Mehr Komfort, bitte!

Häufig verwendete SSH-Server konfigurieren Sie in ~/.ssh/config. Ein Beispiel zeigt Listing 2. Es reicht fortan, den Host anzugeben. Noch mehr Komfort und zusätzliche Sicherheit bieten SSH-Schlüssel und ssh-agent. Erstellen Sie auf dem Client, sofern noch nicht geschehen, mit dem Befehl ssh-keygen -b 2048 -t rsa einen Schlüssel. Geben Sie für ihn ein sicheres Passwort ein, wie es der Befehl pwgen liefert.

Listing 2
# ~/.ssh/config (Beispiel)
# mondschein.eine-domain.de
Host mondschein
Hostname mondschein.eine-domain.de
# evtl. anderer Port:
# Port 2121
User martin
# evtl. kürzeres KeepAliveInterval:
#ServerAliveInterval 15

Es ist möglich, einen SSH-Schlüssel ohne Passwort zu erstellen. Wer diesen Schlüssel entwendet, erhält jedoch leichten Zugang zu Ihrem SSH-Server. Verwenden Sie daher besser einen Schlüssel mit Passwort – insbesondere für den Root-Zugriff. Anders als bei NFS hat jemand, der mit SHFS und SSHFS auf den Server zugreift, auch die Möglichkeit, eine SSH-Shell zu starten. Die Funktion, für root Benutzer und Gruppe wie bei NFS auf nobody umzusetzen, bieten prinzipbedingt weder SSHFS noch SHFS.

Machen Sie den öffentlichen Teil des Schlüssels mit

ssh-copy-id -i ~/.ssh/id_rsa.pub Benutzer@Host

dem Server bekannt. Der Befehl kopiert den öffentlichen Teil des Schlüssels auf den Server und fügt ihn dort der Datei ~/.ssh/authorized_keys hinzu.

Beim nächsten Login via SSH geben Sie statt des Benutzerpassworts nun das des Schlüssels ein. Das brauchen Sie aber nicht jedes mal zu tun: Führen Sie den Befehl ssh-add aus, und geben Sie das Schlüsselpasswort an. Der SSH-Agent entschlüsselt damit Ihren privaten Schlüssel und hält diesen im Speicher. Mit ssh-add -l erhalten Sie eine Liste der im Speicher gehaltenen Schlüssel und mit ssh-add -d entfernen Sie einen Schlüssel aus dem RAM.

Tragen Sie PermitRootLogin without-password in die Konfigurationsdatei des SSH-Servers (/etc/ssh/sshd_config) ein, damit Root sich nur noch mit einem Schlüssel anmelden darf. Die Option PermitRootLogin no verbietet den Root-Login komplett – Ihnen bleibt dann die Möglichkeit, sich als Benutzer anzumelden und anschließend mit su die Identität zu wechseln.

Mit PasswordAuthentication no verbieten Sie allen anderen Benutzern, sich via Passwort anzumelden. Nur mit ChallengeResponseAuthentication no funktionieren PermitRootLogin without-password und PasswordAuthentification no unabhängig von Ihrer PAM-Konfiguration, da SSH in diesem Fall zum Authentifizieren nicht auf PAM zurückgreift. 

URLs

Eine SSH-URL baut sich nach folgendem Muster auf: [Benutzer@]Host:[Verzeichnis]. Die eckigen Klammern markieren optionale Bestandteile. Fehlt der Benutzername, verwendet SSH den Namen des lokalen Benutzers. Fehlt das Verzeichnis, verwendet SSH das Home-Verzeichnis des Benutzers auf dem entfernten System. Relative Pfade haben als Ausgangspunkt das Home-Verzeichnis.

Die erwähnten FISH-URLs folgen einem ähnlichen Muster: fish://[Benutzer@]Host[:Port][/Verzeichnis]. Ohne Verzeichnis verwenden Konqueror und Lftp das Home-Verzeichnis. Geben Sie ein Verzeichnis an, so verstehen die Clients diese relativ zum Wurzelverzeichnis.

Immer gut verbunden?

Verbindungen durchs Internet sind nicht immer so zuverlässig wie gewünscht. Das Dateisystem SSHFS reagiert auf Verbindungsabbrüche gelassener als SHFS: Während Sie Zugriffe auf ein via SSHFS eingebundenen Dateisystem einfach mit [Strg]+[C] abbrechen, funktioniert das bei Prozessen, die auf SHFS zugreifen, nur noch mit dem Befehl kill -KILL. SSHFS-Mounts lassen sich auch bei unterbrochener Verbindung beenden, bei SHFS klappt das nicht zuverlässig.

