{{$> ssh-keygen man
207
208 usage: ssh-keygen [-q] [-b bits] [-C comment] [-f output_keyfile] [-m format]
209 [-t dsa | ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa]
210 [-N new_passphrase] [-O option] [-w provider]
211 ssh-keygen -p [-f keyfile] [-m format] [-N new_passphrase]
212 [-P old_passphrase]
213 ssh-keygen -i [-f input_keyfile] [-m key_format]
214 ssh-keygen -e [-f input_keyfile] [-m key_format]
215 ssh-keygen -y [-f input_keyfile]
216 ssh-keygen -c [-C comment] [-f keyfile] [-P passphrase]
217 ssh-keygen -l [-v] [-E fingerprint_hash] [-f input_keyfile]
218 ssh-keygen -B [-f input_keyfile]
219 ssh-keygen -D pkcs11
220 ssh-keygen -F hostname [-lv] [-f known_hosts_file]
221 ssh-keygen -H [-f known_hosts_file]
222 ssh-keygen -K [-w provider]
223 ssh-keygen -R hostname [-f known_hosts_file]
224 ssh-keygen -r hostname [-g] [-f input_keyfile]
225 ssh-keygen -M generate [-O option] output_file
226 ssh-keygen -M screen [-f input_file] [-O option] output_file
227 ssh-keygen -I certificate_identity -s ca_key [-hU] [-D pkcs11_provider]
228 [-n principals] [-O option] [-V validity_interval]
229 [-z serial_number] file ...
230 ssh-keygen -L [-f input_keyfile]
231 ssh-keygen -A [-f prefix_path]
232 ssh-keygen -k -f krl_file [-u] [-s ca_public] [-z version_number]
233 file ...
234 ssh-keygen -Q -f krl_file file ...
235 ssh-keygen -Y find-principals -s signature_file -f allowed_signers_file
236 ssh-keygen -Y check-novalidate -n namespace -s signature_file
237 ssh-keygen -Y sign -f key_file -n namespace file ...
238 ssh-keygen -Y verify -f allowed_signers_file -I signer_identity
239 -n namespace -s signature_file [-r revocation_file]
240 }}}
241
242 == 1.4. Filetransfer mit SFTP ==
243
244 Das Secure File Transfer Protocol (SFTP) kann genutzt werden um Daten zu oder von einem Remote-System zu übertragen.
245
246 {{{$> sftp
247 usage: sftp [-46aCfpqrv] [-B buffer_size] [-b batchfile] [-c cipher]
248 [-D sftp_server_path] [-F ssh_config] [-i identity_file]
249 [-J destination] [-l limit] [-o ssh_option] [-P port]
250 [-R num_requests] [-S program] [-s subsystem | sftp_server]
251 destination
252 }}}
253
254 Dazu kann man einfach das mit der !OpenSSH -Implementierung mitgelieferte sftp Tool nutzen. Dazu einfach in das Terminal/ Powershell sftp eingeben. Die Parameter sind analog zum ssh Befehl, nur das manche Flags fehlen, wie zB X11-Forwarding. Man kann auch die in der SSH-Config definierten Hosts nutzen.
255
256 z.B. also:
257
258 {{{ $> sftp RBG-username@lxhalle.in.tum.de
259 }}}
260
261 Hier kann man nun interaktive Befehle nutzen um zu den gewüschten Dateien/ Ort im Dateisystem zu navigieren (z.B: ls, cd). Hier kann man nun mit //get/put// Dateien bzw Ordner(das Flag -r angeben, damit der Ordner rekursiv übertragen wird) herunter- bzw. hochladen.
