Fernwartung des Schulservers übers Internet per SSH

11.13 Fernwartung des Schulservers über das Internet

Grundlage der Anleitung sind die Diskussionen in der schan-user-Mailingliste und mein bescheidenes Verständnis für den Umgang mit ssh ;-)

Auch bei der Verbindung per SSH gibt es mehrere Möglichkeiten:

die Authentifizierung geschieht über das Passwort
die Authentifizierung geschieht über ein Schlüsselpaar

Die erste Möglichkeit ist die Voreinstellung auf Arktur.
Die zweite Möglichkeit ist sicherer und wird im folgenden beschrieben.

Schlüssel generieren

Die Erstellung eines privaten und öffentlichen Schlüssels ermöglicht, den ssh-Daemon so zu konfigurieren, dass ein Zugriff auf den Server nur dann von außen möglich wird, wenn auf der anderen Seite, also dem Client zu Hause, der entsprechende Part vorhanden ist:

Als root anmelden und an der Konsole ssh-keygen1 eingeben. Im Ordner /root/.ssh befinden sich anschließend zwei Schlüssel: identity und identity.pub.
Schlüssel duplizieren: Den Schlüssel identity.pub nach authorized_keys kopieren.
Schlüssel zum Client bringen: Den Schlüssel identity in das Verzeichnis des Clients kopieren, auf dem putty installiert ist.

Den Schlüssel putty bekannt geben

Im Putty-Konfigurations-Menü befindet sich unter connection der Menüpunkt SSH. Dort kann unter Private key file for authentication der Ordner angeben werden, in dem jetzt die Datei identity abgelegt wurde. Unter SSH Protocol version muss als Version SSH 1 angegeben sein.

Meldet man sich nun mittels putty am Server an, wird nach Eingabe von root nicht mehr nach dem Passwort gefragt.

Abb. 11.13-1: SSH Einstellungen

Protokoll steht auf 1 In welchem Ordner liegt der Schlüssel?

Sicherheitsmaßnahmen

Um sicherzustellen, dass der Anmeldende auch tatsächlich den richtigen Schlüssel besitzt, muss in der /etc/sshd_config das Anmeldeverfahren umgestellt werden. Dort sollten folgende vier Schalter wie folgt gesetzt werden:

RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication no

Das bei früheren Versionen notwendige Abschalten des Telnet-Servers entfällt ab der Version 3.5: hier ist im Grundzustand nur SSH aktiv.

Danach musst der sshd neu gestartet werden: /sbin/init.d/sshd stop /sbin/init.d/sshd start Nun kann man sich nur noch mittels vorhandenem Schlüssel anmelden und so arbeiten, als säße man direkt vor dem Server.

Mit WINSPC Dateien kopieren

Mit WinSPC lässt sich von jedem Client-Rechner aus alles auf den Server oder vom Server zum heimischen PC kopieren. Das Programm kann wie putty mit den generierten Schlüsseln umgehen, ist selbsterklärend und dürfte relativ sicher sein.

Es funktioniert aber nur dann, wenn der Anwender einen Vollzugang mit Shell auf Arktur hat!

WinSPC findet man hier: http://winscp.vse.cz

Abb. 11.13-2: Konfigurationsbildschirm von winscp

Man benötigt zur Konfiguration:

in "Host Name" - die IP des Servers
in "Username - root
in "Private Key File - der Pfad zur Schlüsseldatei