Ein wesentliches Tool, das ein Systemadministrator beherrschen sollte, ist SSH.
SSH oder Secure Shell ist ein Protokoll, das zur sicheren Anmeldung bei Remotesystemen verwendet wird. Es ist die häufigste Methode für den Zugriff auf Remote-Linux-Server.
In diesem Leitfaden diskutieren wir, wie SSH zur Herstellung einer Verbindung mit einem Remotesystem genutzt werden kann.
Um per SSH eine Verbindung mit einem Remotesystem herzustellen, verwenden wir den Befehl ssh
. Die grundlegendste Form des Befehls ist:
- ssh remote_host
Der remote_host
in diesem Beispiel ist die IP-Adresse oder der Domänenname, mit der oder dem Sie eine Verbindung herstellen möchten.
Dieser Befehl geht davon aus, dass Ihr Benutzername im Remotesystem der gleiche wie Ihr Benutzername in Ihrem lokalen System ist.
Wenn Ihr Benutzername im Remotesystem anders ist, können Sie ihn durch Verwendung dieser Syntax angeben:
- ssh remote_username@remote_host
Sobald Sie mit dem Server verbunden sind, werden Sie möglicherweise aufgefordert, Ihre Identität durch Angabe eines Passworts zu verifizieren. Später werden wir auf die Erstellung von Schlüsseln zur Verwendung anstelle von Passwörtern eingehen.
Um die SSH-Sitzung zu beenden und zu Ihrer lokalen Shell-Sitzung zurückzukehren, geben Sie Folgendes ein:
- exit
SSH arbeitet, indem ein Clientprogramm mit einem SSH-Server namens sshd
verbunden wird.
Im vorherigen Abschnitt war ssh
das Clientprogramm. Der SSH-Server wird bereits auf dem von uns angegebenen remote_host
ausgeführt.
Auf Ihrem Server sollte der sshd
-Server bereits ausgeführt werden. Wenn dies nicht der Fall ist, müssen Sie möglicherweise über eine webbasierte Konsole oder eine lokale serielle Konsole auf Ihren Server zugreifen.
Der Prozess, der zum Starten eines SHH-Servers erforderlich ist, hängt von der Linux-Distribution ab, die Sie verwenden.
Unter Ubuntu können Sie den SSH-Server durch folgende Eingabe starten:
- sudo systemctl start ssh
Damit sollte der sshd-Server starten und Sie können sich remote anmelden.
Wenn Sie die Konfiguration von SSH ändern, ändern Sie die Einstellungen des sshd-Servers.
In Ubuntu befindet sich die Hauptkonfigurationsdatei von sshd unter /etc/ssh/sshd_config
.
Sichern Sie vor der Bearbeitung die aktuelle Version dieser Datei:
- sudo cp /etc/ssh/sshd_config{,.bak}
Öffnen Sie sie mit einem Texteditor:
- sudo nano /etc/ssh/sshd_config
Die meisten Optionen in dieser Datei werden Sie nicht verändern wollen. Es gibt jedoch einige Optionen, auf die Sie möglicherweise einen Blick werfen möchten:
Port 22
Die Portdeklaration gibt an, an welchem Port der sshd-Server nach Verbindungen lauschen wird. Standardmäßig ist dies Port 22
. Sie sollten diese Einstellung wahrscheinlich unverändert lassen, es sei denn, Sie haben spezifische Gründe für ein anderes Vorgehen. Wenn Sie Ihren Port tatsächlich ändern, zeigen wir Ihnen später, wie Sie eine Verbindung mit dem neuen Port herstellen können.
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
Die Hostschlüsseldeklarationen geben an, wo nach globalen Hostschlüsseln gesucht werden soll. Wir werden später erörtern, was ein Hostschlüssel ist.
SyslogFacility AUTH
LogLevel INFO
Diese beiden Elemente zeigen die Protokollierungsstufe an, die ausgeführt werden sollte.
Wenn Sie Probleme mit SSH haben, ist die Erhöhung der Protokollierungsstufe ggf. eine gute Möglichkeit, um zu ermitteln, was das Problem ist.
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
Diese Parameter geben einige der Anmeldedaten an.
