This commit is contained in:
parent
0bdd5867d4
commit
7d74b1a0db
GPG Key ID:
852BCC170D81A982
@ -5,14 +5,17 @@
|
|||||||
Genau so wie eine Anmeldung am Linux-Rechner über ein Terminal (\textit{tty}),
|
Genau so wie eine Anmeldung am Linux-Rechner über ein Terminal (\textit{tty}),
|
||||||
ist auch die Anmeldung eines Benutzers über das Netzwerk möglich. Das gleichnamige Programm und Protokoll \acrfull{acr:telnet} wurde durch das gleichnamige Programm und Protokoll \acrfull{acr:ssh} in laufe der Zeit ersetzt.
|
ist auch die Anmeldung eines Benutzers über das Netzwerk möglich. Das gleichnamige Programm und Protokoll \acrfull{acr:telnet} wurde durch das gleichnamige Programm und Protokoll \acrfull{acr:ssh} in laufe der Zeit ersetzt.
|
||||||
|
|
||||||
Beim ersten Implementierung \acrshort{acr:ssh} von wird eine unverschlüsselte
|
Bei der ersten Implementierung von \acrshort{acr:ssh} wird eine unverschlüsselte
|
||||||
Verbindung zwischen den beteiligten Rechnern aufgebaut und die Identifizierung
|
Verbindung zwischen den beteiligten Rechnern aufgebaut und die Identifizierung
|
||||||
des Benutzers erfolgt nur durch dessen Namen und Passwort. Beim der zweiten
|
des Benutzers erfolgt nur durch dessen Namen und Passwort. Beim der zweiten
|
||||||
Implementierung von \acrshort{acr:ssh}, wird eine verschlüsselte Verbindung
|
Implementierung von \acrshort{acr:ssh}, wird eine verschlüsselte Verbindung
|
||||||
aufgebaut, die sowohl das Abhören der Login-Daten, also auch der später
|
aufgebaut, die sowohl das Abhören der Login-Daten, als auch der später
|
||||||
gesendeten Daten nahezu unmöglich macht. Es wird sowohl ein rechnerspezifischer
|
gesendeten Daten, nahezu unmöglich macht. Es wird sowohl ein rechnerspezifischer
|
||||||
Schlüssel als auch ein benutzerspezifischer Schlüssel verwendet. Zu Testzwecken
|
Schlüssel als auch ein benutzerspezifischer Schlüssel zur Verschlüsselung und
|
||||||
ist natürlich auch eine Verbindung zu dem eigenen Rechner (localhost) möglich.
|
Idenzifizierung verwendet.
|
||||||
|
|
||||||
|
Zu Testzwecken können die nachfolgenden Aufgaben über eine Verbindung zu
|
||||||
|
dem lokal laufenden \acrshort{acr:ssh}-Server gelöst werden.
|
||||||
|
|
||||||
% #>------------------------------------------------------------------------<#
|
% #>------------------------------------------------------------------------<#
|
||||||
\subsection{Relevante Befehle für die weiteren Übungen}%
|
\subsection{Relevante Befehle für die weiteren Übungen}%
|
||||||
@ -20,8 +23,8 @@ ist natürlich auch eine Verbindung zu dem eigenen Rechner (localhost) möglich.
|
|||||||
|
|
||||||
\begin{itemize}[label={},itemsep=0pt]
|
\begin{itemize}[label={},itemsep=0pt]
|
||||||
\item \textit{ssh:} Stellt eine verschlüsselte Verbindung zwischen zwei
|
\item \textit{ssh:} Stellt eine verschlüsselte Verbindung zwischen zwei
|
||||||
Rechnern her, über die neben der Shell auch andere Programme der
|
Rechnern her, über die neben der Shell auch andere Programme angesprochen
|
||||||
\acrshort{acr:gui} angesprochen werden können.
|
werden können.
|
||||||
\item \textit{scp:} Ermöglicht das bidirektionale kopieren von Dateien und Verzeichnissen zwischen zwei Rechnern über eine \acrshort{acr:ssh}-Verbindung.
|
\item \textit{scp:} Ermöglicht das bidirektionale kopieren von Dateien und Verzeichnissen zwischen zwei Rechnern über eine \acrshort{acr:ssh}-Verbindung.
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
@ -38,10 +41,11 @@ ist natürlich auch eine Verbindung zu dem eigenen Rechner (localhost) möglich.
|
|||||||
|
|
||||||
\begin{itemize}[label={},itemsep=0pt]
|
\begin{itemize}[label={},itemsep=0pt]
|
||||||
\item \textbf{Aufgabe 2a:} Erkundigen Sie sich nach ihren
|
\item \textbf{Aufgabe 2a:} Erkundigen Sie sich nach ihren
|
||||||
\acrshort{acr:ssh}-Zugangsdaten der Hochschule Trier.
|
\acrshort{acr:ssh}-Zugangsdaten, um sich am \acrshort{acr:ssh}-Server der
|
||||||
|
Hochschule Trier anmelden zu können.
|
||||||
\item \textbf{Aufgabe 2b:} Melden Sie sich mit ihren
|
\item \textbf{Aufgabe 2b:} Melden Sie sich mit ihren
|
||||||
\acrshort{acr:ssh}-Zugangsdaten per \acrshort{acr:ssh} an dem Rechner
|
\acrshort{acr:ssh}-Zugangsdaten per \acrshort{acr:ssh} an dem \acrshort{acr:ssh} -Server der
|
||||||
\textit{ssh.hochschule-trier.de} an.
|
Hochschule Trier an.
