{"id":4934,"date":"2019-01-08T16:22:41","date_gmt":"2019-01-08T15:22:41","guid":{"rendered":"https:\/\/speefak.spdns.de\/oss_lifestyle\/?p=4934"},"modified":"2024-06-02T11:48:38","modified_gmt":"2024-06-02T09:48:38","slug":"ssh","status":"publish","type":"post","link":"https:\/\/speefak.spdns.de\/oss_lifestyle\/ssh\/","title":{"rendered":"SSH"},"content":{"rendered":"<p>Das SSH Protokoll kann neben dem Remote Login f\u00fcr eine Shell weitere Funktionalit\u00e4ten wie z.B. die von Netzlaufwerken (sshfs), dem Weiterleiten der Bildschirmausgabe (X forwarding) oder Tunneln von Verbindungen (eine Art Proxy) bereitstellen. Weiterhin bietet SSH verschiedene M\u00f6glichkeiten der Authentifizierung \u00fcber Public Keys, Passw\u00f6rtern oder IP Nummern\/Ranges. Die Einstellungen der Authentifizierungmethode werden \u00fcber den SSH-Dienst des Servers festgelegt<\/p>\n<h2><span id=\"Publickey-Authentifizierung\" class=\"mw-headline\">Public Key Authentifizierung<\/span><\/h2>\n<p>Bei der Public Key Authentifizierung wird ein Schl\u00fcsselpaar erzeugt, bei dem ein Schl\u00fcssel auf dem Client und der andere auf dem Server gespeichert wird. Ein Login kann nur erfolgen, wenn beide Schl\u00fcssel zusammen passen.<\/p>\n<p>In der Praxis sieht das so aus: der User auf dem Client, also der Rechner, der sich an dem Server anmelden will, erzeugt das Schl\u00fcsselpaar. Der private Schl\u00fcssel bleibt lesegesch\u00fctzt in seinem Home Verzeichnis auf diesem Rechner, den \u00f6ffentlichen Schl\u00fcssel hinterlegt er auf allen Servern dort jeweils in seinem Home Verzeichnis. Bei entsprechender Konfiguration der Server ist jetzt ein passwortloses Anmeldeverfahren an dem Server von diesem Client und diesem User m\u00f6glich. Dieser muss nur daf\u00fcr sorgen, dass sein privater Schl\u00fcssel geheim bleibt.<\/p>\n<p>Aus Sicherheitsgr\u00fcnden pr\u00fcft der SSH Dienst die korrekte Rechtevergabe der Schl\u00fcsseldateien ( \/home\/&lt;benutzer&gt;\/.ssh). Dabei darf das Unterverzeichnis .ssh im Homeorder des Benutzers auf dem Server keine Schreibrechte f\u00fcr Group und Other haben. Um diese Restriktion zu umgehen (z.b. bei Verlinkung des Homeverzeichnisses auf andere Speicherpfade) muss die Option &#8220;StrictModes&#8221; in der \/etc\/ssh\/sshd_config auf &#8220;no&#8221; gesetzt werden.<\/p>\n<pre class=\"lang:sh decode:true\">drwxr-xr-x 00 benutzer benutzer 1,0M Jan  1 00:00 \/home\/benutzer \r\ndrw------- 00 benutzer benutzer 1,0M Jan  1 00:00 \/home\/benutzer\/.ssh\r\n-rw------- 00 benutzer benutzer 1,0M Jan  1 00:00 \/home\/benutzer\/.ssh\/id_rsa\r\n-rw-r--r-- 00 benutzer benutzer 1,0M Jan  1 00:00 \/home\/benutzer\/.ssh\/id_rsa.pub\r\n-rw------- 00 benutzer benutzer 1,0M Jan  1 00:00 \/home\/benutzer\/.ssh\/known_hosts\r\n\r\nsudo chmod 755 $HOME\r\nsudo chmod 700 $HOME\/.ssh\/.ssh\/id_rsa\r\nsudo chmod 700 $HOME\/.ssh\/.ssh\/known_hosts\r\nsudo chmod 644 $HOME\/.ssh\/.ssh\/id_rsa.pub\r\n<\/pre>\n<hr \/>\n<h2>X Forwarding f\u00fcr GUI<\/h2>\n<p>Das X Forwading kann mit der Option &lt; X11Forwarding yes &gt; in der SSH Konfiguration (\/etc\/ssh\/sshd_config) aktiviert werden. Ist die Datei &lt; .Xauthority &gt; im Homeverzeichnis des Hosts nicht vorhanden oder kommt es zu Fehlermeldungen beim Ausf\u00fchren von Anwendungen bez\u00fcglich des X Forwardings kann ein Neuerstellen der Datei Abhilfe schaffen. Nachdem Login auf dem Host wird eine neue .Xauthority Datei folgenderma\u00dfen erstellt:<\/p>\n<pre class=\"lang:default decode:true\">mv .Xauthority old.Xauthority \r\ntouch ~\/.Xauthority\r\nxauth generate :0 . trusted \r\nxauth add ${HOST}:0 . $(xxd -l 16 -p \/dev\/urandom)\r\nxauth list \r\n<\/pre>\n<p><span style=\"font-size: 8pt;\"><a href=\"https:\/\/superuser.com\/a\/941244\" target=\"_blank\" rel=\"noopener\">Infosource<\/a><\/span><\/p>\n<p>Alternativ kann der lokale XServer deaktiviert werden, um das X Forwarding zu erzwingen. Die lokale Deaktivierung erfolgt durch folgenden Eintrag in der Datei \/etc\/ssh\/sshd_config :<\/p>\n<pre class=\"lang:default decode:true \">X11UseLocalhost no<\/pre>\n<p>Nachdem der SSH Dienst neu gestartet wurde (sudo systemctl restart sshd) ist das XForwarding nun aktiv. Um XForwarding auch f\u00fcr Root nutzen zu k\u00f6nnen, wird die versteckte Datei .Xauthority in \/root verlinkt:<\/p>\n<pre class=\"lang:default decode:true \">sudo ln -s $HOME\/.Xauthority \/root\/.<\/pre>\n<hr \/>\n<p><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-2821 alignleft\" src=\"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-content\/uploads\/2014\/08\/CC_BY_NC_SA.png\" alt=\"CC_BY_NC_SA\" width=\"65\" height=\"23\" \/><span style=\"font-size: 10pt;\">by Speefak| <span style=\"font-size: 8pt;\"><a href=\"https:\/\/www.thomas-krenn.com\/de\/wiki\/Kategorie:SSH\" target=\"_blank\" rel=\"noopener noreferrer\">www.thomas-krenn.com<\/a><\/span><br \/>\n<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das SSH Protokoll kann neben dem Remote Login f\u00fcr eine Shell weitere Funktionalit\u00e4ten wie z.B. die von Netzlaufwerken (sshfs), dem Weiterleiten der Bildschirmausgabe (X forwarding) oder Tunneln von Verbindungen (eine Art Proxy) bereitstellen. Weiterhin bietet SSH verschiedene M\u00f6glichkeiten der Authentifizierung \u00fcber Public Keys, Passw\u00f6rtern oder IP Nummern\/Ranges. Die Einstellungen der Authentifizierungmethode werden \u00fcber den SSH-Dienst [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,7,40,43],"tags":[],"class_list":["post-4934","post","type-post","status-publish","format-standard","hentry","category-anleitungen","category-grundlagen","category-server","category-sicherheit"],"rttpg_featured_image_url":null,"rttpg_author":{"display_name":"speefak","author_link":"https:\/\/speefak.spdns.de\/oss_lifestyle\/author\/speefak_oss\/"},"rttpg_comment":0,"rttpg_category":"<a href=\"https:\/\/speefak.spdns.de\/oss_lifestyle\/category\/anleitungen\/\" rel=\"category tag\">Anleitungen<\/a> <a href=\"https:\/\/speefak.spdns.de\/oss_lifestyle\/category\/grundlagen\/\" rel=\"category tag\">Grundlagen<\/a> <a href=\"https:\/\/speefak.spdns.de\/oss_lifestyle\/category\/server\/\" rel=\"category tag\">Server<\/a> <a href=\"https:\/\/speefak.spdns.de\/oss_lifestyle\/category\/sicherheit\/\" rel=\"category tag\">Sicherheit<\/a>","rttpg_excerpt":"Das SSH Protokoll kann neben dem Remote Login f\u00fcr eine Shell weitere Funktionalit\u00e4ten wie z.B. die von Netzlaufwerken (sshfs), dem Weiterleiten der Bildschirmausgabe (X forwarding) oder Tunneln von Verbindungen (eine Art Proxy) bereitstellen. Weiterhin bietet SSH verschiedene M\u00f6glichkeiten der Authentifizierung \u00fcber Public Keys, Passw\u00f6rtern oder IP Nummern\/Ranges. Die Einstellungen der Authentifizierungmethode werden \u00fcber den SSH-Dienst&hellip;","_links":{"self":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts\/4934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/comments?post=4934"}],"version-history":[{"count":0,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts\/4934\/revisions"}],"wp:attachment":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/media?parent=4934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/categories?post=4934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/tags?post=4934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}