Auf der sicheren Seite – ssh und scp

Zu Befehl

01.07.2001
,
Jedesmal, wenn Sie sich über telnet auf einem Rechner anmelden oder per ftp Daten von einem Computer zu einem anderen übertragen, wird das Passwort – wie alle anderen Daten auch – im Klartext gesendet. Damit kann jeder, der den Netzverkehr "abhört", Informationen und damit auch Zugang zum benutzten Account bekommen. Mit der Secure Shell (ssh) und den dazugehörenden Kommandos ssh für das Login und scp zur Dateiübertragung sind sie auf der sicheren Seite: Hier kommen verschlüsselnde Alternativen auf der Kommandozeile.

Telnet, FTP & Co. übertragen alle Daten im Klartext: Sind Sie per Telnet auf einem anderen Unix-Rechner eingeloggt und geben dort ein Passwort ein, dann wird dieses zwar eventuell nicht angezeigt (viele Programme schützen Passwortdialoge etwa durch Anzeigen von Sternchen), mit einem Packet-Sniffer lässt sich ein solches Passwort aber problemlos auslesen. Ebenso können per FTP übertragene Daten von Neugierigen kopiert werden. Ausreichende Gründe, auf die Verwendung der Secure Shell, ssh, umzusteigen.

Nicht nur Shell-Sitzungen können mit ssh verschlüsselt werden, sondern auch X11-Verbindungen. Dabei kann direkt die Umgebungsvariable $DISPLAY richtig gesetzt werden – Sie können auf diese Weise Anwendungen auf einem anderen Computer starten. Bevor es ins Detail geht: Gegenwärtig existieren zwei unterschiedliche und inkompatible Versionen des SSH-Protokolls: SSH 1.x und SSH 2.x. Da SSH 1.x (und damit zusammenhängend OpenSSH) mit hoher Wahrscheinlichkeit auf Ihrem Linux-System zum Einsatz kommt, ist in diesem Artikel SSH 1.x gemeint, wenn von ssh die Rede ist.

Clients und Daemons

Zu SSH gehören auf der Client-Seite ssh/slogin als funktionaler Ersatz von telnet, rlogin oder rsh sowie scp zum Kopieren von Dateien (ersetzt ftp und rcp). Der Server ist der sshd (SSH-Daemon). Darüber hinaus gibt es Administrationswerkzeuge wie z. B. ssh-keygen (zum Erzeugen von RSA-Schlüsseln), ssh-agent (zur Verwaltung der RSA-Keys, Automatisierung und Vereinfachung des Logins), ssh-add (Registrierung neuer Schlüssel beim SSH-Agent) und make-ssh-known-hosts (Erstellung einer Liste mit bekannten öffentlichen Host-Keys einer Domain). ssh muss sowohl auf Ihrem eigenen Rechner wie auch auf der Gegenseite installiert sein; genauer: um eine Verbindung von A nach B aufzubauen, muss auf Rechner A die Client-Software und auf B der Daemon installiert sowie letzterer auch aktiviert sein.

Um sich auf einem anderen Rechner einzuloggen, tippen Sie

ssh [Userid@]RemoteHost

wobei die Userid@ nur angegeben werden muss, wenn der Benutzername auf dem anderen System von dem Ihres eigenen Rechners abweicht. Hinter den Kulissen baut der der Client eine TCP/IP-Verbindung zum Server auf (Default-Port: 22). Nach Austausch der Protokollversion wird während der Verbindung auf ein paketbasiertes Binär-Protokoll umgeschaltet.

