Schlüssel für den Agenten

Nachdem Sie den Agent auf die eine oder andere Weise gestartet haben, machen Sie ihn mit den privaten Schlüsseln bekannt. Dabei hilft das Programm ssh-add. Rufen Sie das Tool entweder ohne weitere Parameter auf (dann sucht es selbstständig im Verzeichnis ~/.ssh nach privaten Schlüsseln und fordert für jede Identität das Kennwort an), oder geben Sie ihm gezielt eine Schlüsseldatei mit auf den Weg:

$ ssh-add ~/.ssh/id_dsa

Anschließend geben Sie das dazugehörige Passwort ein, und der Agent meldet den Erfolg (Listing 2).

Listing 2
Enter passphrase for /home/petronella/.ssh/id_dsa:
Identity added: /home/petronella/.ssh/id_dsa (/home/petronella/.ssh/id_dsa)

Eine zusätzliche Sicherheitsmaßnahme kommt auch hier in Form der Option -t. Wie beim Start von ssh-agent selbst legen Sie mit diesem Parameter fest, wie lange der Agent den Schlüssel aufbewahren soll. Der Befehl in Zeile 1 von Listing 3 stellt den Timer auf zehn Minuten. Mit der Option -l listen Sie die privaten Schlüssel auf, die der Agent verwaltet (Zeile 5).

Als Ausgabe sehen Sie die Größe (1024 Bit) und den Fingerabdruck des soeben geladenen Schlüssels. Ab sofort können Sie aus dieser Shell (und aus weiteren Sitzungen, in denen Sie die beiden Umgebungsvariablen $SSH_AUTH_SOCK und $SSH_AGENT_PID gesetzt haben) SSH-Sitzungen starten und sich ohne Eingabe des Passworts an den Zielrechnern anmelden. Über die -d und Angabe der Schlüsseldatei entfernen Sie einen Schlüssel (Listing 3, Zeile 7). Um in einem Rutsch alle Identitäten loszuwerden, geben Sie hingegen die Option -D an.

Listing 3
$ ssh-add -t 10m ~/.ssh/id_dsa
Enter passphrase for /home/petronella/.ssh/id_dsa:
Identity added: /home/petronella/.ssh/id_dsa (/home/petronella/.ssh/id_dsa)
Lifetime set to 600 seconds
$ ssh-add -l
1024 f3:c9:b6:5d:23:3a:9d:61:50:19:63:3c:e8:22:7c:86 /home/petronella/.ssh/id_dsa (DSA)
$ ssh-add -d /home/petronella/.ssh/id_dsa
Identity removed: /home/petronella/.ssh/id_dsa (/home/petronella/.ssh/id_dsa.pub)

Licht am Ende des Tunnels

Der Vorgängerartikel [2] erklärt, welche Schritte nötig sind, um mit SSH X11-Verbindungen zu tunneln. Aber SSH kann noch mehr: Die Secure Shell bietet eine Möglichkeit, auch andere Internetdienste über so genannte Tunnel gegen Lauschangriffe abzusichern. Das Weiterleiten von TCP/IP-Verbindungen zu einer entfernten Maschine über ein verschlüsseltes Protokoll ist sinnvoll, wenn Sie ein ansonsten unverschlüsseltes Protokoll (etwa POP3) sichern wollen. Der Artikel unter [4] zeigt beispielhaft, wie Sie mit fetchmail über einen SSH-Tunnel verschlüsselt Mail von einem POP-Server abholen. Voraussetzung für diesen Einsatz ist ein Shell-Account auf dem Server. Zum Einsatz kommt der SSH-Parameter -L, der eine verschlüsselte "Pipeline" legt. (Genau genommen handelt es sich hier um Port-Forwarding, eine Spezialform des Tunnelings, die einen einzigen Port weiterleitet.)

Eine andere elegante Möglichkeit stellt der Einsatz von SSH als SOCKS-Proxy dar, um beispielsweise mit einem Webbrowser verschlüsselt Daten zu übertragen. Der Aufbau eines Tunnels zu einem Proxy bietet noch einen weiteren Vorteil: Die Methode umgeht die Zensur von Webinhalten, was nützlich sein kann, wenn Sie sich in einem Land aufhalten, das bestimmte Webseiten blockiert. Besitzen Sie einen Shell-Account auf einem Rechner, der in einem weniger restriktiven Land steht, führt diese Methode zu uneingeschränktem Surfgenuss.

Zunächst aktivieren Sie den Proxy über die SSH-Option -D und übergeben dieser zusätzlich eine frei wählbare Port-Nummer. Außerdem erweisen sich die beiden Parameter -f und -N in diesem Szenario als nützlich: Die erste schiebt ssh nach der Anmeldung und vor dem Ausführen von Kommandos in den Hintergrund, die zweite teilt ssh mit, dass kein Kommando folgt, zum Beispiel:

$ ssh -fN -D 1080 Proxy

Nach der Eingabe des Passwortes erscheint wieder der Prompt und die Shell ist bereit, weitere Befehle entgegen zu nehmen. Das wars schon – der SOCKS-Proxy wartet auf seinen Einsatz.

Als Nächstes richten Sie den SSH-Client als SOCKS-Proxy in die Netzwerkkonfiguration des gewünschten Programms ein. Für den Webbrowser Firefox nehmen Sie die Einstellung beispielsweise über Bearbeiten | Einstellungen im Bereich Allgemein | Netzwerk vor. Klicken Sie im Bereich Verbindung auf Einstellungen, aktivieren Sie die manuelle Proxy-Konfiguration, geben Sie ins Feld SOCKS-Host die IP-Adresse 127.0.0.1 und den vorher gewählten Port ein. Als SOCKS-Versionen stehen sowohl 4 als auch 5 zur Verfügung; schauen Sie im Zweifelsfall in der Manpage zu ssh nach, welche Version Ihre SSH-Installation unterstützt.

Nach der Bestätigung in Firefox geben Sie zum Testen in die Adresszeile des Browsers http://www.myipaddress.com/ ein – Sie sollten nun die IP des entfernten Rechners sehen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Zu Befehl: ssh, scp
    Die klassischen Unix-Programme Telnet und FTP erlauben Verbindungen und Datei-Transfers zu anderen Rechnern im Netz, sind aber unsicher: Alle Daten werden unverschlüsselt übertragen. Deswegen verwenden man heute die SSH-Tools (Secure Shell), die das Gleiche ermöglichen, dabei aber durch Verschlüsselung für Sicherheit sorgen.
  • Zu Befehl
    Jedesmal, wenn Sie sich über telnet auf einem Rechner anmelden oder per ftp Daten von einem Computer zu einem anderen übertragen, wird das Passwort – wie alle anderen Daten auch – im Klartext gesendet. Damit kann jeder, der den Netzverkehr "abhört", Informationen und damit auch Zugang zum benutzten Account bekommen. Mit der Secure Shell (ssh) und den dazugehörenden Kommandos ssh für das Login und scp zur Dateiübertragung sind sie auf der sicheren Seite: Hier kommen verschlüsselnde Alternativen auf der Kommandozeile.
  • Daten sicher teilen
    Beim Datenzugriff auf entfernte Rechner kombinieren SSH-basierte Dateisysteme einfache Konfiguration und sichere Verschlüsselung.
  • X-Server und Shell-Tools für Windows
    Egal, ob Sie den Umstieg von Windows auf Linux erst planen, während der Umstiegsphase noch in beiden Welten zu Hause sind oder ohnehin abwechselnd unter Linux und Windows arbeiten, leistet ein X-Server für Windows gute Dienste – wie z. B. MobaXterm.
  • Buchtipp
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...