Administratorhandbuch:SSH und https

Aus Delixs
Zur Navigation springen Zur Suche springen


Baustelle Archiv: Dieser Artikel beschreibt nicht die Funktionalität des derzeit aktuellen delixs-Servers. Er beschreibt ältere Schulserver-Funktionen und dient dem Zweck der Archivierung.


Warum https

Bauen Sie durch Eingabe von http://arktur.schul-netz.de im Browser eine normale Internetverbindung auf, so werden alle Daten unverschlüsselt übers Netz übertragen. Dies ist auch völlig ausreichend, wenn Sie sich nur den Inhalt einer Homepage anschauen wollen. Spätestens beim Bieten in Ebay wird es aber kritisch. Jeder, der dort Ihre Kennung und Ihr Passwort auslesen kann, kann auf Ihren Namen teuer einkaufen. Und Sie haben neben vielem Ärger möglicherweise auch noch einen erheblichen finanziellen Schaden. Um dies zu vermeiden, wird in einem solchen Fall die Internetverbindung verschlüsselt. Dies geht ganz einfach durch Eingabe von https:// statt http:// im Browser. Die hierbei verwendete SSL-Verschlüsselung sollte im Normalfall ausreichen.

Im Intranet einer Schule sind die übermittelten Daten meist nicht so kritisch. Aber die Gefahr, dass die Daten abgehört werden, ist in großen Schulnetzen durchaus gegeben. Die Webinterfaces von Arktur (arktur/online, arktur/admin und arktur/admin2) können Sie auch unverschlüsselt über http:// ansprechen, was bei kleinen Netzen problemlos ist. Der Browser wird Sie allerdings warnen, dass kritische Daten wie das Passwort beim Einloggen unverschlüsselt übers Netz gehen.

Wollen Sie auf Nummer sicher gehen oder im Unterricht das Kapitel Sicherheit im Internet behandeln, so sollten Sie https verwenden, also https://arktur/online, https://arktur/admin und https://arktur/admin2 eingeben.


Webinterface über https

Geben Sie in einem Browser https://arktur/online ein, so werden Sie beim ersten Aufruf eine Warnmeldung erhalten :

Warnmeldung
Abbildung: Warnmeldung beim ersten Verwenden von https


Die Ursache für diese Warnmeldung wird klar, wenn Sie auf Details klicken.


Warnmeldung im Detail
Abbildung: Warnmeldung im Detail


Im Normalfall legimitiert sich ein https-Server durch ein Zertifikat, das bei einer unabhängigen Stelle im Internet hinterlegt wurde. Dies einzurichten ist mit erheblichem Zeitaufwand und mit Kosten verbunden. Deswegen wird beim Arktur-Schulserver ein selbst erstelltes Zertifikat verwendet.

Schließen Sie nun das Fenster Details und klicken Sie auf Fortsetzen.


Zertifikat dauerhaft akzeptiert
Abbildung: Zertifikat dauerhaft akzeptiert


Am besten akzeptieren Sie das Zertifikat dauerhaft und nicht nur für diese Sitzung.


Eingeloggt per https
Abbildung: Eingeloggt per https


Sie sind nun per https mit dem Online-Interface verbunden. Erkenntlich ist dies an dem gelben Untergrund und dem Schloss in der URL-Zeile. Wenn Sie Ihr Passwort ändern oder Ihre E-Mail lesen wollen, gehen alle Informationen ab sofort verschlüsselt übers Netz.


Warum SSH

Für den Zugriff auf Arktur sollten Sie statt "telnet" generell "ssh" verwenden. Bei telnet werden nämlich alle Informationen, also auch Passwörter unverschlüsselt übers Netz übertragen. Bei ssh hingegen werden sämtliche übertragenen Daten verschlüsselt. Die unverschlüsselte Übertragung wird bei telnet zur Sicherheitslücke, wenn es jemandem gelingt, den Netzwerkverkehr zu belauschen.

Gewöhnen Sie es sich deshalb am besten gleich an, bei der Fernwartung von Arktur als Administrator (root oder sysadm) von einem Client aus immer ssh zu verwenden. Sie können zwar telnet auf Arktur einschalten, sollten dies aber nicht tun. Solange Sie sich nur aus dem Intranet auf Arktur einloggen, ist eine einfache ssh-Verbindung mit Benutzerkennung und Passwort ausreichend, wie sie in diesen Kapitel beschrieben wird.

Sollten Sie sich per Einwahl oder gar aus dem Internet mit Arktur verbinden, so sollten sie den Sicherheitslevel erhöhen. Weitere ausführliche Informationen dazu finden Sie im Administratorhandbuch im Kapitel SSH-Server und SSH-Client.