Im Test mit mehreren auf SHFS-Mounts zugreifenden Prozessen gingen einige davon auch mal in den D-Status ("uninterruptible sleep") und ließen sich mit kill gar nicht mehr beenden. Ein Prozess im D-Status befindet sich in einem ununterbrechbaren Schlaf und wartet in der Regel auf eine Anforderung. Hier half nur, nach den auf SHFS zugreifenden Prozessen zu suchen, die sich nicht im D-Status befinden, und diese mit kill -KILL zu beenden – oder auf das Timeout zu warten. Der Befehl ps (zum Beispiel ps aux) liefert den Status in der Spalte STAT.

Verbindungsabbrüche durch Inaktivität vermeiden Sie mit der SSH-Option ServerAliveInterval 15 (~/.ssh/config) [14]. Legen Sie die Mount-Points für SHFS und SSHFS in ein eigenes Verzeichnis wie /mnt/netz, ist bei Verbindungsabbrüchen nur dieses blockiert.

Glossar

NFS

Network Filesystem. Ein ursprünglich von Sun entwickeltes, weit verbreitetes Netzwerkdateisystem.

Samba

Freie Implementation des von Windows verwendeten Protokolls für Datei-, Druck- und andere Netzwerkdienste.

SSH

Secure Shell. Verschlüsseltes Protokoll für Shell-Sitzungen auf entfernten Computern und zum Übertragen von Dateien [3].

FISH

Files transferred over shell protocol. Ein Protokoll, um Dateien über eine Shell (SSH oder das ältere unverschlüsselte RSH) zu übertragen.

Userspace

Unprivilegierter Bereich, in dem Anwendungen von Benutzern laufen. Kernel-Module und Prozesse laufen hingegen im Kernelspace.

FUSE

Filesystem in userspace. Ein Kernelmodul, das es ermöglicht, Dateisystemtreiber in den Userspace zu verlagern.

SFTP

SSH File Transfer Protocol. FTP-ähnliches Protokoll zum sicheren Übertragen von Dateien via SSH.

PAM

Pluggable Authentification Modules. Modulares System zum Authentifizieren von Benutzern.

Infos

[1] NFS-Grundlagen: Martin Steigerwald, "Einfacher Versand", LinuxUser 12/2006, S. 44

[2] Filesharing mit Samba: Thomas Leichtenstern, "Teamwork", LinuxUser 12/2006, S. 38

[3] OpenSSH: http://www.openssh.com

[4] SSH und SCP: Heike Jurzik, "Sicher senden", LinuxUser 07/2003, S. 81, http://www.linux-user.de/ausgabe/2003/07/081-zubefehl/

[5] FISH: http://en.wikipedia.org/wiki/Files_transferrer_over_shell_protocol

[6] SSHFS: http://fuse.sourceforge.net/sshfs.html

[7] Userspace-Dateisysteme: Max Werner, "Verhandlungskünstler", Linux-Magazin 01/2005, S. 54: http://www.linux-magazin.de/Artikel/ausgabe/2005/01/userspace/userspace.html

[8] SHFS: http://shfs.sourceforge.net/

[9] OpenSSH aus Admin-Sicht: Karl-Heinz Haag, "Blick-dicht", Linux-Magazin 05/2002, S. 56, http://www.linux-magazin.de/Artikel/ausgabe/2002/05/openssh/openssh.html

[10] Backports.org: http://www.backports.org

[11] Mount und Fstab: Heike Jurzik, "Ganz schön anhänglich", LinuxUser 05/2006, S. 94, http://www.linux-user.de/ausgabe/2006/05/094-zubefehl

[12] SHFS-Patch für Kernel ab Version 2.6.16: http://atrey.karlin.mff.cuni.cz/~qiq/src/shfs/shfs-0.35/d_entry-2.6.16.diff

[13] SHFS-Patch für GCC ab Version 4: http://atrey.karlin.mff.cuni.cz/~qiq/src/shfs/shfs-0.35/gcc4-compilefix.patch

[14] SSHFS-FAQ: http://fuse.sourceforge.net/wiki/index.php/SshfsFaq

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...