LoginGraceTime
gibt an, wie viele Sekunden die Verbindung ohne eine erfolgreiche Anmeldung aufrechterhalten wird.
Es ist ggf. eine gute Idee, diese Zeit nur etwas höher als die Zeit anzusetzen, die Sie normalerweise zum Anmelden benötigen.
PermitRootLogin
gibt an, ob sich der root-Benutzer anmelden darf.
In den meisten Fällen sollte dies in no
geändert werden, wenn Sie ein Benutzerkonto erstellt haben, das Zugriff auf erhöhte Berechtigungen hat (über su
oder sudo
) und sich über SSH anmelden kann.
strictModes
ist ein Sicherheitswächter, der Anmeldeversuche verweigert, wenn die Authentifizierungsdateien für alle lesbar sind.
Dadurch werden Anmeldeversuche verhindert, wenn Konfigurationsdateien nicht sicher sind.
X11Forwarding yes
X11DisplayOffset 10
Diese Parameter konfigurieren eine Funktion namens X11 Forwarding. Dadurch können Sie die grafische Benutzeroberfläche (GUI) eines Remotesystems im lokalen System anzeigen.
Diese Option muss auf dem Server aktiviert und mit dem SSH-Client während der Verbindung mit der Option -X
übergeben werden.
Speichern und schließen Sie nach dem Vornehmen Ihrer Änderungen die Datei durch Eingabe von STRG+X
und Y
gefolgt von ENTER
.
Wenn Sie Einstellungen in /etc/ssh/sshd_config
geändert haben, stellen Sie sicher, dass Sie Ihren sshd-Server zur Implementierung der Änderungen neu laden:
- sudo systemctl reload ssh
Sie sollten Ihre Änderungen sorgfältig testen, um sicherzustellen, dass sie wie erwartet funktionieren.
Es ist möglicherweise eine gute Idee, beim Vornehmen von Änderungen einige aktive Sitzungen zu haben. Dadurch können Sie die Konfiguration bei Bedarf zurücksetzen.
Es ist zwar nützlich, sich mit Passwörtern bei einem Remotesystem anmelden zu können, doch ist es eine wesentlich bessere Idee, schlüsselbasierte Authentifizierung einzurichten.
Schlüsselbasierte Authentifizierung funktioniert durch Erstellen eines Schlüsselpaars, bestehend aus einem privaten Schlüssel und einem öffentlichen Schlüssel.
Der private Schlüssel befindet sich auf dem Clientrechner, ist gesichert und wird geheim gehalten.
Der öffentliche Schlüssel kann an beliebige Personen weitergegeben oder auf jedem Server platziert werden, auf den Sie zugreifen möchten.
Wenn Sie versuchen, eine Verbindung mit einem Schlüsselpaar herzustellen, verwendet der Server den öffentlichen Schlüssel zur Erstellung einer Nachricht für den Clientcomputer, die nur mit dem privaten Schlüssel gelesen werden kann.
Der Clientcomputer sendet dann die entsprechende Antwort zurück an den Server und der Server weiß, dass der Client legitim ist.
Das gesamte Verfahren erfolgt nach Einrichtung der Schlüssel automatisch.
SSH-Schlüssel sollten auf dem Computer erstellt werden, von dem aus Sie sich anmelden möchten. Dies ist normalerweise Ihr lokaler Rechner.
Geben Sie Folgendes in die Befehlszeile ein:
- ssh-keygen -t rsa
Drücken Sie die Eingabetaste zum Akzeptieren der Standardeinstellungen. Ihre Schlüssel werden unter ~/.ssh/id_rsa.pub und ~/.ssh/id_rsa erstellt.
Wechseln Sie durch folgende Eingabe zum Verzeichnis .ssh
:
- cd ~/.ssh
Sehen Sie sich die Berechtigungen der Dateien an:
- ls -l
Output-rw-r--r-- 1 demo demo 807 Sep 9 22:15 authorized_keys
-rw------- 1 demo demo 1679 Sep 9 23:13 id_rsa
-rw-r--r-- 1 demo demo 396 Sep 9 23:13 id_rsa.pub
Wie Sie sehen können, ist die Datei id_rsa
nur für den Besitzer lesbar und beschreibbar. So sollte es sein, um sie geheim zu halten.
