netzwerke:ssh

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
netzwerke:ssh [2018/07/11 08:09] – [SSH unter Windows] stnetzwerke:ssh [2024/03/14 13:11] (aktuell) – [Vorgehensweise] st
Zeile 1: Zeile 1:
 +====== SSH (Secure Shell) ======
  
 +SSH bietet einen sicheren (da verschlüsselten) Zugang zu einem entfernten Rechner/Server. Es ist deshalb sicher weil die Verbindung mit starker Verschlüsselung gesichert wird und sich beide Partner ausweisen (Authentifizieren) müssen. Die Authentifizierung erfolgt typischerweise entweder durch Passwort oder mit public/private-Key (z.B. bei automatisierten Anmeldungen in Skripten wichtig) oder durch andere [[ssh#Authentifizierungsarten]].
 +Somit kann weder mitgelesen werden, noch kann sich jemand (unbemerkt) in die Mitte setzen ''("[[security:Angriffsmethoden und Gegenmaßnahmen#Man-in-the-middle (MITM)-Attacke]]")'' und beiden Partner die Gegenseite vorspielen.
 +
 +Mit SSH lassen sich Dateien austauschen (mit sftp, scp) und Tunnel für unverschlüsselte Protokolle einrichten. Die Daten können auf Wunsch komprimiert übertragen werden und man kann Bildschirminhalte grafischer Programme (vom [[linux:grafische Benutzeroberflächen|X-Server]] des Servers) übertragen.
 +
 +
 +**Syntax:**
 +Ein minimaler Aufruf folgt dem Schema
 +  ssh SERVER
 +dabei ist die Angabe des Benutzers (-l Benutzer) optional, wenn keiner angegeben wurde, wird der aktuelle Benutzername genommen.
 +  ssh -l Benutzer SERVER
 +
 +Bei langen Befehlszeilen lässt sich Zeit durch vorher festgelegte Optionen in Konfigurationsdateien oder über Aliase sparen.
 +
 +
 +===== Dateiaustausch über SSH =====
 +
 +**Dateien austauschen:**
 +  sftp
 +eignet sich gut für einzelne und mehrere Dateien (Eingabe ''mget'')
 +  * Für das übertragen kompletter verzeichnis-struktionen taugt der Befehl ''sftp'' leider nichts, dafür nimmt man scp:
 +
 +**download:**
 +  scp benutzer@entfernterRechner:/Verzeichnis/Datei /lokalesVerzeichnis/Datei
 +**upload:**
 +  scp /lokalesVerzeichnis/Datei benutzer@entfernterRechner:/Verzeichnis/Datei
 +
 +:!: Mit der Option -r lassen sich rekursiv ganze Verzeichnisse übertragen.
 +
 +
 +===== SSH Portweiterleitung (forwarding) =====
 +Eine sehr nützliche Eigenschaft von SSH ist die Möglichkeit (unverschlüsselte) Protokolle durch den verschlüsselten SSH-Tunnel zu schicken ("tunneln").
 +
 +  ssh user@remote.host -L 8080:127.0.0.1:80 -N -g
 +
 +Dafür gibt man den lokalen Port an (hier 8080) und nach dem Doppelpunkt die Adresse an die es geleitet werden soll (hier wird "127.0.0.1:80" als Ziel angegeben, d.h. der localhost (127.0.0.1) auf dem Port 80, also der entfernte Rechner selbst).
 +Der Parameter "-g" besagt das der Port auf allen Netzwerkschnittstellen geöffnet werden soll, "-N" verbietet die Ausführung von Befehlen auf dem Zielrechner, was nur beim reinen tunneln sinnvoll ist.
 +
 +Manche Programm (wie Vinagre siehe Screenshot) bieten dies als Funktion an.
 +{{:netzwerke:vinagre-ssh-portforwarding.png|Screenshot Vinagre 2.30.2 unter Ubuntu 10.04}}
 +
 +
 +===== SSH VPN =====
 +
 +Es gibt auch die Möglichekeit mit OpenSSH 4.3 eine Art [[security:VPN]] einzurichten: [[https://help.ubuntu.com/community/SSH_VPN|SSH_VPN]].
 +
 +
 +===== X-Server über SSH =====
 +Programmfenster grafischer (X-)Programme können auch über SSH übertragen werden. Dazu ruft man ssh zusätzlich mit der Option ''-X'' auf.
 +
 +Also normalerweise
 +  ssh -X SERVER
 +oder mit slogin:
 +  slogin -X SERVER
 +
 +Die Variable wird dann auf dem Host gleich korrekt gesetzt. In der SSH-Konfiguration muss X11Forwarding aktiviert sein (standard).
 +<file>
 +X11Forwarding yes
 +X11DisplayOffset 10
 +</file>
 +''X11DisplayOffset'' sorgt für ausreichenden Abstand zu bereits existierenden Displays.
 +
 +:!: Auf dem Server dessen grafisches Programm übertragen werden soll müssen einige Bibliotheken des Xserver installiert sein. Bei [[debian:Debian]]6 war nach der Installation von ''xinit'' war alles nötige vorhanden, wahrscheinlich reichen aber weniger Paket (''xserver-xorg-core'' oder evtl. noch ''xserver-xorg'' dazu).
 +
 +
 +===== Links =====
 +
 +  * [[https://news.ycombinator.com/item?id=14321498|How do you manage SSH keys and SSL certificates in your company?]]
 +  * [[http://kevin.vanzonneveld.net/techblog/article/make_ssh_connections_with_php/|Make SSH connections with PHP]]
 +  * [[http://www.jfranken.de/homepages/johannes/vortraege/ssh1_inhalt.de.html|OpenSSH
 +Teil 1: Grundlagen]] ( [[http://www.jfranken.de/homepages/johannes/vortraege/ssh2.de.html|Teil 2: SSH-Tunnels]];  [[http://www.jfranken.de/homepages/johannes/vortraege/ssh3.de.html|Teil 3: Firewalls durchbohren]]
 +  * [[http://www.harding.motd.ca/autossh/|autossh]]: vermeidet "hängende" Tunnel durch Testschleife und neuverbinden bei Abbruch.
 +  * **[[http://pkeck.myweb.uga.edu/ssh/|HOWTO: set up ssh keys]]**
 +  * [[http://www.uni-koeln.de/rrzk/netze/ssh/sshscp.html|SSH und SCP unter Unix]]
 +  * [[http://www.tartarus.org/simon/puttydoc/Chapter5.html|Hilfe zu pscp]]
 +  * [[http://info.ccone.at/INFO/FreeBSD/de/openssh.html|OpenSSH]]
 +  * [[http://www.cryptomancer.de/programme/ssh.html|weitere SSH-Erklärung]]
 +  * [[http://www.apfeltalk.de/forum/sshd-ueber-terminal-t6950.html|sshd über das terminal neu starten]]
 +  * [[http://martin.ringehahn.de/shellblog/?p=121#more-121|Ssh warum?]]
