Daten sicher teilen
Verschlüsselte Netzwerkdateisysteme auf SSH-Basis
Mehr Komfort, bitte!
Häufig verwendete SSH-Server konfigurieren Sie in ~/.ssh/config. Ein Beispiel zeigt Listing 2. Es reicht fortan, den Host anzugeben. Noch mehr Komfort und zusätzliche Sicherheit bieten SSH-Schlüssel und ssh-agent. Erstellen Sie auf dem Client, sofern noch nicht geschehen, mit dem Befehl ssh-keygen -b 2048 -t rsa einen Schlüssel. Geben Sie für ihn ein sicheres Passwort ein, wie es der Befehl pwgen liefert.
# ~/.ssh/config (Beispiel) # mondschein.eine-domain.de Host mondschein Hostname mondschein.eine-domain.de # evtl. anderer Port: # Port 2121 User martin # evtl. kürzeres KeepAliveInterval: #ServerAliveInterval 15
Es ist möglich, einen SSH-Schlüssel ohne Passwort zu erstellen. Wer diesen Schlüssel entwendet, erhält jedoch leichten Zugang zu Ihrem SSH-Server. Verwenden Sie daher besser einen Schlüssel mit Passwort – insbesondere für den Root-Zugriff. Anders als bei NFS hat jemand, der mit SHFS und SSHFS auf den Server zugreift, auch die Möglichkeit, eine SSH-Shell zu starten. Die Funktion, für root Benutzer und Gruppe wie bei NFS auf nobody umzusetzen, bieten prinzipbedingt weder SSHFS noch SHFS.
Machen Sie den öffentlichen Teil des Schlüssels mit
ssh-copy-id -i ~/.ssh/id_rsa.pub Benutzer @Host
dem Server bekannt. Der Befehl kopiert den öffentlichen Teil des Schlüssels auf den Server und fügt ihn dort der Datei ~/.ssh/authorized_keys hinzu.
Beim nächsten Login via SSH geben Sie statt des Benutzerpassworts nun das des Schlüssels ein. Das brauchen Sie aber nicht jedes mal zu tun: Führen Sie den Befehl ssh-add aus, und geben Sie das Schlüsselpasswort an. Der SSH-Agent entschlüsselt damit Ihren privaten Schlüssel und hält diesen im Speicher. Mit ssh-add -l erhalten Sie eine Liste der im Speicher gehaltenen Schlüssel und mit ssh-add -d entfernen Sie einen Schlüssel aus dem RAM.
Tragen Sie PermitRootLogin without-password in die Konfigurationsdatei des SSH-Servers (/etc/ssh/sshd_config) ein, damit Root sich nur noch mit einem Schlüssel anmelden darf. Die Option PermitRootLogin no verbietet den Root-Login komplett – Ihnen bleibt dann die Möglichkeit, sich als Benutzer anzumelden und anschließend mit su die Identität zu wechseln.
Mit PasswordAuthentication no verbieten Sie allen anderen Benutzern, sich via Passwort anzumelden. Nur mit ChallengeResponseAuthentication no funktionieren PermitRootLogin without-password und PasswordAuthentification no unabhängig von Ihrer PAM-Konfiguration, da SSH in diesem Fall zum Authentifizieren nicht auf PAM zurückgreift.
URLs
Eine SSH-URL baut sich nach folgendem Muster auf: [Benutzer
@]Host
:[Verzeichnis
]. Die eckigen Klammern markieren optionale Bestandteile. Fehlt der Benutzername, verwendet SSH den Namen des lokalen Benutzers. Fehlt das Verzeichnis, verwendet SSH das Home-Verzeichnis des Benutzers auf dem entfernten System. Relative Pfade haben als Ausgangspunkt das Home-Verzeichnis.
Die erwähnten FISH-URLs folgen einem ähnlichen Muster: fish://[Benutzer
@]Host
[:Port
][/Verzeichnis
]. Ohne Verzeichnis verwenden Konqueror und Lftp das Home-Verzeichnis. Geben Sie ein Verzeichnis an, so verstehen die Clients diese relativ zum Wurzelverzeichnis.
Immer gut verbunden?
