Auf den Linux Maschinen ist der Login über die Secure Shell mit ssh login@server möglich, wobei statt login der eigene Loginname und statt server der Hostname oder die IP-Adresse des entfernten Rechners eingegeben werden. Wir empfehlen die Verwendung einer asymmetrischen Verschlüsselung zum Aufbau der Verbindung.
Erstellung des asymmetrischen Schlüsselpaares
- Aufruf von ssh-keygen auf dem eigenen Arbeitsplatzrechner als normaler Benutzer
- Es wird nach dem Namen des Schlüsselpaares gefragt. Die Vorgabe kann verwendet werden, falls noch kein Schlüsselpaar id_rsa und id_rsa.pub in ~/.ssh/ existiert. Ansonsten muss der vollständige Pfad des privaten Schlüssels (ohne .pub) angegeben werden. Als Pfad sollte ~/.ssh/ verwendet werden.
- Zweimaliges Eingeben eines Passworts, mit dem der private Schlüssel des Schlüsselpaares vor unbefugtem Zugriff gesichert wird. Wenn das Eintippen des Passworts bei jedem Login-Versuch zu umständlich ist, kann das Passwortfeld leer gelassen oder ein Programm für Single-Sign-On verwendet werden, was zu empfehlen ist.
- Das Programm erzeugt ein asymmetrisches Schlüsselpaar.
Es werden unter ~/.ssh/ die Dateien
id_rsa = privater Schlüssel (nicht verbreiten!!)
id_rsa.pub = öffentlicher Schlüssel
erzeugt, wenn die Namensvorgabe verwendet wurde.
- Kopieren des öffentlichen Schlüssels ~/.ssh/id_rsa.pub vom eigenen Arbeitsplatzrechner auf die entfernten Rechner in die Datei ~/.ssh/authorized_keys. Nun können SSH-Verbindungen zwischen dem Arbeitsplatzrechner und den entfernten Rechnern aufgebaut werden, die den öffentlichen Schlüssel des Schlüsselpaares besitzen.
X-Forwarding
Mit dem sogenannten X11-Forwarding kann man sich auch grafische Programme, die über SSH auf einem anderen Rechner gestartet werden, auf dem eigenen Display anzeigen lassen. Das Programm muss sich nur an den X11-Standard halten, was leider die meisten Windows- und Mac-Programme ausschließt. Um das X11-Forwarding zu aktivieren, muss man jetzt nur dem ssh-Befehl die Option -X hinzufügen, die dem Programm eingeschränkte Rechte am eigenen Display einräumt. Für den Fall dass es zu einem Programmabbruch kommt, weil diese eingeschränkten Rechte nicht ausreichen, existiert noch die Option -Y, die dem Programm volle Rechte gewährt. Diese sollte man jedoch nicht verwenden, wenn man dem Administrator des entfernten Rechners nicht vertraut, denn sie öffnet einen Tunnel, der auch in der umgekehrten Richtung für einen Angriff auf das eigene Display genutzt werden könnte.
Weitere Informationen finden Sie im WIKI der RBG .
|