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
% #>------------------------------------------------------------------------<#
|
% #>------------------------------------------------------------------------<#
|
||||||
@ -60,7 +64,7 @@ einem gefälschten Server zu vermeiden.
|
|||||||
Die akzeptierten öffentlichen Schlüssel des Servers werden zur Abwehr von
|
Die akzeptierten öffentlichen Schlüssel des Servers werden zur Abwehr von
|
||||||
Man-in-the-Middle Attacken in der Datei \textit{known\_hosts} gespeichert. Diese
|
Man-in-the-Middle Attacken in der Datei \textit{known\_hosts} gespeichert. Diese
|
||||||
befindet sich im Unterverzeichnis \textit{.ssh} des Heimatverzeichnis des
|
befindet sich im Unterverzeichnis \textit{.ssh} des Heimatverzeichnis des
|
||||||
Benutzers.
|
verwendeten Benutzers.
|
||||||
|
|
||||||
Solange der private Schlüssel nicht abhanden kommt und auf dritten Server
|
Solange der private Schlüssel nicht abhanden kommt und auf dritten Server
|
||||||
repliziert und konfiguriert wird, ist bei der aktuellen Protokollversion 2 keine
|
repliziert und konfiguriert wird, ist bei der aktuellen Protokollversion 2 keine
|
||||||
@ -76,32 +80,33 @@ mit einer entsprechenden Warnung abgebrochen.
|
|||||||
\textit{\textasciitilde/.ssh} auf ihrer lokalen VM. Was fällt Ihnen in Vergleich zu anderen Verzeichnissen auf?
|
\textit{\textasciitilde/.ssh} auf ihrer lokalen VM. Was fällt Ihnen in Vergleich zu anderen Verzeichnissen auf?
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
Bisher melden Sie sich an ihrem virtuellen Server oder den der Hochschule Trier
|
Sie haben sich an ihrem lokal laufenden SSH-Server oder den der Hochschule Trier
|
||||||
mit Benutzername und Passwort an. Die Daten werden zwar verschlüsselt übertragen
|
mit Benutzername und Passwort angemeldet. Die Daten werden zwar verschlüsselt
|
||||||
und können daher auch nicht abgehört werden, aber ein Angreifer kann beliebig
|
übertragen und können daher auch nicht abgehört werden, aber ein Angreifer kann
|
||||||
viele Passwörter per Brute-Force-Attacke an ihrem oder dem Server der Hochschule
|
beliebig viele Passwörter per Brute-Force-Attacke an ihrem oder dem Server der
|
||||||
Trier ausprobieren. Bei schwachen Passwörtern wird es daher nicht allzu lange
|
Hochschule Trier ausprobieren. Bei schwachen Passwörtern wird es daher nicht
|
||||||
dauern, bis ein ernsthafter Angreifer erfolg hat. Bei einer frisch in Betrieb
|
allzu lange dauern, bis ein ernsthafter Angreifer erfolg hat. Bei einer frisch
|
||||||
genommenen virtuellen Maschine in einem Rechenzentrum dauert es meist nur wenige
|
in Betrieb genommenen virtuellen Maschine in einem Rechenzentrum dauert es meist
|
||||||
Stunden, bis der erste derartige Angriff erfolgt! Daher sollte man so schnell
|
nur wenige Stunden, bis der erste derartige Angriff erfolgt! Daher sollte man so
|
||||||
wie möglich auf ein besseres Verfahren umstellen.
|
schnell wie möglich auf ein besseres Verfahren umstellen.
|
||||||
|
|
||||||
Ähnlich wie die Authentifizierung der Rechner kann auch die Authentifizierung
|
Ähnlich wie die Authentifizierung der Rechner kann auch die Authentifizierung
|
||||||
der Benutzer per Public-Key Verfahren konfiguriert werden. Der Benutzer, der
|
der Benutzer per Public-Key Verfahren konfiguriert werden. Der Benutzer, der
|
||||||
sich unter einem entfernten Benutzer anmelden möchte, muss auf seinem lokalen
|
sich unter einem entfernten Benutzer anmelden möchte, muss auf seinem lokalen
|
||||||
Rechner ein Schlüsselpaar generieren und den öffentlichen Schlüssel im
|
Rechner ein Schlüsselpaar generieren und den öffentlichen Schlüssel im
|
||||||
Heimatverzeichnis des entfernt liegenden Benutzer hinzufügen. Bei einem späteren
|
Heimatverzeichnis des entfernt liegenden Benutzer hinzufügen. Bei einem späteren
|
||||||
Login wir dann mit Hilfe des privaten Schlüssels des Client festgestellt,
|
Login wir dann mit Hilfe des privaten Schlüssels des Client authentifiziert und
|
||||||
dass der Anfragende tatsächlich der berechtigte Benutzer ist.
