One place for hosting & domains

      Verwenden von SSH zum Herstellen einer Verbindung mit einem Remoteserver


      Einführung

      Ein wesentliches Tool, das ein Systemadministrator beherrschen sollte, ist SSH.

      SSH oder Secure Shell ist ein Protokoll, das zur sicheren Anmeldung bei Remotesystemen verwendet wird. Es ist die häufigste Methode für den Zugriff auf Remote-Linux-Server.

      In diesem Leitfaden diskutieren wir, wie SSH zur Herstellung einer Verbindung mit einem Remotesystem genutzt werden kann.

      Grundlegende Syntax

      Um per SSH eine Verbindung mit einem Remotesystem herzustellen, verwenden wir den Befehl ssh. Die grundlegendste Form des Befehls ist:

      Der remote_host in diesem Beispiel ist die IP-Adresse oder der Domänenname, mit der oder dem Sie eine Verbindung herstellen möchten.

      Dieser Befehl geht davon aus, dass Ihr Benutzername im Remotesystem der gleiche wie Ihr Benutzername in Ihrem lokalen System ist.

      Wenn Ihr Benutzername im Remotesystem anders ist, können Sie ihn durch Verwendung dieser Syntax angeben:

      • ssh remote_username@remote_host

      Sobald Sie mit dem Server verbunden sind, werden Sie möglicherweise aufgefordert, Ihre Identität durch Angabe eines Passworts zu verifizieren. Später werden wir auf die Erstellung von Schlüsseln zur Verwendung anstelle von Passwörtern eingehen.

      Um die SSH-Sitzung zu beenden und zu Ihrer lokalen Shell-Sitzung zurückzukehren, geben Sie Folgendes ein:

      Wie funktioniert SSH?

      SSH arbeitet, indem ein Clientprogramm mit einem SSH-Server namens sshd verbunden wird.

      Im vorherigen Abschnitt war ssh das Clientprogramm. Der SSH-Server wird bereits auf dem von uns angegebenen remote_host ausgeführt.

      Auf Ihrem Server sollte der sshd-Server bereits ausgeführt werden. Wenn dies nicht der Fall ist, müssen Sie möglicherweise über eine webbasierte Konsole oder eine lokale serielle Konsole auf Ihren Server zugreifen.

      Der Prozess, der zum Starten eines SHH-Servers erforderlich ist, hängt von der Linux-Distribution ab, die Sie verwenden.

      Unter Ubuntu können Sie den SSH-Server durch folgende Eingabe starten:

      Damit sollte der sshd-Server starten und Sie können sich remote anmelden.

      Konfigurieren von SSH

      Wenn Sie die Konfiguration von SSH ändern, ändern Sie die Einstellungen des sshd-Servers.

      In Ubuntu befindet sich die Hauptkonfigurationsdatei von sshd unter /etc/ssh/sshd_config.

      Sichern Sie vor der Bearbeitung die aktuelle Version dieser Datei:

      • sudo cp /etc/ssh/sshd_config{,.bak}

      Öffnen Sie sie mit einem Texteditor:

      • sudo nano /etc/ssh/sshd_config

      Die meisten Optionen in dieser Datei werden Sie nicht verändern wollen. Es gibt jedoch einige Optionen, auf die Sie möglicherweise einen Blick werfen möchten:

      /etc/ssh/sshd_config

      Port 22
      

      Die Portdeklaration gibt an, an welchem Port der sshd-Server nach Verbindungen lauschen wird. Standardmäßig ist dies Port 22. Sie sollten diese Einstellung wahrscheinlich unverändert lassen, es sei denn, Sie haben spezifische Gründe für ein anderes Vorgehen. Wenn Sie Ihren Port tatsächlich ändern, zeigen wir Ihnen später, wie Sie eine Verbindung mit dem neuen Port herstellen können.

      /etc/ssh/sshd_config

      HostKey /etc/ssh/ssh_host_rsa_key
      HostKey /etc/ssh/ssh_host_dsa_key
      HostKey /etc/ssh/ssh_host_ecdsa_key
      

      Die Hostschlüsseldeklarationen geben an, wo nach globalen Hostschlüsseln gesucht werden soll. Wir werden später erörtern, was ein Hostschlüssel ist.

      /etc/ssh/sshd_config

      SyslogFacility AUTH
      LogLevel INFO
      

      Diese beiden Elemente zeigen die Protokollierungsstufe an, die ausgeführt werden sollte.

