SSH/de

SSH (Secure SHell) ist Article description::das allgegenwärtige Tool für die sichere Anmeldung bei und die Arbeit an entfernten Rechnern. Alle sensiblen Informationen werden stark verschlüsselt, und zusätzlich zur Remote-Shell unterstützt SSH die Dateiübertragung und die Weiterleitung von Ports für beliebige Protokolle, was einen sicheren Zugang zu Remote-Diensten ermöglicht. Es ersetzt das klassische telnet, rlogin, und ähnliche unsichere Tools - aber SSH ist nicht nur eine Remote-Shell, sondern eine komplette Umgebung für die Arbeit mit entfernten Systemen.

Zusätzlich zum Haupt Befehl, enthält die SSH-Programmsammlung inzwischen auch andere Werkzeuge wie  (Secure Copy Program),  (Secure File Transfer Protocol), oder  zur Unterstützung der Schlüsselverwaltung. Der Standard-SSH-Port ist Port 22.

Ursprünglich war SSH nicht frei. Heute ist die populärste und de-facto Standard-Implementation OpenBSD's OpenSSH, welche bei Gentoo vorinstalliert ist.

SSH is multi-platform, and is very widely used: OpenSSH is installed by default on most Unix-like OSs, on Windows10, on MacOS, and can be installed on Android or "jailbroken" iOS (SSH clients are available). This makes SSH a great tool for working with heterogeneous systems.

Installation überprüfen
Die meisten Bereitstellungen von Gentoo Linux haben OpenSSH bereits auf dem System installiert. Dies kann durch Ausführen des -Befehls überprüft werden. Sofern es installiert ist sollte eine Gebrauchsanweisung ausgegeben werden:

Wenn keine Gebrauchsanweisung ausgegeben wird ist entweder beschädigt oder nicht installiert. Es ist auch möglich dass ein Nutzer OpenSSH neu baut um eine neue USE-Konfiguration zu inkludieren. Wie auch immer, zum Betrachten von möglichen USE-Konfigurationen weitermachen.

If this does not try to install OpenSSH, the package may have been, or even listed in , though this would be unusual.

Emerge
Nach dem Ändern der notwendigen USE-Flags das Installieren oder Neubauen von OpenSSH nicht vergessen:

Nach der Änderung von globalen USE-Flags in make.conf, die das OpenSSH-Paket betreffen, muss emerge world auf die neuen USE-Flags aktualisiert werden:

Schlüssel erstellen
Um eine sichere Shell bereitzustellen, werden kryptographische Schlüssel für die Ver- und Entschlüsselung sowie Hashing-Funktionen von SSH benutzt.

Beim ersten Start des SSH-Services werden die System-Schlüssel erzeugt. Diese können mittels des -Befehls (neu-)erstellt werden.

Server-Konfiguration
Der SSH Server wird normalerweise in der Datei konfiguriert, weitere Einstellungen, einschließlich des Ortes, an dem sich die obige Konfiguration befindet, können in  getätigt werden, inklusive das Ändern des Ortes der Konfigurationsdatei. Für Details über die Konfiguration sollte die man page "sshd_config" konsultiert werden.

Der Server stellt eine Möglichkeit zur Validierung seiner Konfiguration durch den Testmodus zur Verfügung.

Klient-Konfiguration
Der -Klient und zugehörige Programme (,, etc.) können in den folgenden Dateien konfiguriert werden:



Für weitere Information das -Handbuch lesen:

Eindringensvermeidung
SSH ist ein oft angegriffener Dienst. Werkzeuge wie sshguard und fail2ban überwachen Logs und blacklisten entfernte Nutzer die wiederholt versuchten und scheiterten, sich anzumelden. Wie benötigt verwenden um ein häufig attackiertes System abzusichern.

Dienst
Commands to run the SSH server will depend on active init system.

OpenRC
Den OpenSSH-Daemon zum Default-Runlevel hinzufügen:

Den sshd-Daemon starten mit:

Der OpenSSH-Server kann wie jeder andere OpenRC-Dienst gesteuert werden:

systemd
Um den OpenSSH-Daemon mit dem System zu starten:

Um den OpenSSH-Daemon jetzt zu starten:

Um zu überprüfen ob der Dienst gestartet wurde:

Befehle
OpenSSH provides several commands, see each command's for usage information:


 * - Secure File Copy
 * - Secure File Transfer
 * - Private-Key Identitäten zum Authentifizierungsagenten hinzufügen
 * - Authentifizierungsagenten
 * - Verwendung lokal verfügbarer Schlüssel zur Autorisierung von Anmeldungen auf einem entfernten Rechner
 * - Authentifizierungsschlüssel-Dienstprogramm
 * - öffentliche SSH-Schlüssel von Servern sammeln
 * - OpenSSH Daemon

Ausbruchsequenzen
Während einer aktiven SSH-Sitzung wird durch das Drücken der Tile-Taste eine Ausbruchsequenz begonnen:

Note that escapes are only recognized immediately after a newline. They may not always work with some shells, such as.