 +  * [[http://www.dokuwiki.org/ssh|automatisierte SSH-Logins]]
 +
 +  * [[http://www.informit.com/articles/article.asp?p=602977&rl=1|Mitigating the Security Risks of SSH]]
 +
 +
 +
 +===== SSH Client- und Serversoftware =====
 +
 +==== *nix-kompatible ====
 +
 +=== Clients ===
 +  * OpenSSH-Client
 +  * Kssh: [[linux:KDE]]-Frontend
 +  * lsh-client
 +  * putty für X
 +  * secpanel
 +
 +=== Server ===
 +
 +  * OpenSSH-Server: Der Standard-Server
 +  * [[https://github.com/drakkan/sftpgo|sftpgo]] (unterstützt auch [[server:haproxy]])
 +  * lsh-server
 +  * [[http://matt.ucc.asn.au/dropbear/dropbear.html|dropbear]]: Ressourcenschonend, z. B. für embedded-Systeme
 +
 +
 +==== SSH unter Windows ====
 +
 +  * [[http://www.freesoftwaremagazine.com/articles/run_any_gnu_linux_app_on_windows_without_any_virtualization|Using SSH to access programs from an Ubuntu box]]
 +  * [[http://www.pro-linux.de/news/1/22882/microsoft-portiert-openssh-auf-windows.html|Microsoft portiert OpenSSH auf Windows]]
 +  * Powershell einstellen das er sich passphrase merkt:
 +    * https://gist.github.com/danieldogeanu/16c61e9b80345c5837b9e5045a701c99
 +    * https://stackoverflow.com/questions/370030/why-git-cant-remember-my-passphrase-under-windows
 +
 +
 +=== Clients ===
 +
 +  * Windows 10
 +    * Version 0.0.1.0<code>/dism /online /Add-Capability /CapabilityName:OpenSSH.Client~~~~0.0.1.0</code>
 +    * aktuelle Version finden<code>/dism /online /Get-Capabilities | findstr /i openssh</code>
 +  * [[http://www.chiark.greenend.org.uk/~sgtatham/putty/|Putty]] / [[http://www.tecchannel.de/sicherheit/tools/2028368/download_kitty_alternativer_putty_client_mit_zusatzfunktionen/index.html?r=257628923578662&lid=78935|KiTTY]]
 +  * [[http://winscp.net/eng/docs/lang:de|WinSCP]]
 +  * [[https://www.bitvise.com/ssh-client|bitvise SSH client]] - kostenlos für privaten Gebrauch oder max. 4 Installationen pro Umgebung - kann SSH + Dateiübertragung + pageant benutzen
 +  * [[http://www.swish-sftp.org/|swish]] - SFTP Integration in den Windows Explorer (alpha)
 +  * [[https://www.smartftp.com/client/purchase/buy|SmartFTP Pro]] (kommerziell)
 +  * [[http://www.privateshell.com/|privateshell]] (kommerziell)
 +  * [[wp>Comparison of SSH clients]]
 +
 +=== Server ===
 +
 +  * Cygwin bzw. der [[http://xlivecd.indiana.edu/|Cygwin live-CD]]
 +  * [[http://www.freesshd.com/?ctt=overview|freesshd]]: kostenloser [[netzwerke:ssh]]-Server
 +  * [[https://www.bitvise.com/ssh-server|bitvise SSH Server]] (kostet nach 30 Tagen)
 +  * [[http://www.ssh.com/products/client-server/|tectia-SSH-Server + Client (kommerziell)]]
 +  * [[http://sshwindows.sourceforge.net/|OpenSSH for Windows]] - wird aktuell nicht gepflegt, letzte verfügbare Version ist 3.81p1-1 vom 9 Juli 2004!
 +
 +=== Befehle von Windows aus unter Linux ausführen ===
 +
 +
 +  - putty key generator -> "generate" oder "load existing private key file"
 +  - "load existing private key file":
 +    - Dateipfad angeben
 +    - als ppk-Datei speichern
 +  - Key im Zielsystem hinterlegen:
 +    - interaktiv mit winscp einloggen
 +    - Verzeichnis /root/.ssh anlegen
 +    - den öffentlichen Schlüssel simpel umbenannt als "authorized_keys" in diesem Verzeichnis ablegen
 +  - in der Batchdatei alle Systeme mit jeweils einem Befehl eintragen:
 +    - Kommando ((Befehl "halt" auf dem Rechner mit der IP 1.2.3.4 mit Benutzer root ausführen)): <code>plink.exe -ssh -2 -P 22 -i ssh_key.ppk root@1.2.3.4 halt</code>
 +
 +
 +===== Authentifizierungsarten =====
 +
 +Zum besseren Verständnis vorher die **Authentifizierung des Servers**:
 +
 +Oft bekommt man beim (ersten) verbinden auf einen Server folgende Meldung:
 +<file>
 +user@hostname:~$ ssh -l root host.de
 +The authenticity of host 'host.de (123.123.123.123)' can't be established.
 +RSA key fingerprint is 06:1f:f0:9e:76:b1:4e:9e:8f:5f:29:11:56:71:5e:9e.
 +Are you sure you want to continue connecting (yes/no)?
 +</file>
 +Das bedeutet, dass er den Host bisher (unter dieser IP) nicht kennt und nicht gewähleistet werden kann, das dies auch wirklich der Server ist, zu dem man wollte. Daher sollte man nur in (gut) geschützten Netzwerken "yes" eingeben, es sei denn man kann den Fingerabdruck ("RSA key fingerprint") eindeutig als den richtigen erkennen (durch Vergleich mit dem vorher notierten).
 + 
 +Wenn man "yes" eingibt kommt folgende Meldung:
 +<file>
 +Warning: Permanently added 'host.de,123.123.123.123' (RSA) to the list of known hosts.
 +</file>
 +D.h. er fragt in Zukunft nicht mehr, da er in einer Liste von bekannten Server (in der Datei ''~/.ssh/known_hosts'') gespeichert hat. In Zukunft wird nur noch nach dem Passwort gefragt.
 +
 +:!: Bei Änderungen des Schlüssels auf dem Server (oder schlimmer: wenn ein Angreifer so tut als ob er der Server ist) wird der Verbindungsaufbau verweigert:
 +<file>
 +$ ssh SERVER
 +@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 +@       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
 +@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 +The RSA host key for SERVER has changed,
 +and the key for the according IP address SERVER-IP
 +is unknown. This could either mean that
 +DNS SPOOFING is happening or the IP address for the host
 +and its host key have changed at the same time.
