next up previous contents index
Nächste Seite: Konfiguration von Tripwire Aufwärts: Konfiguration des Betriebsystems Vorherige Seite: Konfiguration des HTTP-Proxy   Inhalt   Index


Konfiguration von SSH

,,Secure Shell`` ist ein Programm, mit dem man sich über ein Netzwerk auf anderen Computern einloggen kann. SSH arbeitet mit starker Authentifizierung und Kryptographie. SSH schützt vor folgenden Bedrohungen:

Da die gesamte Kommunikation automatisch verschlüsselt wird, werden keine Informationen im Klartext übertragen. SSH ist als sicherer Ersatz für die unsicheren ,,r``-Kommandos (siehe Abschnitt 2.18) gedacht.
Bevor der sshd gestartet werden kann, muß das Konfigurationsfile /etc/sshd_config editiert werden:

Secure Shell unterstützt drei verschiedene Authentifizierungsmethoden:

  1. Hostauthentifizierung

    Von Maschinen, deren Hostname in den Files /etc/hosts.equiv oder /etc/shosts.equiv auf dem Zielrechner eingetragen ist, kann man sich per ssh einloggen. Besitzt der User auf dem Zielrechner ein Homedirectory, so wird auch in den Files .rhost und .shosts im Homedirectory des Users nachgeschaut, ob der Hostname des Computers, von dem der Login ausgeht, dort enthalten ist.

  2. Kombination aus Hostauthentifizierung und RSA-Hostauthentifizierung

    Hier wird zusätzlich zur Hostauthentifizierung in den Files .ssh/known_hosts im Homedirectory des Users (falls vorhanden) oder in /etc/ssh_known_hosts nach dem Hostkey des Clients gesucht. Nur wenn dieser auf dem Rechner, auf dem man sich einloggen möchte vorhanden ist, wird ein Login gestatet.

  3. RSA-public-key Authentifizierung

    Public-key Kryptographieverfahren verwenden verschiedene Schlüssel zur Ver- und Entschlüsselung. Die Idee dabei ist, daß sich der User einen privaten und einen öffentlichen Schlüssel auf der Maschine, auf der er sich später einloggen möchte, erzeugt. Im Homeverzeichnis auf dieser Maschine muß der Benutzer in .ssh/authorized_keys seinen öffentlichen Schlüssel abspeichern. Wenn sich der User danach einloggen möchte, teilt das ssh-Programm dem Server mit, welches Keypaar zur Authentifikation verwendet werden soll. Der Server prüft das Keypaar und schickt dem Client ein Challenge, eine mit dem öffentlichen Schlüssel verschlüsselte Zufallszahl, die nur mit dem zugehörigen privaten Schlüssel wieder entschlüsselt werden kann, zurück. Anschließend wird der Challenge auf Clientseite entschlüsselt und danach mit dem privaten Schlüssel wieder verschlüsselt zurück an den Server geschickt. Der Server entschlüsselt das Paket und vergleicht die Zahl mit der ursprünglich gesendeten. Stimmen beide überein, war die Authentifizierung erfolgreich.

Zusätzlich unterstützt ssh noch Authentifizierung durch den TIS-Authentication-Server aus dem Firewalltoolkit der Firma Trustet Information Systems (siehe http://www.tis.com/fwtk/).
Wir wählen die dritte Methode zur Fernwartung des Bastion Host. Zur Konfiguration der RSA-public-key Authentifizierung sind folgende Schritte notwendig:

Damit der ssh-Daemon beim Booten des Systems automatisch gestartet wird habe ich ein Shell-Skript geschrieben, das diese Aufgabe übernimmt.


next up previous contents index
Nächste Seite: Konfiguration von Tripwire Aufwärts: Konfiguration des Betriebsystems Vorherige Seite: Konfiguration des HTTP-Proxy   Inhalt   Index
Klaus Bauer 1999-10-20