Verbindung zu einem entfernten SSH-Server aufbauen
Praktisch für das Verwalten von git-Servern. Siehe auch das Sicherheitshandbuch.

Client
Falls noch nicht vorhanden, muss auf dem Klienten ein Schlüsselpaar angelegt werden. Dies erfolgt durch die Eingabe des folgenden Befehls (natürlich ohne eine Passphrase einzugeben):

Server
Nun muss sichergestellt werden, dass für den Anwender ein Benutzerkonto auf dem Server existiert. Dann kann der Inhalt der -Datei des Klienten in der Datei im Homeverzeichnis des Anwenders auf dem Server platziert werden. Dies erfolgt durch das Ausführen des folgenden Befehls auf dem Klienten (ess wird die Passphrase des Anwenders auf dem Server benötigt):

{{Cmd|ssh-copy-id |collapse-output=true|output= /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/larry/.ssh/id_rsa.pub" /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys larry@ 's password:

Number of key(s) added: 1

Nun kann eine Anmeldung am System mit "ssh ' '" versuchs werden, um zu überprüfen, ob nur die Schlüssel hinzugefügt wurden, die vorgesehen waren.

Anschließend sollte eine Anmeldung ohne Eingabe der Passphrase wie folgt möglich sein:

{{cmd|ssh |output= larry@ }}

Auf dem Server sollte dann in der Datei {{Path|/etc/ssh/sshd_config}}  eingetragen werden.

Einzel-Maschinen-Test
Die oben beschriebene Prozedur kann lokal getestet werden:

Remote services over ssh
SSH may be used to access remote services, such as HTTP, HTTPS, fileshares, etc., through an encrypted "tunnel". Remote service access is detailed in the and  articles.

Copying files to a remote host
The command, a part of SSH, uses the SSH File Transfer Protocol to copy files to a remote host. is also an alternative for this.

ssh-agent
OpenSSH enthält, einen Dienst, der für SSH verwandte Passphrasen zwischenspeichert, sodass keine erneute Eingabe erforderlich ist. Wenn er ausgeführt wird, zeigt die Variable SSH_AUTH_SOCK auf sein Kommunikations-Socket. Der übliche Weg zur Einrichtung von ist es, ihn als Wurzelprozess in der Sitzung des Benutzers auszuführen. Andernfalls sind Umgebungsvariablen in der Sitzung nicht abrufbar.

Je nachdem, wie die graphische Benutzersitzung gestartet wird, kann es schwierig sein, einen adäquaten Weg zu finden, zu starten. Als Beispiel für den Displaymanager kann der Inhalt der Datei

durch Folgendes ersetzt werden:

Um die Passphrase einmal pro Sitzung mitzuteilen, kann entweder   manuell ausgeführt, oder die Option   verwendet werden.

Neuere Versionen von Xfce starten (und ) automatisch. Sind beide Programme installiert, werden sie auch beide gestartet, was das Identitätsmanagement insbesondere mit SmartCards erschwert. Um das zu beheben, kann der Autostart des SSH-Agents deaktiviert werden. Alternativ kann auch der Autostart beider Programme deaktiviert werden, um stattdessen die Shell, X-Session oder Ähnliches zu benutzen.

Terminal multiplexers to preserve sessions
It is possible to use a to resume a session after a dropped connection. and are two popular multiplexers that can be used to be able to reconnect to a session, even if a command was running when the connection dropped out.

SSH over intermittent connections
When on unstable Internet connections, or when roaming between networks (such as when moving wifi networks), can help avoid dropping SSH sessions.

Open new tabs for session with Kitty terminal
By using the SSH kitten for the terminal emulator, it is possible to open new "tabs", or windows, on the current SSH session without having log in again.

Kitty also provides other practical SSH functionality.

Fehlersuche
Es gibt drei verschiedene Level von Debug-Modi, die bei der Problemlösung helfen können. Mit der -Option gibt SSH Debugging-Nachrichten über seinen Fortschritt aus. Dies ist hilfreich bei dem Debugging von Verbindungs-, Authentifikations- und Konfigurationsproblemen. Mehrfache -Optionen erhöhen die Verbosität. Das Maximum ist drei.

Permissions are too open
An ssh connection will only work if the file permissions of the directory and contents are correct.
 * The directory permissions should be 700 (drwx--), i.e. the owner has full access and no one else has any access.
 * Under :
 * public key files' permissions should be 644 (-rw-r--r--), i.e. anyone may read the file, only the owner can write.
 * all other files' permissions should be 600 (-rw---), i.e. only the owner may read or write the file.