 +@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 +@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
 +@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 +IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
 +Someone could be eavesdropping on you right now (man-in-the-middle attack)!
 +It is also possible that the RSA host key has just been changed.
 +The fingerprint for the RSA key sent by the remote host is
 +01:12:34:56:78:90:12:12:34:56:78:90:12:34:56:78.
 +Please contact your system administrator.
 +Add correct host key in /home/USER/.ssh/known_hosts to get rid of this message.
 +Offending key in /home/USER/.ssh/known_hosts:4
 +RSA host key for SERVER has changed and you have requested strict checking.
 +Host key verification failed.
 +</file>
 +Wenn man sicher ist, dass die Änderung rechtens ist (z.B. weil man sie selber veranlasst hat ;-)), löscht man aus seiner .ssh/known_hosts die angegebene Zeile (hier im Beispiel die 4. Zeile) heraus. Am einfachsten geht dies mit Editor der Wahl, die meisten unterstützen eine Option +ZEILENNR. Mit vim würde der Aufruf also <code>vim +4 ~/.ssh/known_hosts</code>lauten.
 +
 +Die verantwortliche Option ''StrictHostKeyChecking'' steht im Standardfall auf ask (Benutzer bei unbekannten Schlüsseln fragen, bei geänderten Schlüsseln abbrechen) kann jedoch auch auf ''yes'' (keine neuen Schlüssel werden in die ''known_hosts'' hinzugefügt) oder ''no'' (alle neuen Schlüssel hinzufügen) gesetzt werden.
 +
 +
 +==== Passwortauthentifizierung ====
 +Es ist das Standardverhalten.
 +
 +Der Server authentifiziert sich über seinen "Fingerabdruck" der Client mit seinem (gültigen) Passwort.
 +
 +
 +==== Public-Key-Authentifizierung ====
 +
 +Was aber wenn ich nicht ständig mein Passwort (wenn auch verschlüsselt) durch das Netz schicken will?
 +
 +Das Konzept in Kurzform: Der Benutzer erzeugt ein Schlüsselpaar (einen öffentlichen, einen privaten Schlüssel). Diese Schlüssel werden auf dem lokalen Rechner gespeichert.\\ Auf dem entfernten Rechner, bei dem man sich einloggen will, speichert man den öffentlichen Schlüssel. Möchte man sich nun auf dem entfernten Rechner anmelden, sendet der entfernte Rechner eine, mit dem öffentlichen Schlüssel verschlüsselte Zufallszahl, welche der lokale Rechner mit dem privaten Schlüssel (und evtl Passwortabfrage für diesen) entschlüsselt. Die entschlüsselte Zahl wird zurück an den entfernten Rechner gesendet, welcher nun (wenn die Zahlen übereinstimmen) den Benutzer "Authentifiziert" hat. Dabei wurde weder der öffentliche noch der private Schlüssel über das Netz geschickt, lediglich eine Zufallszahl.
 +
 +Der entfernte Rechner authentifiziert sich auch selbst: gleiches Prinzip - öffentlicher Schlüssel bei uns, privater Schlüssel auf entferntem Rechner.
 +
 +Die Einstellung ''PubkeyAuthentication'' regelt ob Public-Key-Authentifizierung erlaubt ist (Standardwert ist ''yes'').
 +
 +Der Client kann übrigens mit der Einstellung "IdentityFile" auch einen abweichenden Schlüssel für einen bestimmten Server angeben:
 +
 +<file>
 +Host server.tld
 +   IdentityFile ~/.ssh/other-key.id_rsa
 +</file>
 +
 +:!: **Achtung:** da kein Passwort abgefragt wird, muss man sicher gehen, dass keiner der privaten Schlüssel in fremde Hände fällt. Außerdem sollte eine Passphrase für den privaten Schlüssel vergeben werden.
 +
 +=== Vorgehensweise ===
 +
 +== ssh-copy-id ==
 +Das Werkzeug ssh-copy-id nimmt alle Schritte (vom Client aus) automatisch vor.
 +
 +  - man legt ggf. einen eigenen Benutzer an
 +  - RSA-Schlüssel erzeugen (dsa-keys sind unsicher; Standard sind 2048 Bit, hier auf 3072 Bit erhöht) <code bash>ssh-keygen -t rsa -b 3072</code>. Ausgabe:<file>
 +ssh-keygen -t rsa -b 3072
 +Generating public/private rsa key pair.
 +Enter file in which to save the key (/home/USER/.ssh/id_rsa): id_rsa
 +Enter passphrase (empty for no passphrase): 
 +Enter same passphrase again: 
 +Your identification has been saved in id_rsa.
 +Your public key has been saved in id_rsa.pub.
 +The key fingerprint is:
 +SHA256:hspFtyqTQd0VdPwMpgIa/FVHResMIZBJG/VgNHYi3hk freier-Kommentar-z.B.-e-Mail-oder-USER@HOST
 +The key's randomart image is:
 ++---[RSA 3072]----+
 +|     .=OE+*oo  |
 +|    o..o+O %+. . |
 +|    .+oo= ooo+.  |
 +|   ....o...  +o  |
 +|    . o S.    o  |
 +|   . = o         |
 +|    * .          |
 +|               |
 +|                 |
 ++----[SHA256]-----+
 +</file>''id_rsa'' ist der private Schlüssel und ''id_rsa.pub'' ist der öffentliche Schlüssel.
 +  - nun kopieren wir den/die Schlüssel auf den Server: man ruft <code>ssh-copy-id -i ~/.ssh/id_rsa.pub user@clientHOST</code> Ohne Angabe von -i nimmt ''ssh-copy-id'' die Existenz von  ''~/.ssh/identity.pub'' an und versucht diesen öffentlichen Schlüssel zu übertragen.
 +
 +
 +== manuell ==
 +
 +  * Auf dem Host
 +    - man legt ggf. einen eigenen Benutzer an
 +    - man ruft ''[[http://man.cx/ssh-keygen|ssh-keygen -d]]'' auf, bei neueren Versionen anders ([[debian:Debian]] Wheezy): <code bash>ssh-keygen -t dsa</code>bzw. <code bash>ssh-keygen -t rsa -b 2048</code>. Ausgabe:<file>
 +$ ssh-keygen -d
 +Generating public/private dsa key pair.
 +Enter file in which to save the key (/home/USER/.ssh/id_dsa): 
 +Created directory '/home/USER/.ssh'.
