Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- admin_grundlagen:ssh [2016/07/01 21:41]
ingo_wichmann [SSH über mehrere Hops]
+++ admin_grundlagen:ssh [2025/01/31 09:50] (aktuell)
natureshadow2 [Serverseitig Passwortauthentifizierung abschalten]
@@ Zeile 1: / Zeile 1: @@
-**Todo**: anpassen des Unit-Files bei systemd ((als Default werden alle Prozesse einer proc group bei restart oder stop gekillt. Das ist nicht das, was man bei ssh o.ä. will.
+====== ssh ======
+===== ssh in firewalld freischalten =====
+**Enable firewall rule for ssh.**
+  sudo firewall-cmd --permanent --add-service=ssh
+  success
+**Reload firewall rules.**
+  sudo firewall-cmd --reload
+  success
+oder Firewall abschalten:
+  systemctl stop firewalld.service
-Unit-File nach /etc/systemd/system kopieren und KillMode=process rein
-und das Verhalten ist wie früher.
-Bei vielen Distris ist das Standard-Unit-File mit
-KillMode=control-group. D.h. man müsste immer und überall bei jeder
-ssh-Installation diese Änderung machen, wenn man nicht irgendwann ein
-doofes Problem haben will))
-====== ssh ======
 ===== Einsatzzwecke von ssh =====
   * Fernadministration
   * Dateien übers Netz kopieren
   * Tunnel bauen
-===== Vorteile von ssh =====
-  * Sicherheit durch Public-Private Key Verschlüsselung
-  * Mehrere Benutzer können einen Account gemeinsam Nutzen
-  * Single Sign On möglich
 ====== Grundfunktionen ======
@@ Zeile 32: / Zeile 36: @@
   scp <Datei> <Benutzer>@<Rechner>:/<Verzeichnis>
 Dateien auf andere Rechner ohne lange Pfadangaben ins $HOME-Verzeichnis von <Benutzer> kopieren:
-  scp <Datei> <Benutzer>@<Rechner>:<Verzeichnis>
+  scp <Datei> <Benutzer>@<Rechner>:
-Fingerprint Hostkey überprüfen:
-  ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub
-====== Server Keys neu erzeugen ======
+====== Syntax sshd prüfen ======
-=== Debian ===
+Vor dem Neustart des Dienstes die Konfigurationsdatei auf Syntaxfehler prüfen:
+  sshd -t
+oder ausführlicher:
+  sshd -dddt
+====== Server Keys ======
+===== Fingerprint Hostkey überprüfen =====
+  ssh-keygen -l -f /etc/ssh/ssh_host_ed25519_key.pub
+===== Server Key aus known_hosts entfernen =====
+Name und IP-Adresse aus known_hosts entfernen:
+  ssh-keygen -R notebook02
+  ssh-keygen -R 192.168.1.202
+===== Server Keys neu erzeugen =====
+löschen:
   rm /etc/ssh/ssh_host_*key*
+=== Debian ===
   dpkg-reconfigure openssh-server
+=== SuSE / RedHat ===
+  service sshd restart
 ====== Public-Private-Key Authentifizierung ======
-Als Nutzer Schlüsselpaar erzeugen:
+===== Als Nutzer Schlüsselpaar erzeugen =====
-  ssh-keygen -t rsa -b 4096 -C "Kommentar"
+Einfach:
-Public-Key auf anderen Rechner übertragen:
+  ssh-keygen
-  ssh-copy-id  -i .ssh/id_rsa.pub nutzer05@notebook06
+oder für Schlüssel mit Kommentar auf Basis von [[wpde>Curve25519]]
-oder alternativ:
+  ssh-keygen -t ed25519 -C "Kommentar"
-  cat .ssh/id_rsa.pub | ssh nutzer05@notebook06 "cat >> .ssh/authorized_keys"
-  ssh nutzer05@notebook06 "chmod 400 .ssh/authorized_keys"
+===== Public-Key auf anderen Rechner übertragen =====
+  ssh-copy-id -i .ssh/id_ed25519.pub nutzer05@notebook06
+oder von Hand:
+  ssh nutzer05@notebook06 'mkdir -m 700 ~/.ssh'
+  ssh nutzer05@notebook06 'cat >> .ssh/authorized_keys' < ~/.ssh/id_ed25519.pub
+  ssh nutzer05@notebook06 'chmod 600 .ssh/authorized_keys'
 ===== Serverseitig Passwortauthentifizierung abschalten =====
