Administratorhandbuch:SSH und https
Seite fertig: Sollten Sie Änderungvorschläge oder Ergänzungen zu diesem Punkt haben, dann nutzen Sie bitte den Punkt Diskussion (oben). |
Warum https
Bauen Sie durch Eingabe von http://arktur.schul-netz.de im Browser eine normale Internetverbindung auf, so werden alle Daten unverschlüsselt übers Netz übertragen. Dies ist auch völlig ausreichend, wenn Sie sich nur den Inhalt einer Homepage anschauen wollen. Spätestens beim Bieten in Ebay wird es aber kritisch. Jeder, der dort Ihre Kennung und Ihr Passwort auslesen kann, kann auf Ihren Namen teuer einkaufen. Und Sie haben neben vielem Ärger möglicherweise auch noch einen erheblichen finanziellen Schaden. Um dies zu vermeiden, wird in einem solchen Fall die Internetverbindung verschlüsselt. Dies geht ganz einfach durch Eingabe von https:// statt http:// im Browser. Die hierbei verwendete SSL-Verschlüsselung sollte im Normalfall ausreichen.
Im Intranet einer Schule sind die übermittelten Daten meist nicht so kritisch. Aber die Gefahr, dass die Daten abgehört werden, ist in großen Schulnetzen durchaus gegeben. Die Webinterfaces von Arktur (arktur/online, arktur/admin und arktur/admin2) können Sie auch unverschlüsselt über http:// ansprechen, was bei kleinen Netzen problemlos ist. Der Browser wird Sie allerdings warnen, dass kritische Daten wie das Passwort beim Einloggen unverschlüsselt übers Netz gehen.
Wollen Sie auf Nummer sicher gehen oder im Unterricht das Kapitel Sicherheit im Internet behandeln, so sollten Sie https verwenden, also https://arktur/online, https://arktur/admin und https://arktur/admin2 eingeben.
Webinterface über https
Geben Sie in einem Browser https://arktur/online ein, so werden Sie beim ersten Aufruf eine Warnmeldung erhalten :
Die Ursache für diese Warnmeldung wird klar, wenn Sie auf Details klicken.
Im Normalfall legimitiert sich ein https-Server durch ein Zertifikat, das bei einer unabhängigen Stelle im Internet hinterlegt wurde. Dies einzurichten ist mit erheblichem Zeitaufwand und mit Kosten verbunden. Deswegen wird beim Arktur-Schulserver ein selbst erstelltes Zertifikat verwendet.
Schließen Sie nun das Fenster Details und klicken Sie auf Fortsetzen.
Am besten akzeptieren Sie das Zertifikat dauerhaft und nicht nur für diese Sitzung.
Sie sind nun per https mit dem Online-Interface verbunden. Erkenntlich ist dies an dem gelben Untergrund und dem Schloss in der URL-Zeile. Wenn Sie Ihr Passwort ändern oder Ihre E-Mail lesen wollen, gehen alle Informationen ab sofort verschlüsselt übers Netz.
Warum SSH
Für den Zugriff auf Arktur sollten Sie statt "telnet" generell "ssh" verwenden. Bei telnet werden nämlich alle Informationen, also auch Passwörter unverschlüsselt übers Netz übertragen. Bei ssh hingegen werden sämtliche übertragenen Daten verschlüsselt. Die unverschlüsselte Übertragung wird bei telnet zur Sicherheitslücke, wenn es jemandem gelingt, den Netzwerkverkehr zu belauschen.
Gewöhnen Sie es sich deshalb am besten gleich an, bei der Fernwartung von Arktur als Administrator (root oder sysadm) von einem Client aus immer ssh zu verwenden. Sie können zwar telnet auf Arktur einschalten, sollten dies aber nicht tun. Solange Sie sich nur aus dem Intranet auf Arktur einloggen, ist eine einfache ssh-Verbindung mit Benutzerkennung und Passwort ausreichend, wie sie in diesen Kapitel beschrieben wird.