 +Enter passphrase (empty for no passphrase): 
 +Enter same passphrase again: 
 +Your identification has been saved in /home/USER/.ssh/id_dsa.
 +Your public key has been saved in /home/USER/.ssh/id_dsa.pub.
 +The key fingerprint is:
 +01:23:45:67:89:01:23:45:67:89:01:23:45:67:89:01 USER@HOST
 +</file>''id_dsa'' ist der private Schlüssel und ''id_dsa.pub'' ist der öffentliche Schlüssel.
 +    - man kopiert ''/home/USER/.ssh/id_dsa'' und ''/home/USER/.ssh/id_dsa.pub'' auf die Clients
 +    - 
 +  * auf den Clients:
 +    - den öffentlichen Schlüssel an die authorized_keys anhängen:<code>cat id_dsa.pub >> ~/.ssh/authorized_keys</code>
 +
 +:!: Das Verzeichnis ~/.ssh und die Datei ~/.ssh/authorized_keys darf nicht von der Gruppe des Benutzers beschrieben werden können. Sonst scheitert die Authentifizierung wenn der SSH-Dienst des Servers ''StrictModes'' konfiguriert hat.
 +
 +[[http://www.heise.de/netze/|Heise Netze]] beschreibt das in dem Artikel [[http://www.heise.de/netze/artikel/77475|SSH absichern]] gut.
 +
 +
 +== Konvertierung von SSH2 zu OpenSSH Format ==
 +
 +<file>
 +---- BEGIN SSH2 PUBLIC KEY ----
 +Comment: "Kommentar"
 +AAAAB3NzaC1yc2EAAAABJQAAAIBmhLUTJiP[und so weiter]==
 +---- END SSH2 PUBLIC KEY ----
 +</file>
 +zu
 +<file>ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIEAqof[und so weiter</file>
 +
 +Das erledigt dieser folgende Befehl: ''ssh-keygen -i -f $Dateiname''
 +
 +== Pubkey aus private Key erzeugen ==
 +
 +Falls der pubkey nicht vorliegt: <code bash>ssh-keygen -y -f ~/.ssh/id_rsa > ~/.ssh/id_rsa.pub</code>
 +
 +
 +==== ForwardAgent / ProxyCommand ====
 +
 +Im Normlfall meldet man sich direkt an einem Server mit seinem SSH-Schlüssel an.
 +Manchmal sind jedoch interne Server nicht direkt erreichbar sondern müssen über einen Gateway/Jumphost-Server erreicht werden.
 +
 +Für diesen Fall ist der ForwardAgent gedacht, er kann global bzw. besser für bestimmte Hosts aktiviert werden:
 +
 +<code bash>Host jumphost.domain.tld
 + ForwardAgent yes</code>
 +
 +Diese Methode hat jedoch einen **gravierenden Sicherheitsnachteil**: Während die Sitzung läuft kann vom Jumphost auf den Zielserver zugegriffen werden (in dem Sicherheitskontext wie auch der Schlüssel gilt). Somit sollte diese Funktion maximal auf/über vertrauenswürdigen Server(n) benutzt werden.
 +
 +Das Risiko ist jedoch gar nicht nötig, mit ProxyCommand lässt sich eine vergleichbare Funktionalität ohne Abstriche bei der Sicherheit bewerkstelligen.
 +
 +<code bash>
 +Host jumphost
 +        Hostname jumphost.domain.tld
 +
 +Host intern
 +        Hostname intern.domain.tld
 +        Port 2222
 +        ProxyCommand ssh -W %h:%p jumphost.domain.tld
 +</code>
 +
 +Somit ist nun intern.domain.tld mittels pubkey über den jumphost erreichbar <code bash>ssh intern</code>
 +
 +
 +==== Hostbased ====
 +Die Authentifizierung erfolgt anhand des Hostnamens und dem Benutzer, i. d. R. ohne weitere Passwortabfrage.
 +
 +
 +==== Keyboard-Interactive ====
 +FIXME incl. PAM
 +
 +
 +==== Kerberos/GSSAPI ====
 +
 +Die Authentifizierung wird durch ein [[netzwerke:Kerberos]]-Ticket wahlweise stattdessen oder zusätzlich durch andere Methoden wie Systempasswort. Ab Version 3.7 wird [[netzwerke:Kerberos]] v4 nicht mehr unterstützt.
 +
 +==== Smartcards ====
 +Man kann die privaten Schlüssel auf Smartcards speichern. OpenSSH unterstützt Cyberflex-Smartcards sowie [[http://www.opensc-project.org/|PKCS#15 unter OpenSC]].
 +
 +
 +===== Konfiguration =====
 +Bei OpenSSH werden Einstellungen 
 +  * für den (openssh-) Server: In der Datei ''/etc/ssh/sshd_config''
 +  * für (openssh-) Client: Systemweit in den Dateien ''/etc/ssh/ssh_config'' oder Benutzerspezifisch in ''~/.ssh/config''
 +vorgenommen.
 +
 +Dokumentation findet sich auch mit dem Befehl <code bash>man 5 ssh_config</code>
 +==== wichtige Dateien von SSH ====
 +
 +Die folgenden Dateien werden von SSH (und darauf basierenden Programmen wie scp) benutzt.
 +
 +^  Systemweite Einstellungen  ^^
 +^ Pfad ^ Funktion ^
 +| /etc/ssh/ssh_known_hosts | enthält eine Liste von Schlüsseln bekannter Rechner. Wird nicht automatisch erweitert. |
 +| /etc/ssh/ssh_config | Systemweite Einstellungen des SSH-Clients  |
 +| /etc/ssh/sshd_config | Systemweite Einstellungen des SSH-Servers |
 +| /etc/ssh/sshrc | Der Inhalt der Datei wird //nach// der Authentifizierung aber //vor// der Shell (oder dem Befehl) ausgeführt.  |
 +| /etc/ssh/ssh_host_dsa_key / ssh_host_dsa_key.pub | DSA-keys für den SSH-Server |
 +| /etc/ssh/ssh_host_rsa_key  | RSA-keys für den SSH-Server |
 +| /etc/ssh/ssh_host_ecdsa_key ssh_host_rsa_key.pub | ECDSA-keys für den SSH-Server  |
 +
 +
 +^  Benutzerspezifische Einstellungen  ^^^
 +^ Pfad ^ Funktion ^
 +| ~/.ssh/authorized_keys | Liste aller öffentlichen Schlüssel die für eine public-key-Authentizierung benutzt werden können|
 +| ~/.ssh/config | optional: Legt Einstellungen für entfernte Hosts fest |
 +| ~/.ssh/known_hosts | enthält eine Liste von Schlüsseln bekannter Rechner. Wird automatisch durch den Benutzer erweitert. |
 +| ~/.hushlogin | Bei Existenz wird die Ausgabe der letzten Login-Zeit und der Message-of-the-day (motd) unterdrückt. |
 +| ~/.ssh/rc | wie ''/etc/ssh/sshrc'' aber nur für diesen Benutzer |
 +| ~/.ssh/environment | Zusätzliche Umgebungsvariablen die beim Einloggen definiert werden. |
 +
 +^  Schlüssel der Benutzer  ^^
 +^ private Schlüssel  ^ SSH-Version ^
 +| ~/.ssh/identity | Version 1 RSA |
 +| ~/.ssh/id-dsa | Version 2 DSA |
 +| ~/.ssh/id_rsa | Version 2 RSA |
 +
 +:!: Die privaten Schlüssel dürfen nur vom Benutzer lesbar sein, sonst werden diese ignoriert.
