|
|
|
Vielfach muss man Arbeiten an der Serverkonsole vornehmen, wenn man gerade in einem anderen Raum an einem Computer sitzt. Sei es, um Fehler mit dem Internetzugang zu suchen, einen vergessenen Nutzer anzulegen oder Netzwerkproblemen auf den Gund zu gehen. Ein Werkzeug liefert Windows bereits mit: Telnet. Allerdings ist Telnet nicht gerade das sicherste Werkzeug für solche Arbeiten: Alle Daten, auch Passwörter, gehen im Klartext über das Netzwerk. Ein einfacher Netzwerk-Sniffer reicht, um den Datenverkehr mitzulesen. Modernere Hacker-Werkzeuge erlauben es sogar, sich in eine bestehende Telnet-Verbindung einzuklinken und diese ganz zu übernehmen. Deshalb ist es wichtig, sicherere Werkzeuge zu benutzen - die SecureShell (SSH).
Der SSH-Server auf Arktur wird standardmäßig bei jedem Systemstart mit aktiviert. Beim ersten Start werden über einen Zufallsgenerator mit einem bestimmten Primzahlen-Algorithmus zwei Schlüssel generiert: Einen öffentlichen Schlüssel (public key), der im Netzwerk zum Verschlüsseln verteilt wird, und einen privaten Schlüssel (private key), der zum Entschlüsseln der Daten nötig ist. Diese Schlüssel werden meist schon bei der Erstinstallation generiert und im Verzeichnis /etc/ssh zur weiteren Verwendung gespeichert.
Um eine verschlüsselte Verbindung aufzubauen, benötigt man ein geeignetes Programm. Für Windows gibt es mehrere Alternativen dazu. Eine sehr gut geeignete Freeware ist Putty, das bei der Installation des c't/ODS-Kommunikationsservers auf die Festplatte kopiert wird und im Laufwerk P: unter software/win9x zu finden ist. Es besteht nur aus einer einzigen .EXE-Datei. Es kann eine angepasste Konfiguration in seinem Installationsverzeichnis speichern. Dazu müssen Sie es auf die Festplatte des Clients an eine geeignete Stelle kopieren. Dann entfallen in Zukunft die Eingabe eines Servers und des Protokolls, aber auch andere Terminal-Einstellungen werden übernommen. Außerdem wird zu ihrer Sicherheit ein einmal übertragener SSH-Key des Servers auf der Festplatte gespeichert, damit Sie Veränderungen dieses Schlüssels bemerken.
Starten Sie Putty durch einen Doppelklick auf das Symbol.
Abbildung 7.9-1: Putty-Start
Als "Host Name" wählen Sie Arktur, als Protokoll SSH statt Telnet. Der Port wird automatisch auf 22 umgestellt. An den weiteren Einstellungen brauchen Sie in der Regel nichts zu ändern. Mit dem Button "Open" wird die Verbindung aufgebaut. Beim ersten Aufruf oder wenn Sie das Programm vom schreibgeschützten Laufwerk P: gestartet haben, wird der öffentliche Schlüssel zur Bestätigung angezeigt.
Abbildung 7.9-2: Bestätigen des
SSH-Keys
Beim Aufruf von der Festplatte wird der Schlüssel gespeichert und bei jedem Verbindungsaufbau überprüft. Sollte sich der Schlüssel verändert haben, erhalten Sie einen Warnhinweis, das die Verbindung eventuell von einem Dritten kompromittiert worden ist. Nachdem Sie den Schlüssel bestätigt haben, können Sie sich an der SecureShell anmelden. Sie geben den Nutzernamen an und werden nach dem Passwort gefragt.
Abbildung 7.9-3: Anmeldung in der SSH
Sie können an der SSH fast wie an der Konsole arbeiten. Probleme kann es bei der Übertragung von Umlauten oder den Funktionstasten F1-F12 geben. Zudem haben Sie nur eine Konsole vor sich, können also nicht zwischen verschiedene Konsolen wechseln (oder sie bauen mehrere Verbindungen zugleich auf). Ein weiteres kleines Problem stellen die grafisch orientierten Oberflächen dar, wie sie der Midnight Commander mc oder die Menü-Oberfläche von sysadm darstellen. Dennoch bleiben die Programme mittels Putty noch gut bedienbar.
Abbildung 7.9-4: Die sysadm-Oberfläche in
Putty
Die SSH bietet wesentliche Vorteile gegenüber Telnet, so dass Sie nur auf diese gesicherte Verbindung setzen sollten. Noch ein wichtiger Hinweis: Die Versionen vor der Endausgabe von V3.3 enthielten eine ältere Version des SSH-Daemons, der eine Sicherheitslücke aufwies. Diese wurde von mehreren Hacker-Programmen gezielt ausgenutzt, um den Server anzugreifen und dabei volle root-Rechte zu bekommen. Spielen Sie deshalb das im Internet z.B. von http://www.sn.schule.de/linux/ verfügbare Update unbedingt ein!
|
|
|