These permissions need to be correct on the client and server.

Abbruch langlebiger Verbindungen
Viele Geräte, die Zugriff zum Internet anbieten, benutzen dafür Network Address Translation (NAT), ein Prozess der Geräten in einem privaten Netzwerk (typischerweise in Heim- oder Berufsumgebungen) Zugriff auf fremde Netzwerke wie dem Internet ermöglicht, obwohl sie nur eine einzige IP-Adresse in diesem fremden Netzwerk besitzt. Leider funktionieren diese NAT-Geräte nicht alle gleich und manche von ihnen schließen langlebige, nur gelegentlich genutzte TCP Verbindungen wie die von SSH. Man erkennt das daran, dass man auf einmal nicht mehr mit dem entfernten Computer interagieren kann, obwohl das -Klienten-Programm nicht beendet wurde.

Um dieses Problem zu lösen, können OpenSSH-Klienten und -Server so konfiguriert werden, dass sie eine unsichtbare "keep alive" Nachricht senden, deren Ziel das Aufrechterhalten der Verbindung ist:


 * Um Keep-Alive für alle Klienten, die sich mit dem lokalen Server verbinden, zu aktivieren,  (oder einen anderen Wert, in Sekunden) in der -Datei setzen.
 * Um Keep-Alive für alle Server, mit denen sich der lokale Klient verbindet, zu aktivieren,  (oder einen anderen Wert, in Sekunden) in der - oder -Datei setzen.
 * Setzen Sie, um Verbindungsabbrüche zu vermeiden.

For example, to modify the server's configuration:

To modify the client's configuration:

New key does not get used
This scenario covers the case when a key to access a remote system has been created, the public key installed on the remote system, but the remote system is (for some reason) not accessible via ssh. This can happen if the name of the keyfile is not known to ssh.

Confirm which key files ssh is trying by running it with one of the verbose options, as described at the start of the. The verbose output will include the names of the keyfiles it is trying, and the one (if any) that actually gets used.

The default key files for the system are listed in the, see the commented-out lines containing  directives.

There are several ways to use a key with a non-default name.

The key name can be specified on the command line every time:

Alternatively, modify the ssh configuration to add a special case for ssh to the remote system:

If any are specified, it appears to be necessary to specify all the desired keys on a remote host. Read up on the ssh IdentityFile.

X11-Weiterleitung, keine Portweiterleitung oder Tunnelung
Problem: Nachdem die nötigen Veränderungen an den Konfigurationsdateien gemacht sind, wird bemerkt dass X-Applikationen auf dem Server ausgeführt und nicht an den Klienten weitergeleitet werden.

Lösung: Was vermutlich während der SSH-Anmeldung auf dem Server passiert, die DISPLAY -Variable ist entweder nicht gesetzt oder wird gesetzt nachdem die SSH-Sitzung sie setzt.

Wenn das Szenario zutrifft, kann es wie folgend nach dem Anmelden auf dem Server getestet werden:

Die Ausgabe sollte in etwa ähnlich zu  oder   mit der serverseitigen Einstellung   sein. Wenn das übliche  nicht ausgegeben wird, sicherstellen dass die DISPLAY -Variable in  nicht ungesetzt oder reinitialisiert ist. Wenn sie es ist, jegliche Initialisierung der DISPLAY -Variable entfernen oder auskommentieren um die Ausführung des Codes in bei einer SSH-Anmeldung zu verhindern:

im Kommando oberhalb mit dem passenden Benutzernamen ersetzen.

Ein Trick der funktioniert wäre ein alias innerhalb der -Datei zu definieren.

Siehe auch

 * Verbinden über ssh und Verwendung von screen
 * Absicherung des SSH-Dienstes (Sicherheitshandbuch)
 * Starten des SSH-Daemons - Gentoo Handbuch - Installation
 * Absicherung des SSH-Dienstes (Sicherheitshandbuch)
 * Starten des SSH-Daemons - Gentoo Handbuch - Installation
 * Absicherung des SSH-Dienstes (Sicherheitshandbuch)
 * Starten des SSH-Daemons - Gentoo Handbuch - Installation
 * Starten des SSH-Daemons - Gentoo Handbuch - Installation
 * Starten des SSH-Daemons - Gentoo Handbuch - Installation
 * Starten des SSH-Daemons - Gentoo Handbuch - Installation

Externe Ressourcen

 * — SSH Proxy Command -- connect.c
 * https://lonesysadmin.net/2011/11/08/ssh-escape-sequences-aka-kill-dead-ssh-sessions/amp/ - Ein Blog-Eintrag zum Thema Ausbruchsequenzen.
 * https://hackaday.com/2017/10/18/practical-public-key-cryptography/ - Praktische asymmetrische Kryptographie (Hackaday).