 +
 +^ öffentliche Schlüssel^^
 +| ~/.ssh/identity.pub | Version 1 RSA |
 +| ~/.ssh/id_dsa.pub | Version 2 DSA |
 +| ~/.ssh/id_rsa.pub | Version 2 RSA |
 +
 +
 +^  rhost-Authentifizierung (veraltet, unsicher)  ^^
 +| /etc/hosts.equiv | enthält Rechnernamen |
 +| /etc/ssh/shosts.equiv | enthält Rechnernamen, nicht für rlogin/rsh-Zugang |
 +| ~/.rhosts | enthält Rechnernamen / Benutzer, darf nicht für andere lesbar sein |
 +| ~/.shosts | wie ''/etc/ssh/shosts.equiv'' nur benutzerspezifisch |
 +
 +:!: Anmerkung: ~ steht für das Homeverzeichnis.
 +
 +==== SSH-Keys für den SSH-Dienst neu erzeugen ====
 +
 +<code bash>
 +ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key
 +ssh-keygen -t rsa -b 2048 -f /etc/ssh/ssh_host_rsa_key
 +ssh-keygen -t ecdsa -b 521 -f /etc/ssh/ssh_host_ecdsa_key
 +/etc/init.d/ssh restart
 +</code>
 +
 +==== SSH-Passphrase hinzufügen / ändern ====
 +
 +Der private Schlüssel sollte mit einem Passwort bzw. einer Passphrase geschützt werden.
 +
 +Überprüfen ob Passphrase gesetzt (wenn ja, dann Fehlermeldung "incorrect passphrase supplied to decrypt private key"): ''ssh-keygen -y -P "" -f ~/.ssh/id_rsa''
 +
 +Änderungen der Passphrase geht einfach mit ''ssh-keygen'':
 +
 +<code bash>ssh-keygen -f ~/.ssh/id_dsa -p</code>
 +
 +bzw. bei einem RSA-Schlüssel:
 +
 +<code bash>ssh-keygen -f ~/.ssh/id_rsa -p</code>
 +
 +
 +pkcs#8-Schutz aktivieren: <code bash>openssl pkcs8 -topk8 -v2 des3 -in ~/.ssh/id_rsa.old -out ~/.ssh/id_rsa</code>
 +==== SSH-Passphrase entfernen ====
 +
 +RSA: <code bash>openssl rsa -in ~/.ssh/id_rsa -out private_key_without_pass_phrase</code>
 +ECDSA: ?
 +ED25519:?
 +==== Verbindungsabbrüche verhindern ====
 +
 +Bei häufigen **Verbindungsabbrüchen** kann man ClientAliveInterval (seit OpenSSH 3.8 auch ServerAliveInterval) statt TCPKeepAlive setzen. Das standardmäßige "''TCPKeepAlive yes''" verursacht Abbrüche auch bei kurzen Unterbrechungen (und kann sowieso von einem Angreifer gefälscht werden) während ''ClientAliveInterval'' innerhalb von (hier) 180 Sekunden eine kryptografisch kodierte Antwort von Client erwartet bevor die Verbindung abgebrochen wird.
 +
 +**Server**-config (systemweit: ''/etc/ssh/sshd_config''):
 +<file>
 +TCPKeepAlive no
 +ClientAliveInterval 180
 +</file>
 +
 +**Client**-config (systemweit: ''/etc/ssh/ssh_config'')
 +<file>
 +TCPKeepAlive no
 +ServerAliveInterval 180
 +</file>
 +Anmerkung: ServerAliveInterval ist seit OpenSSH 3.8 dabei.
 +
 +==== Einstellungen lokal abspeichern ====
 +Lange Parameterlisten kann man vermeiden indem man in Konfigurationsdateien Einstellungen hinterlegt. Diese werden Systemweit in den Dateien ''/etc/ssh/ssh_config'' oder Benutzerspezifisch in ''~/.ssh/config'' vorgenommen.
 +
 +<file>
 +Host *.domain.de
 + Port 12345
 + User ich
 + Compression yes
 + ForwardX11 yes
 +</file>
 +
 +Somit reicht der Aufruf von ssh subdomain.domain.de ohne die o.g. Einstellungen noch extra zu übergeben.
