Einführung in Unix - ssh

Ssh bietet die Möglichkeit, sich über unsichere Verbindungen sicher auf entfernten Rechnern einzuloggen. Dabei wird nicht nur der Datentransfer, sondern auch das Passwort verschlüsselt. Das Verfahren ist ähnlich dem von PGP und wird hier nicht erklärt. :-)
Ähnlich PGP kann auch Ssh mit Public Keys betrieben werden, wie bei PGP ist es auch hier möglich und ratsam den Private-Key mit einer Passphrase zu schützen. Damit nun nicht bei jedem ssh-Aufruf die Passphrase eingegeben werden muß, kann man den ssh-agent verwenden, der die Schlüssel verwaltet. So muß man die Passphrase via ssh-add nur noch einmal eingeben. Das geht auch automagisch beim Login unter X via Eintrag in die .xsession. Wie das funktioniert, wird jetzt und hier erklärt.

Wie wird's gemacht?

Erzeugen eines eigenen Schlüsselpaares mit ssh-keygen, unbedingt eine Passphrase setzen.
Mit cd .ssh in das ssh-Verzeichnis wechseln und den öffentlichen Schlüssel mit cat identity.pub >> authorized_keys in die Datei authorized_keys kopieren.
Mit cd ~ wieder ins Homedirectory wechseln. Dort mit mv .xsession .xsession.ssh die alte .xsession retten. Sollte es keine .xsession geben, gibt es eventuell eine .xinitrc. Dann diese kopieren.
Wenn es beide nicht gibt, wird wohl die systemweite xinitrc aufgerufen, die kann man sich dann kopieren.
Eine neu .xsession erzeugen, z.B. mit vi .xsession. Der Inhalt sollte ungefähr so aussehen:
```
#!/bin/sh
SESSION_PROC_ID=$$
ssh-agent $HOME/.xsession.ssh
```
in die .xsession.ssh das Kommando ssh-add < /dev/null möglichst weit vorne einfügen. Dieses Kommando ohne & am Ende.
Mit chmod +x .xsession die neue .xsession auch ausführbar machen.

Auf jedem Rechner, auf den man zugreifen will, die authorized.keys Datei im Verzeichnis ~/.ssh ablegen:

scp ~/.ssh/authorized_keys <Username@Rechnername>:
ssh -l <Username> <Rechnername>
mkdir .ssh
cat authorized_keys >> .ssh/authorized_keys
rm authorized_keys
chmod 644 .ssh/authorized_keys

Und was macht das jetzt?

Wenn man sich via X einloggt (xdm), wird die .xsession gestartet, diese startet den ssh-agent, der dann die eigentliche .xsession.ssh ausführt. Die fragt dann nach der Passphrase für den Ssh-Private-Key. Jetzt kann man mit ssh jederzeit auf andere Rechner gehen, ohne daß man ein Passwort eingeben muß.

Gefahren:

Wenn an einem X-Terminal gearbeitet wird ist es natürlich für jeden, der zwischen dem X-Terminal und dem Rechner, auf dem die .xsession läuft sitzt, leicht, die Passphrase abzuhören. Deshalb ist eine Workstation, an deren Konsole man arbeitet vorzuziehen.
Wenn man seinen Xserver falsch konfiguriert hat, also auf den Einsatz von xauth verzichtet, kann prinzipiell jeder von außerhalb Tastendrücke mitloggen und so an die Passphrase kommen.`

Warum funktioniert es nicht?

Eventuell ist auf dem eigenen Rechner keine ssh installiert. Die Sourcen liegen z.B. unter ftp://ftp.uni-stuttgart.de/pub/unix/security/ssh/. Links zu freien SSH-Clients fuer verschiendene Plattformen, auch Windows und Java sind unter http://www.freessh.org/.
Eventuell läuft auf dem anderen Rechner kein sshd, dann sollte der dringend installiert werden. Sourcen für Unix sind in o.a. Paket dabei.

Letzte Änderung am Don Mär 7 11:54:56 CET 2002 von Adrian Reyer