262
263 Mehr zum SFTP-Tool der !OpenSSH-Implementierung findet man im [[Manual>>https://man.openbsd.org/sftp]].
264
265 ----
266
267 == 1.5. X11 Forwarding ==
268
269 Unter den meisten Linux Systemen dient das [[X Windows System>>https://de.wikipedia.org/wiki/X_Window_System]] der Darstellung einer grafischen Oberfläche. Die aktuelle Version ist X Version 11 kurz X11. Mit X11 Forwarding kann man nun auf einem Remote-System eine Anwendung starten und die grafische Darstellung an einen lokalen X11-Server übertragen.
270
271 Um X11 Forwarding nutzen zu können, muss man nur beim ssh-Befehl das X11 Forwarding Flag setzen (also einfach ein -X hinzufügen). Alternativ kann man X11 Forwarding auch in der SSH-Config aktivieren.
272
273 Auf den meisten Linuxsystemen mit grafischer Oberfläche sollte ein X11 Server von Werk aus mitgeliefert sein, sonst muss man diesen aus den Paketquellen nachinstallieren.(zB pacman -S xorg oder apt install xorg)
274
275 Unter Mac benötigt man seit Mac OS X 10.5 zusätzliche Bibliotheken. Näheres dazu auf der Apple Seite: [[Informationen zu X11 für Mac>>https://support.apple.com/de-de/HT201341]].
276
277 Unter Windows benötigt man ebenso einen X11 Server. Dazu bietet es sich unter Windows 10 an, das Linux Subsystem für Windows.(Einrichtung siehe weiter unten im Text). In diesem Linux funktioniert es nun wie unter Linux nativ. Einfach das entsprechende xorg Paket installieren und den xorg-Server starten.
278
279 ----
280
281
282
283 {{html wiki="true"}}
284 <a name='Putty'></a>
285 {{/html}}
286
287
288
289 = 2. Legacy Methode Windows (Putty) =
290
291 Putty benötigt man auf älteren Windows Systemen um eine SSH Verbindung aufbauen zu können, da Microsoft sich dem Industiestandard ziemlich lang verweigert hat.
292
293
294
295 {{html wiki="true"}}
296 <a name='PuttyInstallation'></a>
297 {{/html}}
298
299
300
301 == 2.1. Installation ==
302
303 Den aktuellen Installer für Putty bekommt man unter [[www.putty.org>>https://www.putty.org/]]. Diesen herunterladen und ausführen.
304
305 Die folgenden Screenshots führen durch die Installation:
306
307 [[image:putty00.png||width="1000"]]
308
309 [[image:putty01.png||width="1000"]]
310
311 Hier kann man den Pfad anpasse welcn, anhem Putty installiert werden soll.
312
313 [[image:putty03.png||width="1000"]]
314
315 [[image:putty04.png||width="1000"]]
316
317 [[image:putty05.png||width="1000"]]
318
319
320
321 {{html wiki="true"}}
322 <a name='PuttyKonfiguration'></a>
323 {{/html}}
324
325
326
327 == 2.2. Konfiguration ==
328
329 Nach erfolgreicher Installation nun Putty starten. Dies kann man z.B. durch drücken der Windows-Taste und darauffolgendes Suchen von Putty machen:
330
331 [[image:puttykonfig00.png||width="1000"]]
332
333
334
335
336
337 Nun in dem geöffneten Fenster die Serveradresse **lxhalle.in.tum.de** für Informatik Serveradresse und **ssh.ma.tum.de** für Mathematik Serveradresse angeben:
338
339 [[image:puttykonfig01.png||width="1000"]]
340
341 Nun unter Data den Nutzeraccount eintragen:
342
343 [[image:puttykonfig02.png||width="1000"]]
344
345
346
347
348 In unserem Beispiel ist dies der Nutzer "Max Mustermann" mit der Kennung "musterma":
349
350 [[image:puttykonfig03.png||width="1000"]]
351
352
353
354 Falls ein SSH-Key vorhanden ist, kann man den unter SSH / Auth eintragen:
355
356 [[image:puttykonfig09.png||width="1000"]]
357
358
359 Die Eingaben kann man unter Session speichern (einen Namen geben und auf Save klicken):
360
361 [[image:puttykonfig06.png||width="1000"]]
362
363 [[image:puttykonfig07.png||width="1000"]]
364
365
366
367 Wenn man nun auf Open klickt wird die Verbindung zum Server aufgebaut (bei Erstverbindung wird der Hostkey abgefragt, siehe Tabelle oben):
368
369 [[image:puttykonfig04.png||width="1000"]]
370
371
372
373 Falls kein SSH-Key vorhanden ist oder er nicht erkannt wird, wird nun das Passwort abgefragt:
374
375 [[image:puttykonfig05.png||width="1000"]]
376
377 ----
378
379
380
381 {{html wiki="true"}}
382 <a name='LinuxSub'></a>
383 {{/html}}
384
385
386
387 = 3. Linux Subsystem für Windows 10 =
388
389 Auf Windows 10 kann man auch ein Linux Subsystem installieren, dass sich in den Windows Kernel und das Windows Dateisystem integriert. Es ist ein vollständiges Linux, dass allerdings im Windows Kernel läuft.