 +
 +Auch Hostname+Domain kann man schon vorgeben, somit verkürzt sich die Kommandozeile auf ''ssh RECHNER'':
 +<file>
 +host RECHNER
 + Hostname die.richtige.URL.de
 +</file>
 +
 +==== Rechner mit externen Tools verwalten ====
 +Alternativ zur Konfiguration der einzelnen Hosts kann man spezialisierte Tools benutzen. Dann wird der Aufruf über "TOOLNAME Hostalias" erfolgen, also etwa <code>sshmgr Rechner1</code>
 +
 +  * [[http://sourceforge.net/projects/sshm/|sshm]]
 +  * [[http://sshmgr.sourceforge.net/|connmgr (sshmgr)]]: Funktioniert auch mit Vervollständigung auf der [[linux:Bash]]-[[linux:Shells|Shell]]; [[programmiersprachen:Perl]]-basiert
 +
 +
 +==== SSH absichern ====
 +Als Minimum würde ich die folgenden Einstellungen in der Datei ''/etc/ssh/sshd_config'' vornehmen:
 +
 +  -  **nur Protokollversion 2** benutzen <file>Protocol 2</file>
 +  - **keine root-logins** zulassen (Administration wird ausschließlich über normale Benutzer vorgenommen und dann [[linux:rechte#su/sudo|fallweise per sudo oder bei Bedarf permanent (su) auf root-Rechte wechseln]]. Dazu muss ein Eintrag in der Datei ''/etc/sudoers'' angelegt werden (mit dem Befehl ''visudo''): <file>Benutzer1  ALL=(ALL) ALL</file>Es kann auch die Berechtigung für einzelne Aufgaben vergeben werden (zur Not auch ohne Passworteingabe)):
 +    - <file>PermitRootLogin no</file> in der ''/etc/ssh/sshd_config'' anschließend ''systemctl reload sshd''
 +    - oder nur pubkey: <file>PermitRootLogin without-password</file>
 +    - Warnmeldung + logout via /root/.ssh/authorized_keys: <file>command="echo 'Please login as the user \"debian\" rather than the user \"root\".';echo;sleep 10;exit 142" ssh-rsa some-key text
 +</file>
 +  - **Distributionsbanner** abschalten (Beispiel: SSH-2.0-OpenSSH_5.9p1 //Debian-5ubuntu1.10// :!: Version wird immer noch angezeigt, dafür gibt es keine Option):
 +    - [[ubuntu:Ubuntu]]:<file>DebianBanner no</file>
 +    - RHEL: <file>Banner none</file>
 +  - **nur bestimmten Benutzern den Login erlauben**: <file>AllowUsers Benutzer1 Benutzer2</file>
 +  - **nur bestimmten Gruppen den Login erlauben**: <file>AllowGroups Gruppe1 Gruppe2</file>
 +  - **bestimmten Benutzern den Login verbieten**: <file>DenyUsers Benutzer1 Benutzer2</file>
 +  - maximale **Anzahl der Loginversuche** begrenzen: Nur 3 Versuche (pro Verbindung) zulassen  <file>MaxAuthTries 3</file>
 +
 +=== verwendeten Pubkey loggen ===
 +
 +Vorbereitung: in der Datei authorized_keys pro Schlüssel einen Variable definieren, Beispielformat
 +
 +<file>environment="SSH_USER=Admin1" ssh-rsa $Pubkey_Admin1 $Kommentar</file>
 +
 +In der Datei ''/etc/ssh/sshrc'' können Befehle definiert werden (hier Logging des Benutzers nach syslog) die bei jedem SSH-Login ausgeführt werden:
 +
 +<code bash>
 +#!/bin/bash
 +
 +if [ "$SSH_USER" = "" ]; then
 +    logger -pauth.info "Login by unknown user as \"$USER\". \$SSH_CLIENT=$SSH_CLIENT."
 +else
 +    logger -pauth.info "Login by \"$SSH_USER\" as \"$USER\". \$SSH_CLIENT=$SSH_CLIENT."
 +fi
 +</code>
 +=== chroot SSH  ===
 +
 +Wer ganz sicher gehen will, sperrt SSH in einen Käfig (chroot von change root). Damit kann der eingesperrte Benutzer nur innerhalb seiner Ordner navigieren. Allerdings bietet bisher keine Distribution diese Funktionen von Haus aus an, also muss man selber eine gepatchte Version kompilieren und installieren.
 +
 +  * [[http://chrootssh.sourceforge.net/index.php|chrootssh.sourceforge.net]]
 +  * [[http://www.brandonhutchinson.com/chroot_ssh.html|chroot sshd/sftp]]
 +  * [[http://www.howtoforge.com/chrooted_ssh_howto_debian|Chrooted SSH HowTo]]
 +  * [[http://www.howtoforge.com/chroot_ssh_sftp_debian_etch|Chrooted SSH/SFTP Tutorial (Debian Etch)]]
 +  * [[http://www.netadmintools.com/art294.html|Build a chrooted sftp Environment]]
 +
 +=== Port-Knocking ===
 +Durch [[http://www.portknocking.org/|port knocking]] (Senden eines speziellen Pakets, erst dann wird der Port freigeschaltet) ist man vor unbekannten Sicherheitslücken (0-Day Exploits) in SSH und vor Portscans geschützt.
 +
 +  * [[http://cipherdyne.org/fwknop/|fwknop ("FireWall KNock OPerator")]]
 +  * [[http://www.linuxjournal.com/article/9565|Single Packet Authorization (Port-knocking)]]
 +
 +==== Brute-force-Attacken auf SSH ====
 +Wenn man SSH auf den Standard-Port betreibt, sieht man in den Log-Dateien eine Vielzahl von (fehlgeschlagenen) Login-Versuchen. Meist werden Standardbenutzer wie root und Standardpasswörter probiert.
 +
 +Zur Abwehr kann man [[ids:ids#Log-Based Intrusion Detection systems (LIDS)]] (wie denyhosts oder fail2ban) benutzen, die z.B. ab einer einstellbaren Anzahl von Fehlversuchen den angreifenden Rechner (temporär) sperren.
 +
 +Sauberer ist meist eine spezielle Firewallregel. Damit spart man sich die möglichen Sicherheitslücken durch das parsen der Log-Dateien die die Tools zwangsläufig durchführen müssen. Der Programmcode der im Bereich des Kernels angesiedelten Firewalls ist besser auf Sicherheitslücken überprüft.
 +
 +  * [[http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/|Block brute force attacks with iptables]]
 +  * [[http://home.nuug.no/~peter/pf/en/bruteforce.html|Firewalling with OpenBSD's PF packet filter]]
 +
 +:!: Evtl. ist es sinnvoll **auf einen hohen Port wechseln** (wenn das für die Benutzer ok ist, hier im Beispiel auf 54321): <file>Port 54321</file>
 +
 +  * [[http://www.fduran.com/wordpress/?p=21|Defending against SSH Brute force attacks]]
 +  * [[http://www.linux.com/article.pl?sid=07/02/27/1957242|sshguard: Protection for OpenSSH]]
 +
 +
 +==== Authentifizierung nur per Public-key ====
 +
 +Authentifizierung per Passwort abschalten? Dann aber vorher den pub-key generieren + auf den SSH-Server kopieren (ssh-copy)!
 +
 +<code bash>
 +echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
 +echo "PasswordAuthentication no" >> /etc/ssh/sshd_config
 +/etc/init.t/sshd reload
 +</code>
 +
 +==== SSH-Sitzungen auf Befehle und Hosts einschränken ====
 +
 +Die Datei ''.ssh/authorized_keys'' lässt sich dazu benutzen:
 +  * Den Login auf eine IP oder einen DNS-Namen zu begrenzen (hier backup.server.tld mit "from=")
 +  * Benutzer auf bestimmte Befehle festzulegen (hier den Befehl date mit command=date). Durch die Variable $SSH_ORIGINAL_COMMAND könnte ein Skript den ursprünglich übergebenen Befehl auswerten.
