Einrichtung und Benutzung von SSH2 unter Linux
Da das Protokoll SSH1 Sicherheitslücken mit sich bringt und zudem veraltet ist, sollte man stattdessen das SSH2 Protokoll benutzen. In diesem Beitrag wird beschrieben, wie SSH2 unter Linux eingerichtet wird und wie man über das Protocol auf den Rechner zugreift.
An dieser Stelle wir das SSH1 Protokoll nicht mehr benötigt, deshalb sollte es aus Sicherheitsgründen deaktiviert werden. In der Konfigurationsdatei /etc/ssh/sshd_config dazu einfach die 1 nach dem beim Punkt "Protocol" entfernt wird - schon hört der Rechner auf Port 22 nicht mehr auf Anfragen über SSH1.
Vorbereitungen
Bevor die notwendigen Schlüssel für die SSH Verbindung erstellt werden, muss im Homeverzeichnis des User mit dem man sich authentifizieren will, das Verzeichnis .ssh erstellt werden. Nach dem dies erfolgt ist, wechselt man in das .ssh Verzeichnis. Darin erstellt man die Datei authorized_keys2, in welche später die Schlüssel angehängt werden .
Es gibt verschiedene Programme um einen Schlüsselpaar zu generieren. Im Folgenden werden zwei Möglichkeiten vorgestellt, wie man mit den Programmen ssh-keygen bzw. puttygen die Schlüssel generiert und diese dann mit dem SSH - Client Putty anwendet.
Möglichkeit 1 (ssh-keygen):
Nach dem man sich erfolgreich an das System angemeldet hat sollte man sich vergewissern, dass man sich
im .ssh Verzeichnis befindet:
Um einen Schlüssel des Protokolls SSH2 zu erstellen, werden dem Programm ssh-keygen Parameter mitgeben: ssh-keygen -t dsa. Nach dem erfolgreichen Erzeugen eines Schlüsselpaars, wird man nach dem Pfad gefragt, unter welchem das Schlüsselpaar abgelegt werden soll. Dies kann man, (falls man sich im .ssh Verzeichnis befindet) mit der Taste bestätigen. Anschließend wird nach einer Passphrase gefragt. Diese hat die Funktion eines Passwortes für den Private - Key und dient als zusätzlicher Schutz, falls der Private - Key abhanden kommen sollte. Es ist deshalb sehr wichtig, immer ein genügend lange und komplexe Passphrase zu vergeben.
Nun sollte sich im Verzeichnis .ssh die Datei authorized_keys2, der private Schlüssel id_dsa und der öffentliche Schlüssel id_dsa.pub befinden.
In der Datei authorized_keys2 werden die öffentlichen Schlüssel (public keys) abgelegt. Dazu wird das Programm cat benutzt: cat id_dsa.pub >> authorized_keys2.
ACHTUNG:
Es ist wichtig, dass man >> und nicht > eingibt. Bei der Eingabe von >> werden die public keys an die Datei authorized_keys2 angehängt, wenn man aber > eingibt, werden alle öffentlichen Schlüssel durch den Aktuelle überschrieben. Dies hätte zur Folge, dass sich alle andern User nicht mehr anmelden können!
Jetzt muss der geheime Schlüssel (private Key) auf den eigenen Rechner kopiert werden. Hier zu kann das kostenlose Tool WinSCP benutzt werden. Unter dem Punkt Session gibt man den die IP - Adresse, Username und Passwort ein.
Nach erfolgreichem Einlogen, wechselt man in das .ssh Verzeichnis, in dem sich die authorized_keys2, id_das und id_dsa.pub befinden. Nun muss der private Schlüssel, in diesem Fall id_dsa (falls nicht anders benannt), auf den Client kopiert werden. Dies kann einfach per Drag & Drop durchgeführt werden.
Der private key, der sich auf dem Client befindet, muss jetzt im Putty Format (PuTTY Private Key Files ) mit der Endung .ppk umgewandelt werden. Dazu wir der PuTTY Key Generator benötigt. Der Schlüssel wird mit dem Putty Key Generator geladen, anschließend kann er in einem Putty tauglichem Format abgespeichert werden.
Möglichkeit 2 (puttygen):
Nach dem Start des Programms puttygen wählt man den Punkt SSH2 DSA. Optional kann man noch die Schlüssellänge angeben, standardmäßig ist der Schlüssel 1024 Bits groß. Die Länge des Schlüssels sollte möglichst nicht verkleinert werden.