      Wenn Sie Probleme mit SSH haben, ist die Erhöhung der Protokollierungsstufe ggf. eine gute Möglichkeit, um zu ermitteln, was das Problem ist.

      /etc/ssh/sshd_config

      LoginGraceTime 120
      PermitRootLogin yes
      StrictModes yes
      

      Diese Parameter geben einige der Anmeldedaten an.

      LoginGraceTime gibt an, wie viele Sekunden die Verbindung ohne eine erfolgreiche Anmeldung aufrechterhalten wird.

      Es ist ggf. eine gute Idee, diese Zeit nur etwas höher als die Zeit anzusetzen, die Sie normalerweise zum Anmelden benötigen.

      PermitRootLogin gibt an, ob sich der root-Benutzer anmelden darf.

      In den meisten Fällen sollte dies in no geändert werden, wenn Sie ein Benutzerkonto erstellt haben, das Zugriff auf erhöhte Berechtigungen hat (über su oder sudo) und sich über SSH anmelden kann.

      strictModes ist ein Sicherheitswächter, der Anmeldeversuche verweigert, wenn die Authentifizierungsdateien für alle lesbar sind.

      Dadurch werden Anmeldeversuche verhindert, wenn Konfigurationsdateien nicht sicher sind.

      /etc/ssh/sshd_config

      X11Forwarding yes
      X11DisplayOffset 10
      

      Diese Parameter konfigurieren eine Funktion namens X11 Forwarding. Dadurch können Sie die grafische Benutzeroberfläche (GUI) eines Remotesystems im lokalen System anzeigen.

      Diese Option muss auf dem Server aktiviert und mit dem SSH-Client während der Verbindung mit der Option -X übergeben werden.

      Speichern und schließen Sie nach dem Vornehmen Ihrer Änderungen die Datei durch Eingabe von STRG+X und Y gefolgt von ENTER.

      Wenn Sie Einstellungen in /etc/ssh/sshd_config geändert haben, stellen Sie sicher, dass Sie Ihren sshd-Server zur Implementierung der Änderungen neu laden:

      • sudo systemctl reload ssh

      Sie sollten Ihre Änderungen sorgfältig testen, um sicherzustellen, dass sie wie erwartet funktionieren.

      Es ist möglicherweise eine gute Idee, beim Vornehmen von Änderungen einige aktive Sitzungen zu haben. Dadurch können Sie die Konfiguration bei Bedarf zurücksetzen.

      Anmelden bei SSH mit Schlüsseln

      Es ist zwar nützlich, sich mit Passwörtern bei einem Remotesystem anmelden zu können, doch ist es eine wesentlich bessere Idee, schlüsselbasierte Authentifizierung einzurichten.

      Wie funktioniert schlüsselbasierte Authentifizierung?

      Schlüsselbasierte Authentifizierung funktioniert durch Erstellen eines Schlüsselpaars, bestehend aus einem privaten Schlüssel und einem öffentlichen Schlüssel.

      Der private Schlüssel befindet sich auf dem Clientrechner, ist gesichert und wird geheim gehalten.

      Der öffentliche Schlüssel kann an beliebige Personen weitergegeben oder auf jedem Server platziert werden, auf den Sie zugreifen möchten.

      Wenn Sie versuchen, eine Verbindung mit einem Schlüsselpaar herzustellen, verwendet der Server den öffentlichen Schlüssel zur Erstellung einer Nachricht für den Clientcomputer, die nur mit dem privaten Schlüssel gelesen werden kann.

      Der Clientcomputer sendet dann die entsprechende Antwort zurück an den Server und der Server weiß, dass der Client legitim ist.

      Das gesamte Verfahren erfolgt nach Einrichtung der Schlüssel automatisch.

      Erstellen von SSH-Schlüsseln

      SSH-Schlüssel sollten auf dem Computer erstellt werden, von dem aus Sie sich anmelden möchten. Dies ist normalerweise Ihr lokaler Rechner.

      Geben Sie Folgendes in die Befehlszeile ein:

      Drücken Sie die Eingabetaste zum Akzeptieren der Standardeinstellungen. Ihre Schlüssel werden unter ~/.ssh/id_rsa.pub und ~/.ssh/id_rsa erstellt.

      Wechseln Sie durch folgende Eingabe zum Verzeichnis .ssh:

      Sehen Sie sich die Berechtigungen der Dateien an:

      Output

      -rw-r--r-- 1 demo demo 807 Sep 9 22:15 authorized_keys -rw------- 1 demo demo 1679 Sep 9 23:13 id_rsa -rw-r--r-- 1 demo demo 396 Sep 9 23:13 id_rsa.pub

      Wie Sie sehen können, ist die Datei id_rsa nur für den Besitzer lesbar und beschreibbar. So sollte es sein, um sie geheim zu halten.