390
391
392
393 {{html wiki="true"}}
394 <a name='LinuxSubInstallation'></a>
395 {{/html}}
396
397
398 == 3.1. Installation ==
399
400 Mit Windows-Logo-Taste + X oder rechts klick auf die Windowsflagge das Direktlinkmenü öffnen und dort die Windows !PowerShell (Administrator öffnen):
401
402 [[image:linux00.png||width="1000"]]
403
404
405 Die Benutzerkontensteuerung wird nun nach Administratorberechtigungen fragen:
406
407 [[image:linux01.png||width="1000"]]
408
409
410
411 Hier nun **{{{Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux}}} **eingeben und ausführen. Falls das Feature nicht gefunden wird, ist das System vermutlich nicht auf dem aktuellsten Stand und sollte aktualisiert werden.
412
413 [[image:linux02.png||width="1000"]]
414
415 [[image:linux03.png||width="1000"]]
416
417
418 Nach Abschluss der Feature Aktivierung den Rechner neustarten.
419
420 [[image:linux04.png||width="1000"]]
421
422
423 Nach Neustart des Rechners den **Microsoft Store **öffnen (z.B.: Startmenü öffnen und nach Microsoft Store suchen).
424
425 [[image:linux05.png||width="1000"]]
426
427
428 Im Microsoft Store nun nach Ubuntu suchen. Alternativ existeren OpenSUSE Leap, SUSE Linux Enterprise Server, Debian und Kali Subsysteme für Windows, die auch verwendet werden können und über den Microsoft Store installiert werden können.
429
430 [[image:linux06.png||width="1000"]]
431
432 Dann auf Herunterladen klicken, um das gewählte Subsystem zu installieren.
433
434 [[image:linux07.png||width="1000"]]
435
436 Nach Abschluss der Installation das Subsystem starten (Kann man auch über das Startmenü machen z.B. einfach nach Ubuntu suchen)
437
438 [[image:linux08.png||width="1000"]]
439
440
441
442 Beim ersten Start wird nun das Subsystem eingerichtet. Dies wird einige Zeit in Anspruch nehmen.
443
444 [[image:linux09.png||width="1000"]]
445
446
447
448 Um die Einrichtung abzuschließen, wird noch nach einem Nutzernamen und Passwort für das Linux Subsystem gefragt. Hier können Sie freiwählen und sollten ein sicheres Passwort wählen.
449
450 [[image:linux10.png||width="1000"]]
451
452
453
454 {{html wiki="true"}}
455 <a name='LinuxSubKonfiguration'></a>
456 {{/html}}
457
458
459 == 3.2. Konfiguration ==
460
461 OpenSSH kann nun wie unter Linux verwendet werden.
462
463 [[image:linux11.png||width="1000"]]
464
465 [[image:linux12.png||width="1000"]]
466
467 [[image:linux13.png||width="1000"]]