-''/etc/ssh/sshd_config'':
-<file>
+<file txt /etc/ssh/sshd_config.d/local.conf>
   UsePAM no
   PasswordAuthentication no
@@ Zeile 58: / Zeile 83: @@
 Alternativ (CentOS 7)
-<file>
+<file txt /etc/ssh/sshd_config>
   UsePAM yes
   ChallengeResponseAuthentication no
   PasswordAuthentication no
 </file>
+==== Syntax prüfen ====
+  ssh -t
+==== Dienst neu starten ====
+  systemctl restart ssh.service
+===== ssh-agent =====
+Schlüssel dem ''ssh-agent'' hinzufügen:
+  ssh-add .ssh/id_rsa
+((Bei openSuSE 11.0 wird der ''ssh-agent'' bei der Anmeldung nur gestartet, wenn das Verzeichnis ''~/.ssh'' existiert:
+  mkdir -m 700 ~/.ssh
+))
+Prüfen, welche Schlüssel der agent kennt:
+  ssh-add -l
 ===== Nutzer Zugriff beschränken =====
 ==== mit authorized_keys command ====
-//Problem: die Datei ''~/.ssh/authorized_keys'' gehört dem Nutzer, den man einschränken möchte. //
+//Problem: die Datei ''~/.ssh/authorized_keys'' gehört dem Nutzer, den man einschränken möchte. Mögliche Lösung: AuthorizedKeysFile, AuthorizedKeysCommand und AuthorizedKeysCommandUser //
 <file txt ~/.ssh/authorized_keys>
-command="/bin/cat /var/log/messages",no-agent-forwanding,no-X11-forwarding,no-port-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHBqUtiLsRTLKquoVXKwhrPRD92CzaN9EOkVEfWoHfdC nutzer26@notebook26
+restrict,command="/usr/bin/who" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHBqUtiLsRTLKquoVXKwhrPRD92CzaN9EOkVEfWoHfdC nutzer26@notebook26
 </file>
 ==== mit Match ====
 <file txt /etc/ssh/sshd_config>
+…
 Match User nutzer12
-  ForceCommand /usr/local/bin/cat_messages
+  ForceCommand /usr/bin/who
 </file>
-<file bash /usr/local/bin/cat_messages>
+====== Fehlersuche ======
-#!/bin/sh
+  ssh -v nutzer06@notebook06
-/bin/cat /var/log/messages
+  ssh -vv nutzer06@notebook06
-</file>
-===== ssh-agent =====
-Schlüssel dem ''ssh-agent'' hinzufügen:
-  ssh-add .ssh/id_dsa
-((Bei openSuSE 11.0 wird der ''ssh-agent'' bei der Anmeldung nur gestartet, wenn das Verzeichnis ''~/.ssh'' existiert:
+====== SSH über mehrere Hops ======
-  mkdir -m 700 ~/.ssh
-))
-==== Agent-Forwarding nutzen ====
-  ssh -A nutzer17@notebook17
-  ssh nutzer07@notebook07
-==== SSH über mehrere Hops ====
 <file>
 +--------+                  +------------+                +------------+
 | ssh    |                  | Hop Server |                | server     |
-| client |                  | notebook01 |                | notebook02 |
+| client |  _ _ _ ssh _ _ _ | notebook01 |                | notebook02 |
 |        | ================ssh========tunnel============> |            |
-+--------+                  +------------+                +------------+
++--------+  ̅  ̅  ̅  ̅  ̅  ̅  ̅  ̅  +------------+                +------------+
 </file>
-=== Client ===
+===== Client =====
-centos 7, debian 8:
+centos 7.4, debian 9, ubuntu 18.04: (ab OpenSSH-Version 7.3)
-  ssh -o ProxyCommand="ssh notebook01.linuxhotel.de -W %h:%p" notebook02.linuxhotel.de
+  ssh -J notebook01.linuxhotel.de notebook02.linuxhotel.de
 mit einer ''~/.ssh/config'' reduziert sich das zu:
@@ Zeile 111: / Zeile 143: @@
 Host notebook02
   Hostname notebook02.linuxhotel.de
-  ProxyCommand ssh notebook01.linuxhotel.de -W %h:%p
+  ProxyJump notebook01.linuxhotel.de
 </file>
   ssh notebook02
-Bei älteren SSH-Versionen muss zusätzlich ''netcat'' bzw. ''nc'' auf dem Jumphost installiert sein:
+Bei älteren SSH-Versionen:
+centos 7, debian 8, ubuntu 16.04:
