Einführung
Ein wesentliches Tool, das ein Systemadministrator beherrschen sollte, ist SSH.
SSH oder Secure Shell ist ein Protokoll, das zur sicheren Anmeldung bei Remotesystemen verwendet wird. Es ist die häufigste Methode für den Zugriff auf Remote-Linux-Server.
In diesem Leitfaden diskutieren wir, wie SSH zur Herstellung einer Verbindung mit einem Remotesystem genutzt werden kann.
Grundlegende Syntax
Um per SSH eine Verbindung mit einem Remotesystem herzustellen, verwenden wir den Befehl ssh
. Die grundlegendste Form des Befehls ist:
Der remote_host
in diesem Beispiel ist die IP-Adresse oder der Domänenname, mit der oder dem Sie eine Verbindung herstellen möchten.
Dieser Befehl geht davon aus, dass Ihr Benutzername im Remotesystem der gleiche wie Ihr Benutzername in Ihrem lokalen System ist.
Wenn Ihr Benutzername im Remotesystem anders ist, können Sie ihn durch Verwendung dieser Syntax angeben:
- ssh remote_username@remote_host
Sobald Sie mit dem Server verbunden sind, werden Sie möglicherweise aufgefordert, Ihre Identität durch Angabe eines Passworts zu verifizieren. Später werden wir auf die Erstellung von Schlüsseln zur Verwendung anstelle von Passwörtern eingehen.
Um die SSH-Sitzung zu beenden und zu Ihrer lokalen Shell-Sitzung zurückzukehren, geben Sie Folgendes ein:
Wie funktioniert SSH?
SSH arbeitet, indem ein Clientprogramm mit einem SSH-Server namens sshd
verbunden wird.
Im vorherigen Abschnitt war ssh
das Clientprogramm. Der SSH-Server wird bereits auf dem von uns angegebenen remote_host
ausgeführt.
Auf Ihrem Server sollte der sshd
-Server bereits ausgeführt werden. Wenn dies nicht der Fall ist, müssen Sie möglicherweise über eine webbasierte Konsole oder eine lokale serielle Konsole auf Ihren Server zugreifen.
Der Prozess, der zum Starten eines SHH-Servers erforderlich ist, hängt von der Linux-Distribution ab, die Sie verwenden.
Unter Ubuntu können Sie den SSH-Server durch folgende Eingabe starten:
Damit sollte der sshd-Server starten und Sie können sich remote anmelden.
Konfigurieren von SSH
Wenn Sie die Konfiguration von SSH ändern, ändern Sie die Einstellungen des sshd-Servers.
In Ubuntu befindet sich die Hauptkonfigurationsdatei von sshd unter /etc/ssh/sshd_config
.
Sichern Sie vor der Bearbeitung die aktuelle Version dieser Datei:
- sudo cp /etc/ssh/sshd_config{,.bak}
Öffnen Sie sie mit einem Texteditor:
- sudo nano /etc/ssh/sshd_config
Die meisten Optionen in dieser Datei werden Sie nicht verändern wollen. Es gibt jedoch einige Optionen, auf die Sie möglicherweise einen Blick werfen möchten:
/etc/ssh/sshd_config
Port 22
Die Portdeklaration gibt an, an welchem Port der sshd-Server nach Verbindungen lauschen wird. Standardmäßig ist dies Port 22
. Sie sollten diese Einstellung wahrscheinlich unverändert lassen, es sei denn, Sie haben spezifische Gründe für ein anderes Vorgehen. Wenn Sie Ihren Port tatsächlich ändern, zeigen wir Ihnen später, wie Sie eine Verbindung mit dem neuen Port herstellen können.
/etc/ssh/sshd_config
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
Die Hostschlüsseldeklarationen geben an, wo nach globalen Hostschlüsseln gesucht werden soll. Wir werden später erörtern, was ein Hostschlüssel ist.
/etc/ssh/sshd_config
SyslogFacility AUTH
LogLevel INFO
Diese beiden Elemente zeigen die Protokollierungsstufe an, die ausgeführt werden sollte.
Wenn Sie Probleme mit SSH haben, ist die Erhöhung der Protokollierungsstufe ggf. eine gute Möglichkeit, um zu ermitteln, was das Problem ist.
/etc/ssh/sshd_config
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
Diese Parameter geben einige der Anmeldedaten an.
