Das SSH Protokoll kann neben dem Remote Login für eine Shell weitere Funktionalitäten wie z.B. die von Netzlaufwerken (sshfs), dem weiterleiten der Bildschirm Ausgabe (X forwarding) oder Tunneln von Verbindungen (eine Art Proxy) bereitstellen. Weiterhin bietet SSH verschiedene Möglichkeiten der Authentifizierung über Public Keys, Passwörtern oder IP Nummern/Ranges. Die Einstellungen der Authentifizierungmethode werden über den  SSH-Dienst des Server festgelegt

Publickey-Authentifizierung

Bei der Publickey Authentifizierung wird ein Schlüsselpaar erzeugt, bei dem ein Schlüssel auf dem Client und der andere auf dem Server gespeichert wird. Ein Login kann nur erfolgen wenn beide Schlüssel zusammen passen.

In der Praxis sieht das so aus, der User auf dem Client, also der Rechner der sich an den Servern anmelden will, erzeugt das Schlüsselpaar, der private Schlüssel bleibt lesegeschützt in seinem Homeverzeichnis auf diesem Rechner, den öffentlichen Schlüssel hinterlegt er auf allen Servern dort jeweils in seinem Homeverzeichnis. Bei entsprechender Konfiguration der Server ist jetzt ein Passwortloses und sehr sicheres Anmeldeverfahren an alle Server von diesem Client und diesem User möglich. Dieser muss nur dafür sorgen, dass sein privater Schlüssel geheim bleibt.

Aus Sicherheitsgründen prüft der SSH Dienst die korrekte Rechtevergabe der Schlüsseldateien ( /home/<benutzer>/.ssh). Dabei darf das Unterverzeichnis .ssh im Homeorder des Benutzers auf dem Server keine Schreibrechte für Group und Other haben. Um diese Restriktion zum umgehen (z.b. bei Verlinkung des Homeverzeichnisses auf andere Speicherpfade ) muss die Option “StrictModes” in der /etc/ssh/sshd_config auf “no” gesetzt werden.


X Forwarding für GUI

Das X Forwading kann mit der Option < X11Forwarding yes > in der SSH Konfiguration ( /etc/ssh/sshd_config) aktiviert werden. Ist die Datei < .Xauthority > im Homeverzeichnis des Hosts nicht vorhanden oder kommt es zu Fehlermeldungen beim Ausführen von Anwendungen bezüglich des X Forwardings kann ein Neuerstellen der Datei Abhilfe schaffen. Nachdem Login auf dem Host wird eine neue .Xauthority Datei folgendermaßen erstellt :

Infosource

Alternativ kann der lokale XServer deaktiviert werden um das X Forwarding zu erzwingen. Die lokale Deaktivierung erfolgt durch folgenden Eintrag in der Datei /etc/ssh/sshd_config :

Nachdem der SSH dienst neu gestarted wurde ( sudo systemctl restart sshd ) ist das XForwarding nun aktiv. Um XForwarding auch für Root nutzen zu können, wird die verstekte Datei .Xauthority in /root verlinkt:

 


CC_BY_NC_SAby Speefak| www.thomas-krenn.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Back To Top