Eine SSH-Verbindung aufbauen

SSH-Verbindung mittels Konsole

Der Aufbau einer SSH-Verbindung zu Arktur erfolgt immer nach dem gleichen Schema. Am einfachsten ist die Benutzung der Konsole und des ssh-Befehls an einem Linux-Client:


Anmelden als root
Abbildung: Anmelden als root


Hier geben Sie einfach folgenden Befehl ein 

 ssh <Benutzer>@arktur

In der Abbildung ist als Benutzer root gewählt, es könnte sich aber genau so gut um sysadm oder irgendeinen anderen Benutzer handeln.

Haben Sie den obigen Befehl mit <Enter> abgeschlossen, so wird von Ihnen beim ersten Mal (und nur dann) noch eine Bestätigung verlangt, dass es sich bei Arktur wirklich um den gewünschten Rechner handelt.


Bestätigung des Fingerprints
Abbildung: Bestätigung des Fingerprints


Wenn Sie sicher sind, dass alles in Ordnung ist, bestätigen Sie die Abfrage mit yes. Damit ist Arktur in die Liste der für SSH bekannten Rechner aufgenommen. Der Versuch, Ihnen zum Passwort hacken einen anderen Rechner unter dem Namen Arktur vorzuspiegeln, ist damit zum Scheitern verurteilt. Allerdings müssen Sie nach einer Neuinstallation von Arktur, der dann einen anderen SSH-Key hat, den Eintrag in der Schlüsseldatei auf dem Client manuell löschen (bei Linux ./ssh/knownhosts im jeweiligen Benutzerverzeichnis).


ssh-Schlüssel
Abbildung: Der ssh-Schlüssel von Arktur ist auf dem Client gespeichert


Jetzt müssen Sie Ihr Passwort eingeben, und die Verbindung zu Arktur steht.

Welche Shell auf Arktur Sie erhalten haben, hängt davon ab, wer sich eingeloggt hat. Der Benutzer root erhält "/bin/bash", sysadm die sysadm-Shell und der normale Benutzer kann lediglich sein Passwort ändern. Wie Sie diese Standardshell eines Nutzers ändern können, wird im Kapitel Shelleinrichten im Installationshandbuch beschrieben.

Das Ausloggen geschieht bei der Passwortänderung oder bei der sysadm-Shell automatisch, als root oder Nutzer mit Vollzugang geben Sie den Befehl exit ein.


Ausloggen an Arktur
Abbildung: Ausloggen an Arktur


SSH-Verbindung mittels kssh (Linux)

Etwas komfortabler ist die Benutzung eines ssh-Programms wie kssh.


Einloggen via kssh
Abbildung: Einloggen via kssh


Sie müssen nur bei Host: arktur und bei Username: den gewünschten Benutzer eintragen und Connect drücken. Weiter geht es wie oben.


Mit kssh auf Arktur
Abbildung: Mit kssh auf Arktur


SSH-Verbindung mittels PuTTY (Windows)

Unter Windows können Sie statt kssh das Programm putty nutzen. Sie finden es nach der Installation in "P:\software" oder auch direkt auf der Arktur-CD.

Nach dem Start von PuTTY tragen Sie bei Hostname arktur ein. Dann kontrollieren Sie, dass beim Protokoll ssh (mit Port 22) angewählt ist.


PuTTY-Einstellungen
Abbildung: PuTTY-Einstellungen


Bevor Sie durch Drücken von Open die Verbindung zu Arktur herstellen, sollten Sie noch den Zeichensatz für PuTTY in Window/Translation auf UTF-8 umstellen, damit alle Zeichen richtig angezeigt werden.


Zeichensatz anpassen
Abbildung: Zeichensatz anpassen


Sie sollten auch noch die Schriftart umstellen, sonst können manche Zeichen falsch aussehen.


Schriftart anpassen
Abbildung: Schriftart anpassen


Beim ersten Start fragt Sie PuTTY, ob Sie den Fingerprint von Arktur annehmen wollen.


Fingerprint von Arktur bestätigen
Abbildung: Fingerprint von Arktur bestätigen


Haben Sie hier mit Ja bestätigt, so werden Sie anschließend zuerst nach Ihrem Benutzernamen (login as) und dann nach Ihrem Passwort gefragt. Wie oben sind Sie jetzt in Ihrer Shell auf Arktur.


zurück | Hauptseite
Abgerufen von „https://wiki.sachsen.schule/dwiki/index.php?title=Administratorhandbuch:SSH_und_https&oldid=8819