Da die gesamte Kommunikation automatisch verschlüsselt wird, werden keine Informationen im Klartext übertragen.
SSH ist als sicherer Ersatz für die unsicheren ,,r``-Kommandos (siehe Abschnitt 2.18) gedacht.
Bevor der sshd gestartet werden kann, muß das Konfigurationsfile /etc/sshd_config editiert werden:
Secure Shell unterstützt drei verschiedene Authentifizierungsmethoden:
Von Maschinen, deren Hostname in den Files /etc/hosts.equiv oder /etc/shosts.equiv auf dem Zielrechner
eingetragen ist, kann man sich per ssh einloggen. Besitzt der User auf dem Zielrechner ein Homedirectory, so wird auch
in den Files .rhost und .shosts im Homedirectory des Users nachgeschaut, ob der Hostname des Computers,
von dem der Login ausgeht, dort enthalten ist.
Hier wird zusätzlich zur Hostauthentifizierung in den Files .ssh/known_hosts im Homedirectory des Users (falls vorhanden)
oder in /etc/ssh_known_hosts nach dem Hostkey des Clients gesucht. Nur wenn dieser auf dem Rechner, auf dem man sich
einloggen möchte vorhanden ist, wird ein Login gestatet.
Public-key Kryptographieverfahren verwenden verschiedene Schlüssel zur Ver- und Entschlüsselung. Die Idee dabei ist, daß sich
der User einen privaten und einen öffentlichen Schlüssel auf der Maschine, auf der er sich später einloggen möchte, erzeugt.
Im Homeverzeichnis auf dieser Maschine muß der Benutzer in .ssh/authorized_keys seinen öffentlichen Schlüssel abspeichern.
Wenn sich der User danach einloggen möchte, teilt das ssh-Programm dem Server mit, welches Keypaar zur Authentifikation verwendet
werden soll. Der Server prüft das Keypaar und schickt dem Client ein Challenge, eine mit dem öffentlichen Schlüssel verschlüsselte
Zufallszahl, die nur mit dem zugehörigen privaten Schlüssel wieder entschlüsselt werden kann, zurück. Anschließend wird der Challenge auf
Clientseite entschlüsselt und danach mit dem privaten Schlüssel wieder verschlüsselt zurück an den Server geschickt. Der Server
entschlüsselt das Paket und vergleicht die Zahl mit der ursprünglich gesendeten. Stimmen beide überein, war die Authentifizierung
erfolgreich.
Zusätzlich unterstützt ssh noch Authentifizierung durch den TIS-Authentication-Server aus dem Firewalltoolkit der Firma
Trustet Information Systems (siehe http://www.tis.com/fwtk/).
Wir wählen die dritte Methode zur Fernwartung des Bastion Host. Zur Konfiguration der RSA-public-key Authentifizierung sind folgende
Schritte notwendig:
Damit der ssh-Daemon beim Booten des Systems automatisch gestartet wird habe ich ein Shell-Skript geschrieben, das diese Aufgabe übernimmt.