Sollten Sie sich per Einwahl oder gar aus dem Internet mit Arktur verbinden, so sollten sie den Sicherheitslevel erhöhen. Weitere ausführliche Informationen dazu finden Sie im Administratorhandbuch im Kapitel SSH-Server und SSH-Client.
Eine SSH-Verbindung aufbauen
SSH-Verbindung mittels Konsole
Der Aufbau einer SSH-Verbindung zu Arktur erfolgt immer nach dem gleichen Schema. Am einfachsten ist die Benutzung der Konsole und des ssh-Befehls an einem Linux-Client:
Hier geben Sie einfach folgenden Befehl ein
ssh <Benutzer>@arktur
In der Abbildung ist als Benutzer root gewählt, es könnte sich aber genau so gut um sysadm oder irgendeinen anderen Benutzer handeln.
Haben Sie den obigen Befehl mit <Enter> abgeschlossen, so wird von Ihnen beim ersten Mal (und nur dann) noch eine Bestätigung verlangt, dass es sich bei Arktur wirklich um den gewünschten Rechner handelt.
Wenn Sie sicher sind, dass alles in Ordnung ist, bestätigen Sie die Abfrage mit yes. Damit ist Arktur in die Liste der für SSH bekannten Rechner aufgenommen. Der Versuch, Ihnen zum Passwort hacken einen anderen Rechner unter dem Namen Arktur vorzuspiegeln, ist damit zum Scheitern verurteilt. Allerdings müssen Sie nach einer Neuinstallation von Arktur, der dann einen anderen SSH-Key hat, den Eintrag in der Schlüsseldatei auf dem Client manuell löschen (bei Linux ./ssh/knownhosts im jeweiligen Benutzerverzeichnis).
Jetzt müssen Sie Ihr Passwort eingeben, und die Verbindung zu Arktur steht.
Welche Shell auf Arktur Sie erhalten haben, hängt davon ab, wer sich eingeloggt hat. Der Benutzer root erhält "/bin/bash", sysadm die sysadm-Shell und der normale Benutzer kann lediglich sein Passwort ändern. Wie Sie diese Standardshell eines Nutzers ändern können, wird im Kapitel Shelleinrichten im Installationshandbuch beschrieben.
Das Ausloggen geschieht bei der Passwortänderung oder bei der sysadm-Shell automatisch, als root oder Nutzer mit Vollzugang geben Sie den Befehl exit ein.
SSH-Verbindung mittels kssh (Linux)
Etwas komfortabler ist die Benutzung eines ssh-Programms wie kssh.
Sie müssen nur bei Host: arktur und bei Username: den gewünschten Benutzer eintragen und Connect drücken. Weiter geht es wie oben.
SSH-Verbindung mittels PuTTY (Windows)
Unter Windows können Sie statt kssh das Programm putty nutzen. Sie finden es nach der Installation in "P:\software" oder auch direkt auf der Arktur-CD.
Nach dem Start von PuTTY tragen Sie bei Hostname arktur ein. Dann kontrollieren Sie, dass beim Protokoll ssh (mit Port 22) angewählt ist.
Bevor Sie durch Drücken von Open die Verbindung zu Arktur herstellen, sollten Sie noch den Zeichensatz für PuTTY in Window/Translation auf UTF-8 umstellen, damit alle Zeichen richtig angezeigt werden.
Sie sollten auch noch die Schriftart umstellen, sonst können manche Zeichen falsch aussehen.
Beim ersten Start fragt Sie PuTTY, ob Sie den Fingerprint von Arktur annehmen wollen.
Haben Sie hier mit Ja bestätigt, so werden Sie anschließend zuerst nach Ihrem Benutzernamen (login as) und dann nach Ihrem Passwort gefragt. Wie oben sind Sie jetzt in Ihrer Shell auf Arktur.