Alternativ zu Userid@RemoteHost können Sie auch den Aufruf

ssh -l Userid RemoteHost

verwenden. Diese Aufrufform ist an die Syntax des (unsicheren) rlogin angelehnt. Möchten Sie sich nicht auf dem anderen Computer anmelden, sondern nur einen Befehl ausführen, können Sie diesen direkt in den Aufruf mit hineinnehmen. Vorsicht bei Wildcards: Wenn Sie diese verwenden, sollte der Befehl in Anführungszeichen eingeschlossen werden, da sonst die Shell des eigenen Rechners eingreift:

huhn@asteroid:~$ ssh plutarch.cologne.de "ls -l xani*"
 huhn@plutarch.cologne.de's password:
 -rwxr-xr-x    1 huhn     users      630396 Nov 14  2000 xanim.cine

Mit dem Aufruf

ssh -t [Userid@]RemoteHost mutt

wird in einem "Pseudo-Terminal" der Mail-Client mutt gestartet. Die Ausgabe auf diesem Terminal wird verschlüsselt übertragen und entschlüsselt im eigenen Terminalfenster angezeigt. Der Parameter -t wird für Programme benötigt, die die Bildschirmsteuerung selbst übernehmen; ein einfacher Aufruf der Form ssh RemoteHost mutt würde fehlschlagen.

… weitere Parameter

Sichere Dateitransporte

Das zweite große Anwendungsgebiet von ssh neben dem geschützten Login ist der Datei-Transfer: Hier ersetzt das Tool scp (secure copy) die ungeschützten Dienste ftp (file transfer protocol) und rcp (remote copy).

Eine Datei per scp zu kopieren, ist fast so einfach wie das normale, lokale Kopieren mit cp; ein Beispiel-Aufruf sieht etwa so aus:

scp /tmp/archiv.tgz UserId@RemoteHost:/tmp/

Stimmen die User-Namen überein, kann auch hier wieder UserId weggelassen werden, es bleibt also scp datei RemoteHost:Verzeichnis. Über die Option "-r" (für rekursiv) lassen sich auch ganze Verzeichnisse kopieren; auch die von cp bekannte Option "-p" (preserve; Rechte und Besitzer/Gruppe erhalten) kann hier verwendet werden. Das ergibt natürlich nur Sinn, wenn User- und Group-IDs auf beiden Systemen identisch sind.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Zu Befehl: ssh, scp
    Die klassischen Unix-Programme Telnet und FTP erlauben Verbindungen und Datei-Transfers zu anderen Rechnern im Netz, sind aber unsicher: Alle Daten werden unverschlüsselt übertragen. Deswegen verwenden man heute die SSH-Tools (Secure Shell), die das Gleiche ermöglichen, dabei aber durch Verschlüsselung für Sicherheit sorgen.
  • Aber sicher!
    Sicheres Arbeiten auf entfernten Rechnern und verschlüsselte Datenübertragung – das alles und noch viel mehr bietet SSH.
  • Know-how für die Kommandozeile
    Erfahrene Linux-Nutzer schwören auf flexible Kommandozeilentools, mit denen sich manche Aufgabe schneller bewältigen lässt als in grafischen Programmen. Wir stellen die wichtigsten Anwendungen vor, um auch Einsteiger zu einem Ausflug in die Shell zu ermutigen.
  • The Answer Girl
    Wer hat sie nicht schon mehr als genug gehört, die gutgemeinte Litanei vom Anlegen eines Backups. In der Firma oder an der Uni mag man dieses leidige Thema mit einiger Berechtigung auf die dortigen Systemadministrator(inn)en abwälzen, doch was ist mit dem Datenbestand zu Hause?
  • Zu Befehl: su, sudo
    Sicher ist sicher – selbst wer Root-Rechte auf dem System hat, sollte nur temporär als Administrator arbeiten, um nicht aus Versehen Schaden anzurichten. Mit su und sudo wechseln Sie auf der Kommandozeile schnell die Identität.
Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

WLAN-Signalqualität vom Treiber abhängig
GoaSkin , 29.10.2014 14:16, 0 Antworten
Hallo, für einen WLAN-Stick mit Ralink 2870 Chipsatz gibt es einen Treiber von Ralink sowie (m...
Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...