Um die Schlüssel zu generieren genügt ein Klick auf Generate. Damit der Key Generator die Schlüssel erstellen kann, muss mit dem Mauszeiger über die leere Fläche gefahren werden. Je nach Größe des Schlüssel und nach Stärke des Prozessors kann es schneller oder langsamer gehen.
Die erstellten Schlüssel müssen jetzt abgespeichert werden. Als erstes der public key. Der öffentliche Schlüssel befindet sich in einer Text Box. Er wird in die Zwischenablage kopiert, kann so in einen Editor wieder eingefügt und als Textdatei gespeichert werden
ACHTUNG: Beim Speichern des Schlüssels ist es wichtig, ein Editor zu benutzen, der die Datei ohne jegliches Format abspeichert, am besten Notepad oder Ultraedit verwenden.
Anschließend sollte (muss) eine Passphrase für den geheimen, privaten Schlüssel eingegeben werden. Dieser kann dann mit "save private key" unter beliebigem Namen gespeichert werden.
Der öffentliche Schlüssel (public key) muss jetzt an authorized_keys2 angehängt werden. Dieser Vorgang wird auf jedem Server vorgenommen, auf dem man sich später authentifizieren möchte. Hier zu kann wiederum das kostenlose Tool WinSCP benutzt werden. Der Ablauf ist der gleiche wie in Möglichkeit 1, nur das hier der Schlüssel vom Client auf dem Server kopiert wird.
Wenn der Schlüssel auf dem Zielserver kopiert wurde, kann er an die Datei authorized_keys2 angehängt werden. Dazu wird wiederum cat benuzt: cat id_dsa.pub >> authorized_keys2.
ACHTUNG: Es ist wichtig, dass man >> und nicht > eingibt. Bei der Eingabe von >> werden die Public - Keys an der authorized_keys2 angehängt, wenn man aber > eingibt, werden alles Public - Keys durch das aktuelle Public - Key überschrieben !
Authentifizierung mit Putty
Nach dem Putty gestartet wurde, wählt man einen Ziel-Server aus, auf dem man sich authentifizieren möchte und klickt auf Load und wählt unter den Punkt SSH das Protokoll 2 aus 2 Only.
Jetzt muss der Pfad in dem sich der private key befindet angegeben werden. Dazu wählt man unter SSH den Unterpunkt Auth aus, dann Browse klicken und den Schlüssel auswählen. Nach dem der Schlüssel ausgewählt worden ist, vergewissert man sich, dass ein Häkchen vor Attempt "keyboard-interactive" authentication (SSH2) steht.
Um nicht bei jeder Anmeldung den Pfad in dem sich der private Schlüssel befindet, wieder angeben zu müssen, können diese Einstellungen gespeichert werden. Dazu wählt man den Punkt Session und klickt auf Save.
Passphrase ändern
Am einfachsten kann die Passphrase mit dem Puttygen geändert werden. Als erstes sollte der private Schlüssel geladen werden, indem Load an existing private key file (Load) gewählt wird. Anschließend wird nach dem alten Passphrase gefragt, hier wird das alte Passphrase eingetragen und mit OK bestätigt.
Sobald der Private - Key geladen wurde, kann ein neue Passphrase eingegeben werden:
Um die neue Passphrase zu speichern, wirs "Save private key" geklickt. Dann kann ein Namen für das Private - Key angeben werden. Soll der alte Name weiterhin benutzt werden, so wir der ale Schlüssel einfach überschrieben und die Warnmeldung mit Ja bestätigt.
PuTTY Key - Agent
Soll die Anmeldung an mehreren Systemen erfolgen, wird es mit der Zeit lästig immer wieder die Passphrase einzugben. Dafür gibt es den PuTTY Key - Agent. Wenn das Programm gestartet wird, setz er sich in der Taskleiste.
Ein Doppeltklick auf das Symbol und das PuTTY Key - Agent Fenster geht auf. Die privaten Schlüssel können mit "Add Key" und dem zugehörigen Pfad geladen werden.
Bei der Auswahl des Schlüssels wird man aufgefordert die Passphrase einzugeben, nach Eingabe der richtigen Passphras, wird der Schlüssel in Speicher geladen. Mit Close wird das Fenster wieder minimiert. Jetzt kann man sich ohne Passphrase auf dem System anmelden.
|
|
|