|
der Login gewährt.
|
||||||
|
|
||||||
Die Schlüssel werden ebenfalls im Verzeichnis \textit{\textasciitilde/.ssh}
|
Die Schlüssel werden ebenfalls im Verzeichnis \textit{\textasciitilde/.ssh}
|
||||||
gespeichert. Ändert man bei der Erzeugung des Schlüsselpaares den dazugehörigen
|
gespeichert. Ändert man bei der Erzeugung des Schlüsselpaares den dazugehörigen
|
||||||
Dateinamen, muss dieser bei jeder Verwendung angegeben werden! Alternativ kann
|
Dateinamen, muss dieser bei jeder Verwendung angegeben werden! Alternativ kann
|
||||||
auch die Konfigurationsdatei \textit{\textasciitilde/.ssh/config} erstellt
|
auch die Konfigurationsdatei \textit{\textasciitilde/.ssh/config} erstellt
|
||||||
werden, um dort den zugehörigen Schlüssel explizit anzugeben. Das Schlüsselpaar
|
werden, um dort den zugehörigen Schlüssel explizit anzugeben. Das Schlüsselpaar
|
||||||
kann optional mit einer Passphrase (Passwort) gesichert werden, falls man jedoch
|
kann optional mit einer Passphrase (Passwort) gesichert werden. Falls man jedoch
|
||||||
automatische Logins z.B. für Backups wünscht, sollte man auf diese zusätzliche
|
automatische Logins z.B. für Backups benötigt, sollte man auf diese zusätzliche
|
||||||
Sicherung verzichten.
|
Sicherung verzichten, da dies sonst nicht mehr automatisch (non-interactive)
|
||||||
|
durch Jobs möglich ist.
|
||||||
|
|
||||||
\begin{itemize}[label={},itemsep=0pt]
|
\begin{itemize}[label={},itemsep=0pt]
|
||||||
\item \textbf{Aufgabe 3b:} Generieren Sie für ihren lokalen Benutzer eine
|
\item \textbf{Aufgabe 3b:} Generieren Sie für ihren lokalen Benutzer eine
|
||||||
@ -160,7 +165,7 @@ Server aussperrt, sind "Helping Hands" vom Provider meist nicht billig zu haben.
|
|||||||
\item \textbf{Aufgabe 4e:} Nach dem Speichern dieser Änderungen muss der
|
\item \textbf{Aufgabe 4e:} Nach dem Speichern dieser Änderungen muss der
|
||||||
\acrshort{acr:ssh}-Dienst mit \textit{systemctl restart ssh} neu gestartet werden
|
\acrshort{acr:ssh}-Dienst mit \textit{systemctl restart ssh} neu gestartet werden
|
||||||
\item \textbf{Aufgabe 4f:} Testen Sie die korrekte Funktionsfähigkeit dieser
|
\item \textbf{Aufgabe 4f:} Testen Sie die korrekte Funktionsfähigkeit dieser
|
||||||
Änderung mir einer zweiten \acrshort{acr:ssh}-Verbindung.
|
Änderung mit einer zweiten \acrshort{acr:ssh}-Verbindung.
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
% #>------------------------------------------------------------------------<#
|
% #>------------------------------------------------------------------------<#
|
||||||
@ -171,7 +176,7 @@ Da Sie nun den Server erfolgreich auf Public-Key-Authentifizierung umgestellt
|
|||||||
haben, kann im nächsten Schritt die \acrshort{acr:ssh}-Client Konfiguration
|
haben, kann im nächsten Schritt die \acrshort{acr:ssh}-Client Konfiguration
|
||||||
angepasst werden. Dazu ist die Datei \textit{\textasciitilde/.ssh/config}
|
angepasst werden. Dazu ist die Datei \textit{\textasciitilde/.ssh/config}
|
||||||
notwendig. Der \acrshort{acr:ssh}-Client liest die Datei ein und setzt die
|
notwendig. Der \acrshort{acr:ssh}-Client liest die Datei ein und setzt die
|
||||||
Konfiguration, welcher für den Verbindungsaufbau notwendig ist, rekursiv
|
Konfiguration, welcher für den Verbindungsaufbau notwendig ist, rekursiv und
|
||||||
abhängig von dem DNS-Namen, zusammen.
|
abhängig von dem DNS-Namen, zusammen.
|
||||||
|
|
||||||
Möchte man Beispielsweise eine Verbindung zu \textit{verwaltung.example.local}
|
Möchte man Beispielsweise eine Verbindung zu \textit{verwaltung.example.local}
|
||||||
|
|||||||
Loading…
Reference in New Issue
Block a user