Die Datei id_rsa.pub
kann jedoch weitergegeben werden und verfügt über entsprechende Berechtigungen.
Wenn Sie derzeit über passwortbasierten Zugriff auf einen Server verfügen, können Sie durch Eingabe des folgenden Befehls Ihren öffentlichen Schlüssel auf den Server kopieren:
- ssh-copy-id remote_host
Dadurch wird eine SSH-Sitzung gestartet. Nach der Eingabe Ihres Passworts wird Ihr öffentlicher Schlüssel in die autorisierte Schlüsseldatei des Servers kopiert, sodass Sie sich beim nächsten Mal ohne das Passwort anmelden können.
Es gibt eine Reihe von optionalen Flags, die Sie beim Verbinden über SSH wählen können.
Einige davon könnten erforderlich sein, um mit den Einstellungen in der sshd
-Konfiguration des Remote-Hosts übereinzustimmen.
Wenn Sie beispielsweise die Portnummer in Ihrer sshd
-Konfiguration geändert haben, müssen Sie durch folgende Angabe eine Anpassung an den Port auf der Clientseite vornehmen:
- ssh -p port_number remote_host
Wenn Sie nur einen einzigen Befehl in einem Remotesystem ausführen möchten, können Sie ihn nach dem Host wie folgt angeben:
- ssh remote_host command_to_run
Sie werden eine Verbindung mit dem Remoterechner herstellen und sich authentifizieren und der Befehl wird ausgeführt.
Wie bereits gesagt: Wenn auf beiden Computern X11 Forwarding aktiviert ist, können Sie durch folgende Eingabe auf diese Funktion zugreifen:
- ssh -X remote_host
Wenn Sie über die entsprechenden Tools auf Ihrem Computer verfügen, öffnen die GUI-Programme, die Sie im Remotesystem verwenden, ihre Fenster nun auf Ihrem lokalen System.
Wenn Sie SSH-Schlüssel erstellt haben, können Sie durch Deaktivieren der ausschließlich passwortbasierten Authentifizierung die Sicherheit Ihres Servers erhöhen. Abgesehen von der Konsole ist die einzige Möglichkeit zur Anmeldung bei Ihrem Server der private Schlüssel, der zum öffentlichen Schlüssel passt, den Sie auf dem Server installiert haben.
Warnung: Bevor Sie mit diesem Schritt fortfahren, stellen Sie sicher, dass Sie einen öffentlichen Schlüssel auf Ihrem Server installiert haben. Andernfalls werden Sie ausgesperrt!
Öffnen Sie als root-Benutzer oder Benutzer mit sudo-Berechtigungen die sshd
-Konfigurationsdatei:
- sudo nano /etc/ssh/sshd_config
Suchen Sie die Zeile, in der Password Authentication
steht, und heben Sie die Kommentierung auf, indem Sie das führende #
-Zeichen entfernen. Sie können dann den Wert in no
ändern:
PasswordAuthentication no
Zwei weitere Einstellungen, die nicht geändert werden sollten (sofern Sie diese Datei noch nicht geändert haben), sind PubkeyAuthentication
und ChallengeResponseAuthentication
. Sie werden standardmäßig gesetzt und sollten wie folgt aussehen:
PubkeyAuthentication yes
ChallengeResponseAuthentication no
Speichern und schließen Sie die Datei nach Vornahme Ihrer Änderungen.
Sie können den SSH-Daemon nun neu laden:
- sudo systemctl reload ssh
Die Passwortauthentifizierung sollte nun deaktiviert und Ihr Server nur per SSH-Schlüsselauthentifizierung zugänglich sein.
Sich mit SSH vertraut zu machen, ist eine lohnenswerte Aufgabe, schon weil sie so häufig erforderlich ist.
Bei Verwendung der verschiedenen Optionen werden Sie erweiterte Funktionen entdecken, die Ihr Leben erleichtern können. SSH ist noch immer beliebt, da das Protokoll in verschiedenen Situationen sicher, leicht und hilfreich ist.
Thanks for learning with the DigitalOcean Community. Check out our offerings for compute, storage, networking, and managed databases.
This textbox defaults to using Markdown to format your answer.
You can type !ref in this text area to quickly search our full set of tutorials, documentation & marketplace offerings and insert the link!