Konfiguration der Secure Shell an einem Beispiel

Host *
# ForwardAgent yes
# ForwardX11 yes
 RhostsAuthentication no
 RhostsRSAAuthentication yes
# RSAAuthentication yes
# TISAuthentication no
 PasswordAuthentication no
 FallBackToRsh no
# UseRsh no
# BatchMode no
# StrictHostKeyChecking no
# IdentityFile ~/.ssh/identity
# Port 22
# Cipher idea
# EscapeChar ~

In dieser Datei sind nur die von den Vorgaben abweichenden Optionen aktiviert. Es ist für das eigentliche Login auch eher unbedeutend, da es nur Präferenzen festlegt. Z.B. bedeutet "RhostsRSAAuthentication yes", daß diese Authentikationsmethode von ssh versucht werden soll.

grumbeer.hjbaader.home,grumbeer.inka.de 1024 35 14...5690749
mirabell.hjbaader.home 1024 37 15...7346669

Wichtiger ist da schon die Datei ssh_known_hosts, die die öffentlichen Schlüssel der bekannten Hosts enthält. Zwar kann jeder User sein privates known_hosts anlegen, aber es ist komfortabler, die wichtigsten Hosts global zu halten.

Das Tool make_ssh_known_hosts soll den Nameserver fragen und für jeden Host in einer Domain den öffentlichen Schlüssel ermitteln. Bei mir funktioniert das nicht, vielleicht, weil ich den neuen BIND (8.1.1) einsetze.

/etc/ssh_known_hosts sollte natürlich global lesbar sein, sonst macht es wenig Sinn.

Ist in Ihrem Home-Verzeichnis auf dem Server eine Datei .rhosts oder .shosts vorhanden, die Ihnen gehört und auch nur von Ihnen zugreifbar ist (Permissions 0600), dann muß nur der Client-Host in der known_hosts-Liste des Servers stehen. Dann wird, wenn obige Konfigurationsdateien verwendet werden, ein Login ohne Paßwort durchgeführt. Sie brauchen nicht einmal einen eigenen Schlüssel dafür. Diese Methode ist analog zum alten .rhosts-Mechanismus, jedoch ist wenigstens die Authentizität des Clients und des Servers gesichert und der Datentransfer ist verschlüsselt.

Das Paßwort ist notwendig, wenn es keine Datei .rhosts oder .shosts in Ihrem Home-Verzeichnis auf dem Server gibt, oder wenn diese Methode abgeschaltet ist.

Zunächst erzeugen Sie Ihr persönliches Key-Paar:

ssh-keygen

Dies erzeugt ein Unterverzeichnis ~/.ssh, in dem unter anderem die Dateien identity.pub (öffentlicher Schlüssel) und identity (privater Schlüssel) liegen. Der private Schlüssel wird mit dem Paßwort verschlüsselt, nach dem ssh-keygen fragt, zudem ist die Datei für andere User nicht lesbar.

Die Datei identity.pub muß man dann noch nach authorized_keys kopieren. So steht es in der Dokumentation.

Beim Login mit ssh wird das angegebene Paßwort abgefragt.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Den Nameserver BIND sicherer machen 
• Die Diktatur des schönen Scheins