      Die Datei id_rsa.pub kann jedoch weitergegeben werden und verfügt über entsprechende Berechtigungen.

      Übertragen Ihres öffentlichen Schlüssels auf den Server

      Wenn Sie derzeit über passwortbasierten Zugriff auf einen Server verfügen, können Sie durch Eingabe des folgenden Befehls Ihren öffentlichen Schlüssel auf den Server kopieren:

      Dadurch wird eine SSH-Sitzung gestartet. Nach der Eingabe Ihres Passworts wird Ihr öffentlicher Schlüssel in die autorisierte Schlüsseldatei des Servers kopiert, sodass Sie sich beim nächsten Mal ohne das Passwort anmelden können.

      Optionen auf der Clientseite

      Es gibt eine Reihe von optionalen Flags, die Sie beim Verbinden über SSH wählen können.

      Einige davon könnten erforderlich sein, um mit den Einstellungen in der sshd-Konfiguration des Remote-Hosts übereinzustimmen.

      Wenn Sie beispielsweise die Portnummer in Ihrer sshd-Konfiguration geändert haben, müssen Sie durch folgende Angabe eine Anpassung an den Port auf der Clientseite vornehmen:

      • ssh -p port_number remote_host

      Wenn Sie nur einen einzigen Befehl in einem Remotesystem ausführen möchten, können Sie ihn nach dem Host wie folgt angeben:

      • ssh remote_host command_to_run

      Sie werden eine Verbindung mit dem Remoterechner herstellen und sich authentifizieren und der Befehl wird ausgeführt.

      Wie bereits gesagt: Wenn auf beiden Computern X11 Forwarding aktiviert ist, können Sie durch folgende Eingabe auf diese Funktion zugreifen:

      Wenn Sie über die entsprechenden Tools auf Ihrem Computer verfügen, öffnen die GUI-Programme, die Sie im Remotesystem verwenden, ihre Fenster nun auf Ihrem lokalen System.

      Deaktivieren der Passwortauthentifizierung

      Wenn Sie SSH-Schlüssel erstellt haben, können Sie durch Deaktivieren der ausschließlich passwortbasierten Authentifizierung die Sicherheit Ihres Servers erhöhen. Abgesehen von der Konsole ist die einzige Möglichkeit zur Anmeldung bei Ihrem Server der private Schlüssel, der zum öffentlichen Schlüssel passt, den Sie auf dem Server installiert haben.

      Warnung: Bevor Sie mit diesem Schritt fortfahren, stellen Sie sicher, dass Sie einen öffentlichen Schlüssel auf Ihrem Server installiert haben. Andernfalls werden Sie ausgesperrt!

      Öffnen Sie als root-Benutzer oder Benutzer mit sudo-Berechtigungen die sshd-Konfigurationsdatei:

      • sudo nano /etc/ssh/sshd_config

      Suchen Sie die Zeile, in der Password Authentication steht, und heben Sie die Kommentierung auf, indem Sie das führende #-Zeichen entfernen. Sie können dann den Wert in no ändern:

      /etc/ssh/sshd_config

      PasswordAuthentication no
      

      Zwei weitere Einstellungen, die nicht geändert werden sollten (sofern Sie diese Datei noch nicht geändert haben), sind PubkeyAuthentication und ChallengeResponseAuthentication. Sie werden standardmäßig gesetzt und sollten wie folgt aussehen:

      /etc/ssh/sshd_config

      PubkeyAuthentication yes
      ChallengeResponseAuthentication no
      

      Speichern und schließen Sie die Datei nach Vornahme Ihrer Änderungen.

      Sie können den SSH-Daemon nun neu laden:

      • sudo systemctl reload ssh

      Die Passwortauthentifizierung sollte nun deaktiviert und Ihr Server nur per SSH-Schlüsselauthentifizierung zugänglich sein.

      Zusammenfassung

      Sich mit SSH vertraut zu machen, ist eine lohnenswerte Aufgabe, schon weil sie so häufig erforderlich ist.

      Bei Verwendung der verschiedenen Optionen werden Sie erweiterte Funktionen entdecken, die Ihr Leben erleichtern können. SSH ist noch immer beliebt, da das Protokoll in verschiedenen Situationen sicher, leicht und hilfreich ist.



      Source link