LoginGraceTime
gibt an, wie viele Sekunden die Verbindung ohne eine erfolgreiche Anmeldung aufrechterhalten wird.
Es ist ggf. eine gute Idee, diese Zeit nur etwas höher als die Zeit anzusetzen, die Sie normalerweise zum Anmelden benötigen.
PermitRootLogin
gibt an, ob sich der root-Benutzer anmelden darf.
In den meisten Fällen sollte dies in no
geändert werden, wenn Sie ein Benutzerkonto erstellt haben, das Zugriff auf erhöhte Berechtigungen hat (über su
oder sudo
) und sich über SSH anmelden kann.
strictModes
ist ein Sicherheitswächter, der Anmeldeversuche verweigert, wenn die Authentifizierungsdateien für alle lesbar sind.
Dadurch werden Anmeldeversuche verhindert, wenn Konfigurationsdateien nicht sicher sind.
/etc/ssh/sshd_config
X11Forwarding yes
X11DisplayOffset 10
Diese Parameter konfigurieren eine Funktion namens X11 Forwarding. Dadurch können Sie die grafische Benutzeroberfläche (GUI) eines Remotesystems im lokalen System anzeigen.
Diese Option muss auf dem Server aktiviert und mit dem SSH-Client während der Verbindung mit der Option -X
übergeben werden.
Speichern und schließen Sie nach dem Vornehmen Ihrer Änderungen die Datei durch Eingabe von STRG+X
und Y
gefolgt von ENTER
.
Wenn Sie Einstellungen in /etc/ssh/sshd_config
geändert haben, stellen Sie sicher, dass Sie Ihren sshd-Server zur Implementierung der Änderungen neu laden:
- sudo systemctl reload ssh
Sie sollten Ihre Änderungen sorgfältig testen, um sicherzustellen, dass sie wie erwartet funktionieren.
Es ist möglicherweise eine gute Idee, beim Vornehmen von Änderungen einige aktive Sitzungen zu haben. Dadurch können Sie die Konfiguration bei Bedarf zurücksetzen.
Anmelden bei SSH mit Schlüsseln
Es ist zwar nützlich, sich mit Passwörtern bei einem Remotesystem anmelden zu können, doch ist es eine wesentlich bessere Idee, schlüsselbasierte Authentifizierung einzurichten.
Wie funktioniert schlüsselbasierte Authentifizierung?
Schlüsselbasierte Authentifizierung funktioniert durch Erstellen eines Schlüsselpaars, bestehend aus einem privaten Schlüssel und einem öffentlichen Schlüssel.
Der private Schlüssel befindet sich auf dem Clientrechner, ist gesichert und wird geheim gehalten.
Der öffentliche Schlüssel kann an beliebige Personen weitergegeben oder auf jedem Server platziert werden, auf den Sie zugreifen möchten.
Wenn Sie versuchen, eine Verbindung mit einem Schlüsselpaar herzustellen, verwendet der Server den öffentlichen Schlüssel zur Erstellung einer Nachricht für den Clientcomputer, die nur mit dem privaten Schlüssel gelesen werden kann.
Der Clientcomputer sendet dann die entsprechende Antwort zurück an den Server und der Server weiß, dass der Client legitim ist.
Das gesamte Verfahren erfolgt nach Einrichtung der Schlüssel automatisch.
Erstellen von SSH-Schlüsseln
SSH-Schlüssel sollten auf dem Computer erstellt werden, von dem aus Sie sich anmelden möchten. Dies ist normalerweise Ihr lokaler Rechner.
Geben Sie Folgendes in die Befehlszeile ein:
Drücken Sie die Eingabetaste zum Akzeptieren der Standardeinstellungen. Ihre Schlüssel werden unter ~/.ssh/id_rsa.pub und ~/.ssh/id_rsa erstellt.
Wechseln Sie durch folgende Eingabe zum Verzeichnis .ssh
:
Sehen Sie sich die Berechtigungen der Dateien an:
Output
-rw-r--r-- 1 demo demo 807 Sep 9 22:15 authorized_keys
-rw------- 1 demo demo 1679 Sep 9 23:13 id_rsa
-rw-r--r-- 1 demo demo 396 Sep 9 23:13 id_rsa.pub
Wie Sie sehen können, ist die Datei id_rsa
nur für den Besitzer lesbar und beschreibbar. So sollte es sein, um sie geheim zu halten.
