SSH

• Installation unter Windows
• Einloggen mit SSHWinClient
• Filetransfer mit SSHWinClient
• CVS-Server über einen SSH-Tunnel

Die Secure Shell SSH 2

Auf den Rechnern des Informatik-Rechenzentrums wurden die “R”-Kommandos rlogin, rsh und rcp zum Einloggen auf entfernten Rechnern und Ausführen von Kommandos auf entfernten Rechnern durch die Secure-Shell-Kommandos slogin, ssh und scp ersetzt. Diese bieten eine sichere, verschlüsselte Kommunikation zwischen Rechnern im lokalen Rechnernetz; u.a. werden keine Accountnamen und Paßworte im Klartext im Netz übertragen. X11-Verbindungen werden automatisch durch die ssh-Verbindung “getunnelt”, so dass kein Setzen der DISPLAY-Variable auf dem entfernten Rechner und kein xhost auf dem lokalen Rechner mehr nötig ist.

Auf den Rechnern des FBI-RZ wurden der rsh-Daemon und der rlogin-Daemon deaktiviert, so dass Einloggen innerhalb des Fachbereichsnetzez nur mit slogin/ssh und Telnet möglich ist. Von ausserhalb des Fachbereichsnetzes kann man sich mit slogin/ssh auf den Netzzugangs-Rechner rzssh1.informatik.uni-hamburg.de (SSH-Fingerprint 2048 9a:c6:93:30:5d:7b:16:61:63:f2:46:35:76:a3:0b:5d) einloggen.

Für Windows 98 (und neuer)-Rechner können Sie im RZ einen SSH-Client bekommen bzw. mit FTP vom DFN-CERT herunterladen.

Aktuelle Linux-Versionen und MacOS X enthalten bereits SSH.

Authentisieren mit SSH

Beim Einloggen müssen Sie sich mit Ihrem normalen Passwort authentisieren,

Authentisierung mit einem SSH-Schlüssel ist nur möglich, wenn Ihr Homeverzeichnis auf dem alten Fileserver rzt2000 liegt, das noch mit NFS Version 3 gemountet wird. Die Homeverzeichnisse der Studierenden ab dem Jahrgang 2009 werden mit NFS4 mit Kerberos-Authensierung gemountet. Das ist sichererer und erschwert Zugriffe auf Ihre Daten durch Dritte, bewirkt aber, dass beim beim ersten Einloggen der SSH-Loginprozess auch nicht an Ihr Homeverzeichnis herankommt, Ihren öffentlichen SSH-Schlüssel nicht lesen kann, und Sie nach Ihrem Passwort fragt. Erst danach wird Ihr Kerberos-Ticket erzeugt, mit dem Ihr Homeverzeicnis zugreifbar ist, so dass weitere SSH-Logins auch mit Ihrem SSH-Schlüssel authentisiert werden können.

Erzeugen eines privaten SSH-Schlüssels

Sie können Sich auf Ihrem Rechner mit z.B. ssh-keygen -b 2048 -t dsa einen persönlichen SSH-Schlüssel erzeugen. und den dabei erstellten zugehörigen öffentlichen Schlüssel id_dsa.pub mit dem Kommando ssh-copy-id an die passende Stelle in Ihr Homeverzeichnis kopieren. Dann werden Sie bei künftigen Logins über diesen persönlichen SSH-Schlüssel authentisiert und benötigen nun kein weiteres Passwort mehr [sofern der Schlüssel beim Einloggen lesbar ist, siehe oben].