 +
 +<file>
 +from="backup.server.tld",command="date" ssh-rsa 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 Kommentar
 +</file>
 +
 +
 +==== upload-Benutzer auf SFTP beschränken ====
 +
 +addgroup sftponly
 +-> Benutzer zur Gruppe hinzufügen
 +
 +SSHD-Config:
 +
 +<file>
 +Subsystem sftp internal-sftp
 +Match Group sftponly
 + ChrootDirectory ~
 + ForceCommand internal-sftp -l INFO
 + AllowTcpForwarding no
 +</file>
 +
 +Ergebnis:
 +
 +<code bash>ssh webuser@HOST</code>
 +<file>this service allows sftp connections only.</file>
 +
 +<code bash>
 +#!/bin/sh
 +#
 +# erstellt einen sftponly-Benutzer,
 +# $home darf nicht vom Benutzer beschreibbar sein (wg. chroot), Unterordner schon!
 +#
 +if [ -z $1 ]; then
 + echo "Fehler: Parameter leer, Benutzung: $0 [neuer-Benutzername]"
 + exit 1
 +fi
 +
 +if [ "`id -u`" -ne 0 ]; then
 + echo "Fehler: Skript bitte mit root-Rechten aufrufen (sudo $0)"
 +fi
 +
 +user="$1"
 +home="/srv/sftp/$user"
 +
 +if [ -d "$home" ]; then
 + echo "Ordner $home existiert bereits, breche ab."
 + exit 1
 +fi
 +
 +useradd -d "$home" -G sftponly -s /bin/false "$user"
 +# adduser --home "$home" --ingroup sftponly --shell /bin/false "$user"
 +if [ $? -ne 0 ] ; then
 + echo "Fehler: Konnte Benutzer $user nicht anlegen."
 + exit 1
 +fi
 +
 +if [ ! -d "$home" ]; then
 + mkdir "$home"
 + if [ $? -ne 0 ]; then
 + echo "Fehler: konnte $home nicht anlegen, breche ab."
 + exit 1
 + fi
 +fi
 +chown root "$home"
 +chgrp "$user" "$home"
 +chmod 750 "$home"
 +
 +# ssh:
 +ssh_config_dir="$home"/.ssh
 +ssh_authorized_keys="$ssh_config_dir"/authorized_keys
 +ssh_austausch_dir="$home"/austausch
 +
 +mkdir "$ssh_config_dir"
 +chown root "$ssh_config_dir"
 +chgrp "$user" "$ssh_config_dir"
 +chmod 750 "$ssh_config_dir"
 +
 +# Sonderanforderung: der Benutzer soll die Liste der pub-keys nicht verändern dürfen (ggf. streichen)
 +touch "$ssh_authorized_keys"
 +chmod 640 "$ssh_authorized_keys"
 +chown root "$ssh_authorized_keys"
 +chgrp "$user" "$ssh_authorized_keys"
 +
 +echo "SSH-Pubkeys Bitte in die Datei $home/.ssh/authorized_keys ablegen."
 +
 +# austausch-Ordner
 +mkdir "$ssh_austausch_dir"
 +chmod 750 "$ssh_austausch_dir"
 +chown "$user" "$ssh_austausch_dir"
 +chgrp "$user" "$ssh_austausch_dir"
 +chmod g+w "$ssh_austausch_dir"
 +</code>
 +
 +==== SFTP-Benutzung ====
 +
 +einzelne Datei:
 +  * download: sftp {user}@{host}:{remoteFileName} {localFileName}
 +  * upload: sftp {user}@{host}:{remote_dir} <<< $'put {local_file_path}'
 +
 +https://stackoverflow.com/questions/16721891/single-line-sftp-from-terminal
 +https://www.tecmint.com/sftp-upload-download-directory-in-linux/
 +==== schnellerer Verbindungsaufbau (ControlMaster) ====
 +[[http://www.openssh.com/|OpenSSH]] ab Version 4.0 enthält ein neues Feature: ControlMaster. Damit geht der Verbindungsaufbau bei mehrfachen Verbindungen deutlich schneller weil die aktuell existierende Verbindung erneut benutzt wird. 
 +
 +  * [[http://www.linux.com/article.pl?sid=06/05/19/145227|Accelerating (initiating) OpenSSH connections with ControlMaster]]
 +
 +
 +==== DSA-keys erlauben ====
 +
 +OpenSSH 7.0 deaktivert dsa-Schlüssel standardmäßig (weil diese unsicher sind ((Schlüssellänge 1024Bit fix und ein schwacher Zufallszahlengenerator führt zur Möglichkeit den privaten Schlüssel nur durch passives Mitschneiden des Verkehrs zu erlangen)): 
 +<file>PubkeyAcceptedKeyTypes=+ssh-dss</file>
 +===== spezielle Anwendungen =====
 +
 +==== sshfs ====
 +Mit [[wpde>SSHFS]] steht unter Linux (und [[http://dokan-dev.net/en/category/sshfs/|Windows]]) ein [[wpde>Userspace]]-Dateisystem basierend auf [[wpde>Filesystem_in_Userspace|FUSE]] zur Verfügung. Damit kann man ganze Verzeichnisbäume in das lokale Dateisystem am sog. [[wpde>Mountpoint]] einhängen. Ab [[wpde>Betriebssystemkern|Kernel]]version 2.6.14 gehört [[wpde>Filesystem_in_Userspace|FUSE]] standardmäßig zum Kernel.
 +
 +[[http://www.debianadmin.com/mount-a-remote-file-system-through-ssh-using-sshfs.html|Mount a remote file system through ssh Using sshfs]]
 +
 +=== Links ===
 +
 +  * [[https://wiki.archlinux.de/title/Sshfs|sshfs]]
 +
 +=== mounten ===
 +
 +  sshfs ssh-konto@ssh-server:[PFAD] mount-point
 +
 +Für den Befehl muss unter Ubuntu das Paket sshfs mit <code>apt-get install sshfs</code>  installiert und evtl. mit <code>sudo modprobe fuse</code> das Kernelmodul für FUSE geladen werden.
 +
 +Nützlich können sich die Optionen (Parameter -o) und dann die folgenden Schlüsselwörter: 
 +  * '' reconnect'' für das erneute Verbinden,
 +  * transform_symlinks und follow_symlinks verbessern das Verhalten bei Symlinks
 +  * ''uid=Zahl'' und ''guid=Zahl'' sowie diverse caching Einstellungen auswirken (siehe Befehl ''man sshfs'').
 +
 +Beispielaufruf:
 +<code bash>sshfs DATEISERVER:/srv /media/MOUNTPOINT -o reconnect,Ciphers="blowfish-cbc"</code>
 +
 +Ein permanenter Eintrag in der /etc/fstab erleichtert das mounten enorm:
 +<file>
 +sshfs#root@DATEISERVER:/srv MOUNTPOINT fuse user,noauto 0 0
 +</file>
 +
 +Die oben genannten Optionen können hier ebenfalls angegeben werden ((''noauto'' sorgt dafür das nicht beim booten eingehängt wird, was bei einem unbeaufsichtigtem Server und Passwortabfrage schlecht wäre)):
 +<file>
 +sshfs#root@fDATEISERVER:/srv /media/MOUNTPOINT fuse user,noauto,reconnect,Ciphers="blowfish-cbc" 0 0
 +</file>
 +
 +Anschließend reicht ein einfaches ''mount /media/MOUNTPOINT'' für den Zugriff auf die Daten. Auch das unmounten ist jetzt einfacher: ''umount /media/MOUNTPOINT'' .
 +
 +
 +=== unmount ===
 +
 +  fusermount -u mount-point
 +
 +Beim Eintrag in der /etc/fstab reicht ''umount mount-point''.
 +
 +==== Dateiübertragung über eine existierende SSH-Verbindung ====
 +Wenn man nicht eine zweite SSH-Verbindung aufbauen will (gerade bei Sprüngen über mehrere Systeme kann das nervig sein), braucht man ''zssh''. Das ist ein Programm, das sich um ssh "herumlegt" (ein sog. "wrapper") und Datenaustausch mittels zmodem-Protokoll bietet.
 +
 +Man muss es nur auf der lokalen Computer installieren (''apt-get install zssh'' bei Debian/Ubuntu) **und** auf dem entfernten Rechner "lrzsz".
 +
 +Eventuell erzeugt man sich einen Alias in der ''~/.bashrc'', neue Zeile mit:
 +  alias ssh=zssh
 +damit wird bei der Eingabe von ''ssh'' automatisch mit ''zssh'' ersetzt. Dies ist für die Bash-Shell angegeben, aber nicht unbedingt nötig.
 +
 +Auf dem verbundenen Rechner/Server muss man dann nur noch mit STRG-Leertaste in den interaktiven Modus gehen.
 +
 +Um eine Datei zu senden gibt man
 +  sz -e <Datei>
 +ein. Der Parameter "-e" vermeidet Fehler bei fehlerhaften 8-Bit-Terminals.
 +
 +
 +==== SSH-Shells ====
 +SSH ist als sichere Variante zu ftp(s) beim Upload von Dateien nützlich. Dennoch muss man dafür dem Benutzer auch einen Login geben der es dem Benutzer emöglicht Programme und andere Tätigkeiten auszuführen die evtl. sicherheitskritisch sind. Spezielle Shells (technisch meist genauer "wrapper") beschränken die Funktionalität von SSH.
 +
 +  * [[http://chainssh.sourceforge.net/|chainssh]]: Kürzt mehrere Logins hintereinander ab
 +  * [[http://sublimation.org/scponly/wiki/index.php/Main_Page|scponly]]: Erlaubt nur Lese- und Schreibzugriff auf lokale Dateien
 +  * [[http://codeprodigytech.com/rssh/|rssh]]: Erlaubt nur scp und/oder sftp, [[linux:chroot]] ist auch möglich. Es wird aber auch rdist, [[linux:backup#rsync]] und cvs unterstützt.
 +
 +==== Fingerprint nicht überprüfen ====
 +
 +Bei der ersten Verbindung zu einem neuen SSH-Server fragt SSH nach ob der Fingerprint stimmt and speichert ihn in ''~/.ssh/known_hosts'' ab. Bei späteren Verbindungen kommt nur noch eine Nachfrage falls sich der Serverschlüssel geändert hat.
 +Wenn dies der Fall ist wird die Verbindung abgebrochen und der (fehlerhafte?) Eintrag muss aus der known_hosts gelöscht werden.
 +
 +Ein geänderter Schlüssel hat diese Ursachen:
 +  - Der SSH-dienst oder der Rechner wurde neu installiert ohne den alten Schlüssel zu übertragen
 +  - der Schlüssel wurde ausgetauscht
 +  - der DNS-Name zeigt nun auf einen anderen Rechner
 +  - ein Angreifer (man-in-the-middle) versucht sich zwischen Server und Client zu schmuggeln
 +
 +In manchen Fällen kann dies störend sein (häufig wechselnde Testsysteme) und der Sicherheitsverlust (kein Überprüfung des Servers!) mag nicht relevant sein.
 +
 +Eine Umgehung des Sicherheitschecks ist einerseits durch StrictHostKeyChecking no und der Umstellung von UserKnownHostsFile auf /dev/null (was immer eine leere Antwort gibt) möglich:
 +
 +<file>
 +Host 192.168.0.*
 +   StrictHostKeyChecking no
 +   UserKnownHostsFile=/dev/null
 +</file>
 +
 +Für Produktivsysteme oder im Internet sind diese Einstellungen absolut nicht empfohlen, da damit ein grundlegender Sicherheitsmechanismus ausgehebelt wird. Ggf. sollte eher über eine Verteilung geänderter Fingerprints nachgedacht werden.
 +
 +
 +
 +==== Fingerprint aktualisieren ====
 +
 +Wer viele SSH-Server zu verwalten hat möchte man mit Automatisierungsprogrammen wie dsh nicht drüber gehen wenn bei jedem Aufruf erstmal gefragt wird ob der unbekannte SSH-Fingerprint vertrauenswürdig ist. Statt StrictHostKeyChecking abzuschalten könnte man sich auch vorher die aktuelle Liste der Fingerprint aktualisieren und damit spätere Nachfragen vermeiden. Das Programm ssh-keyscan erledigt diese Aufgabe komfortabel.
 +
 +<code bash>
 +#!/bin/sh
 +keytype="rsa,ecdsa,ed25519"
 +#
 +# keytype: specifies the type of the key to fetch from the scanned hosts.  The possible values are “rsa1” for protocol version 1 and “dsa”, “ecdsa”, “ed25519”, or “rsa” for
 +#    protocol version 2.  Multiple values may be specified by separating them with commas.  The default is to fetch “rsa” and “ecdsa” key
 +
 +hostfile="alle-Server.txt"
 +
 +# kann natürlich auch per Variable gefüllt werden:
 +# for h in $SERVER_LIST; do
 +for h in $(cat "$hostfile"); do
 +    ip=$(dig +short $h)
 +    ssh-keyscan -t $keytype $ip >> ~/.ssh/known_hosts
 +    ssh-keyscan -t $keytype $h >> ~/.ssh/known_hosts
 +done
 +</code>