Die Datei id_rsa.pub
kann jedoch weitergegeben werden und verfügt über entsprechende Berechtigungen.
Übertragen Ihres öffentlichen Schlüssels auf den Server
Wenn Sie derzeit über passwortbasierten Zugriff auf einen Server verfügen, können Sie durch Eingabe des folgenden Befehls Ihren öffentlichen Schlüssel auf den Server kopieren:
Dadurch wird eine SSH-Sitzung gestartet. Nach der Eingabe Ihres Passworts wird Ihr öffentlicher Schlüssel in die autorisierte Schlüsseldatei des Servers kopiert, sodass Sie sich beim nächsten Mal ohne das Passwort anmelden können.
Optionen auf der Clientseite
Es gibt eine Reihe von optionalen Flags, die Sie beim Verbinden über SSH wählen können.
Einige davon könnten erforderlich sein, um mit den Einstellungen in der sshd
-Konfiguration des Remote-Hosts übereinzustimmen.
Wenn Sie beispielsweise die Portnummer in Ihrer sshd
-Konfiguration geändert haben, müssen Sie durch folgende Angabe eine Anpassung an den Port auf der Clientseite vornehmen:
- ssh -p port_number remote_host
Wenn Sie nur einen einzigen Befehl in einem Remotesystem ausführen möchten, können Sie ihn nach dem Host wie folgt angeben:
- ssh remote_host command_to_run
Sie werden eine Verbindung mit dem Remoterechner herstellen und sich authentifizieren und der Befehl wird ausgeführt.
Wie bereits gesagt: Wenn auf beiden Computern X11 Forwarding aktiviert ist, können Sie durch folgende Eingabe auf diese Funktion zugreifen:
Wenn Sie über die entsprechenden Tools auf Ihrem Computer verfügen, öffnen die GUI-Programme, die Sie im Remotesystem verwenden, ihre Fenster nun auf Ihrem lokalen System.
Deaktivieren der Passwortauthentifizierung
Wenn Sie SSH-Schlüssel erstellt haben, können Sie durch Deaktivieren der ausschließlich passwortbasierten Authentifizierung die Sicherheit Ihres Servers erhöhen. Abgesehen von der Konsole ist die einzige Möglichkeit zur Anmeldung bei Ihrem Server der private Schlüssel, der zum öffentlichen Schlüssel passt, den Sie auf dem Server installiert haben.
Warnung: Bevor Sie mit diesem Schritt fortfahren, stellen Sie sicher, dass Sie einen öffentlichen Schlüssel auf Ihrem Server installiert haben. Andernfalls werden Sie ausgesperrt!
Öffnen Sie als root-Benutzer oder Benutzer mit sudo-Berechtigungen die sshd
-Konfigurationsdatei:
- sudo nano /etc/ssh/sshd_config
Suchen Sie die Zeile, in der Password Authentication
steht, und heben Sie die Kommentierung auf, indem Sie das führende #
-Zeichen entfernen. Sie können dann den Wert in no
ändern:
/etc/ssh/sshd_config
PasswordAuthentication no
Zwei weitere Einstellungen, die nicht geändert werden sollten (sofern Sie diese Datei noch nicht geändert haben), sind PubkeyAuthentication
und ChallengeResponseAuthentication
. Sie werden standardmäßig gesetzt und sollten wie folgt aussehen:
/etc/ssh/sshd_config
PubkeyAuthentication yes
ChallengeResponseAuthentication no
Speichern und schließen Sie die Datei nach Vornahme Ihrer Änderungen.
Sie können den SSH-Daemon nun neu laden:
- sudo systemctl reload ssh
Die Passwortauthentifizierung sollte nun deaktiviert und Ihr Server nur per SSH-Schlüsselauthentifizierung zugänglich sein.
Zusammenfassung
Sich mit SSH vertraut zu machen, ist eine lohnenswerte Aufgabe, schon weil sie so häufig erforderlich ist.
Bei Verwendung der verschiedenen Optionen werden Sie erweiterte Funktionen entdecken, die Ihr Leben erleichtern können. SSH ist noch immer beliebt, da das Protokoll in verschiedenen Situationen sicher, leicht und hilfreich ist.