+  ssh -o ProxyCommand="ssh -W %h:%p notebook01.linuxhotel.de" notebook02.linuxhotel.de
+mit einer ''~/.ssh/config'' reduziert sich das zu:
+<file text ~/.ssh/config >
+Host notebook02
+  Hostname notebook02.linuxhotel.de
+  ProxyCommand ssh -W %h:%p notebook01.linuxhotel.de
+</file>
+  ssh notebook02
+Bei noch älteren SSH-Versionen muss zusätzlich ''netcat'' bzw. ''nc'' auf dem Jumphost installiert sein:
 debian 6, centos 6:
@@ Zeile 125: / Zeile 173: @@
 </file>
-=== Hop Server ===
+===== Hop Server =====
 //optionale// Absicherung, damit sich der Benutzer nicht auf dem Hop-Server einloggen kann
@@ Zeile 138: / Zeile 186: @@
 </file>
+<file txt ~/.ssh/authorized_keys>
+restrict,port-forwarding ssh-rsa AAAAB3NzaC1yc2EAXXXXXXXXXXXXXXXXXXXXXXXXX
+</file>
+===== Agent-Forwarding nutzen =====
+  ssh -A notebook17
+  ssh notebook07
+besser, mit Konfigdatei:
+<file txt ~/.ssh/config>
+Host notebook17
+  ForwardAgent yes
+  IdentityFile ~/.ssh/id_rsa
+  IdentitiesOnly yes
+</file>
 ==== Sicherheitseinschränkung bei Agent-Forwarding ====
-Mit eingeschaltetem Agent-Forwarding sollte man nur vertrauenswürdige Server besuchen. root-Benutzer auf dem Server können während die Verbindung besteht den ssh-Agent "mitbenutzen". Dazu sucht root nach
+Sockets zu den ssh-agents anzeigen:
-  * Prozess-Nummern ( ''-t'' ),
+  ls -ld /tmp/ssh-*/agent*
-  * die dem verbundenen Benutzer gehören ( ''-u'' ),
+root kann den Socket für das Agent-Forwarding mitnutzen: (( Mit eingeschaltetem Agent-Forwarding sollte man nur vertrauenswürdige Server besuchen. root-Benutzer auf dem Server können während die Verbindung besteht den ssh-Agent "mitbenutzen". Dazu sucht root nach
+  * Prozess-Nummern ( ''-t'' ),
   * die eine IP-Verbindung geöffnent haben ( ''-i'' ),
-  * deren Namen mit der Zeichenkette ''sshd'' beginnt ( ''-c'' )
+  * deren Namen mit der Zeichenkette ''sshd'' beginnt ( ''-c'' ),
+  * und die dem verbundenen Benutzer gehören ( ''-u'' )
+))
-  PIDS="$(lsof -a -i -c sshd -u nutzer05 -t)"
+  PIDS="$(lsof -t -a -i -c sshd -u nutzer05)"
-Weiter sucht er nach dazu passenden Socket-Dateien ( ''/tmp/ssh-*/agent.$pid'' ), und speichert die letzte ( ''tail -n 1'' ) in der Variablen ''SSH_AUTH_SOCK''
+(( Weiter sucht er nach dazu passenden Socket-Dateien ( ''/tmp/ssh-*/agent.$pid'' ), und speichert eine ( ''head -n 1'' ) in der Variablen ''SSH_AUTH_SOCK''.))
-  export SSH_AUTH_SOCK=$(for pid in $PIDS; do ls /tmp/ssh-*/agent.$pid; done 2>/dev/null | tail -n 1)
+  export SSH_AUTH_SOCK=$(for pid in $PIDS; do echo /tmp/ssh-*/agent.$pid; done | head -n 1)
+  ssh nutzer05@notebook07
 Auch ein ssh-agent auf dem client-Rechner kann ähnlich mitgenutzt werden:
-  export SSH_AGENT_PID=$(pgrep -u nutzer05 -x 'ssh-agent')
+  PIDS="$(lsof -t -w -a -U -c /agent/ -u nutzer05)"
-  SSH_AUTH_SOCK=$(lsof -a -U -p $SSH_AGENT_PID -F n | tail -n 1)
-  export SSH_AUTH_SOCK=${SSH_AUTH_SOCK#n}
-  ssh nutzer07@notebook07
-====== Fehlersuche ======
+Weitere Diskussion auch: [[https://heipei.github.io/2015/02/26/SSH-Agent-Forwarding-considered-harmful/|diesen Link]]
-  ssh -v nutzer06@notebook06
-  ssh -vv nutzer06@notebook06
 ====== SSH Tunnel ======
@@ Zeile 184: / Zeile 247: @@
   help
   -L <lokaler Port>:<Zielrechner>:<Zielport>
+===== SOCKS Tunnel =====
+z.B. für Firefox:
+  ssh -D 1080 <Zielrechner>
 ===== IP Tunnel / VPN =====

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge