155222

Sicher mit OpenSSH

08.01.2009 | 12:12 Uhr |

Können Sie sich als Systemverwalter die Administration Ihrer Server ohne OpenSSH vorstellen? Wir zeigen Ihnen, wie Sie den Einsatz von OpenSSH noch effektiver und sicherer gestalten.

Jeder Secure-Shell-Server erhält einen individuellen Schlu¨ssel
Vergrößern Jeder Secure-Shell-Server erhält einen individuellen Schlu¨ssel

DAS SECURE-SHELL-PROTOKOLL ist aus der heutigen Systemadministration rund um Linux nicht mehr wegzudenken. SSH sorgt für eine sichere und stabile Verbindung und Datenübertragung durch die Weiten des Internet: Sicher, weil SSH Version 2 auf moderne Verschlüsselungsstandards wie AES-192 (Advanced Encryption Standard, 192 Bit) setzt. Stabil, weil das Protokoll die Benutzerdaten durch Prüfsummen in den Kopfzeilen gegen Datenverluste schützt. Secure Shell ist ein TCP-Protokoll, dessen Serverdienste im Regelfall auf Port 22 laufen. Bei einem SSH-Server spricht man auch vom SSHD (Secure Shell Daemon), der im Hintergrund läuft und nach eingehenden Verbindungen lauscht.

Erste Anlaufstelle: Das Open-SSHProjekt
Vergrößern Erste Anlaufstelle: Das Open-SSHProjekt

SSH-Client an Bord
OpenSSH ist der bekannteste Client für Secure-Shell-Anwendungen. Bei aktuellen Linux-Distributionen kommen 4.x-Versionen von OpenSSH zum Einsatz. Da OpenSSH im Umfeld der auf Sicherheit getrimmten BSD-Distribution OpenBSD entwickelt wird, unterliegt OpenSSH den harten Sicherheitsanforderungen dieses Projekts. Um sich über den aktuellen Stand der Sicherheit von OpenSSH zu informieren, empfehlen sie die Webseiten www.se cunia.com oder www.security-focus.com. Für Windows gibt es ebenfalls einige SSH-Implementierungen – der Favorit unter den freien Lösungen ist PuTTY (www.chiark.greenend.org.uk/~sgtatham/putty). Interessant ist auch WinSCP (www.winscp.net), eine grafische Erweiterung von PuTTY um die Dienste Secure Copy (SCP) und Secure File Transfer Protocol (SFTP).

Einmalig: Serverschlüssel
Jeder SSH-Server besitzt einen individuellen Serverschlüssel, der vor dem Erststart des SSHD erstellt wird. Die drei notwendigen Schlüssel finden Sie im Verzeichnis /etc/ssh:
ssh_host_dsa_key[.pub]
ssh_host_key[.pub]
ssh_host_rsa_key[.pub]
Wenn Sie zum ersten Mal eine Verbindung mit einem SSH-Client zum SSH-Server aufbauen, erscheint eine Warnmeldung, die Sie mit y[es] bestätigen, um den Localhost (RSA) in die Liste der bekannten Hosts einzutragen. Der Public Key (RSA) wird in der Datei ~/.ssh/known_hosts abgelegt. Ändert sich der Server-Schlüssel, so werden Sie mit einer Meldung alarmiert. Die Änderung könnte auf einer Man-inthe- Middle-Attacke basieren, bei der ein Hacker versucht, sich zwischen SSH-Client und -Server einzuklinken, um Kennwörter auszuspähen. Abhilfe gegen diese Spionage schafft der Einsatz von öffentlichen Schlüsseln zur Authentifizierung.

0 Kommentare zu diesem Artikel
155222