Verbindungen durchs Internet sind nicht immer so zuverlässig wie gewünscht. Das Dateisystem SSHFS reagiert auf Verbindungsabbrüche gelassener als SHFS: Während Sie Zugriffe auf ein via SSHFS eingebundenen Dateisystem einfach mit [Strg]+[C] abbrechen, funktioniert das bei Prozessen, die auf SHFS zugreifen, nur noch mit dem Befehl kill -KILL. SSHFS-Mounts lassen sich auch bei unterbrochener Verbindung beenden, bei SHFS klappt das nicht zuverlässig.
Im Test mit mehreren auf SHFS-Mounts zugreifenden Prozessen gingen einige davon auch mal in den D-Status ("uninterruptible sleep") und ließen sich mit kill gar nicht mehr beenden. Ein Prozess im D-Status befindet sich in einem ununterbrechbaren Schlaf und wartet in der Regel auf eine Anforderung. Hier half nur, nach den auf SHFS zugreifenden Prozessen zu suchen, die sich nicht im D-Status befinden, und diese mit kill -KILL zu beenden – oder auf das Timeout zu warten. Der Befehl ps (zum Beispiel ps aux) liefert den Status in der Spalte STAT.
Verbindungsabbrüche durch Inaktivität vermeiden Sie mit der SSH-Option ServerAliveInterval 15 (~/.ssh/config) [14]. Legen Sie die Mount-Points für SHFS und SSHFS in ein eigenes Verzeichnis wie /mnt/netz, ist bei Verbindungsabbrüchen nur dieses blockiert.
Glossar
NFS
Network Filesystem. Ein ursprünglich von Sun entwickeltes, weit verbreitetes Netzwerkdateisystem.
Samba
Freie Implementation des von Windows verwendeten Protokolls für Datei-, Druck- und andere Netzwerkdienste.
SSH
Secure Shell. Verschlüsseltes Protokoll für Shell-Sitzungen auf entfernten Computern und zum Übertragen von Dateien [3].
FISH
Files transferred over shell protocol. Ein Protokoll, um Dateien über eine Shell (SSH oder das ältere unverschlüsselte RSH) zu übertragen.
Userspace
Unprivilegierter Bereich, in dem Anwendungen von Benutzern laufen. Kernel-Module und Prozesse laufen hingegen im Kernelspace.
FUSE
Filesystem in userspace. Ein Kernelmodul, das es ermöglicht, Dateisystemtreiber in den Userspace zu verlagern.
SFTP
SSH File Transfer Protocol. FTP-ähnliches Protokoll zum sicheren Übertragen von Dateien via SSH.
PAM
Pluggable Authentification Modules. Modulares System zum Authentifizieren von Benutzern.
[1] NFS-Grundlagen: Martin Steigerwald, "Einfacher Versand", LinuxUser 12/2006, S. 44
[2] Filesharing mit Samba: Thomas Leichtenstern, "Teamwork", LinuxUser 12/2006, S. 38
[3] OpenSSH: http://www.openssh.com
[4] SSH und SCP: Heike Jurzik, "Sicher senden", LinuxUser 07/2003, S. 81, http://www.linux-user.de/ausgabe/2003/07/081-zubefehl/
[5] FISH: http://en.wikipedia.org/wiki/Files_transferrer_over_shell_protocol
[6] SSHFS: http://fuse.sourceforge.net/sshfs.html
[7] Userspace-Dateisysteme: Max Werner, "Verhandlungskünstler", Linux-Magazin 01/2005, S. 54: http://www.linux-magazin.de/Artikel/ausgabe/2005/01/userspace/userspace.html
[8] SHFS: http://shfs.sourceforge.net/
[9] OpenSSH aus Admin-Sicht: Karl-Heinz Haag, "Blick-dicht", Linux-Magazin 05/2002, S. 56, http://www.linux-magazin.de/Artikel/ausgabe/2002/05/openssh/openssh.html
[10] Backports.org: http://www.backports.org
[11] Mount und Fstab: Heike Jurzik, "Ganz schön anhänglich", LinuxUser 05/2006, S. 94, http://www.linux-user.de/ausgabe/2006/05/094-zubefehl
[12] SHFS-Patch für Kernel ab Version 2.6.16: http://atrey.karlin.mff.cuni.cz/~qiq/src/shfs/shfs-0.35/d_entry-2.6.16.diff
[13] SHFS-Patch für GCC ab Version 4: http://atrey.karlin.mff.cuni.cz/~qiq/src/shfs/shfs-0.35/gcc4-compilefix.patch
[14] SSHFS-FAQ: http://fuse.sourceforge.net/wiki/index.php/SshfsFaq
Einem Freund empfehlen
