Administratorhandbuch:SSH und https: Unterschied zwischen den Versionen
(neue Bilder) |
(Rechtschreibung) |
||
| Zeile 5: | Zeile 5: | ||
== Warum https == | == Warum https == | ||
Bauen Sie durch Eingabe von http://arktur.schul-netz.de im Browser eine normale | Bauen Sie durch Eingabe von http://arktur.schul-netz.de im Browser eine normale Internetverbindung auf, so werden alle Daten unverschlüsselt übers Netz übertragen. Dies ist auch völlig ausreichend, wenn Sie sich nur den Inhalt einer Homepage anschauen wollen. Spätestens beim Bieten in Ebay wird es aber kritisch. Jeder, der dort Ihre Kennung und Ihr Passwort auslesen kann, kann auf Ihren Namen teuer einkaufen. Und Sie haben neben vielem Ärger möglicherweise auch noch einen erheblichen finanziellen Schaden. Um dies zu vermeiden, wird in einem solchen Fall die Internetverbindung verschlüsselt. Dies geht ganz einfach durch Eingabe von ''https://'' statt ''http://'' im Browser. Die hierbei verwendete ssl-Verschlüsselung sollte im Normalfall ausreichen. | ||
Im Intranet einer Schule sind die übermittelten Daten meist nicht so kritisch. Aber die Gefahr, dass die Daten abgehört werden, ist in großen Schulnetzen schon gegeben. Die Webinterfaces von Arktur (arktur/online, arktur/admin und arktur/admin2) können deswegen auch unverschlüsselt über '''http://''' angesprochen werden. Der Browser wird Sie allerdings warnen, dass kritische Daten wie das Passwort beim Einloggen unverschlüsselt übers Netz gehen. | |||
Wollen Sie auf Nummer sicher gehen oder im Unterricht das Kapitel Sicherheit im Internet behandeln, so sollten Sie ''https'' verwenden, also https://arktur/online, https://arktur/admin und https://arktur/admin2 eingeben. | |||
=== Webinterface über https === | |||
Geben Sie in einem Browser https://arktur/online ein, so werden Sie beim ersten Aufruf eine Warnmeldung erhalten : | |||
:[[Bild:Https1.jpg|Warnmeldung]] | |||
:''Abbildung: Warnmeldung beim ersten Verwenden von https'' | |||
:[[Bild:Https1.jpg]] | |||
:Abbildung: Warnmeldung beim ersten Verwenden von https | |||
| Zeile 25: | Zeile 23: | ||
:[[Bild:Https2.jpg]] | :[[Bild:Https2.jpg|Warnmeldung im Detail]] | ||
:Abbildung: Warnmeldung im | :''Abbildung: Warnmeldung im Detail'' | ||
Im Normalfall legimitiert sich ein SSH-Server durch ein Zertifikat, das bei einer unabhängigen Stelle im Internet hinterlegt wurde. Dies einzurichten ist mit erheblichem Zeitaufwand und mit Kosten verbunden. Deswegen wird | Im Normalfall legimitiert sich ein SSH-Server durch ein Zertifikat, das bei einer unabhängigen Stelle im Internet hinterlegt wurde. Dies einzurichten ist mit erheblichem Zeitaufwand und mit Kosten verbunden. Deswegen wird beim Arktur-Schulserver ein selbst erstelltes Zertifikat verwendet. | ||
Schließen Sie nun das Fenster Details und klicken Sie auf ''Fortsetzen''. | Schließen Sie nun das Fenster Details und klicken Sie auf ''Fortsetzen''. | ||
:[[Bild:Https3.jpg]] | :[[Bild:Https3.jpg|Zertifikat dauerhaft akzeptiert]] | ||
:Abbildung: | :''Abbildung: Zertifikat dauerhaft akzeptiert'' | ||
Am besten | Am besten akzeptieren Sie das Zertifikat dauerhaft und nicht nur für diese Sitzung. | ||
:[[Bild:Https4.jpg]] | :[[Bild:Https4.jpg|Eingeloggt per https]] | ||
:Abbildung: Eingeloggt per https | :''Abbildung: Eingeloggt per https'' | ||
Sie sind nun per https mit dem Online-Interface verbunden. Erkenntlich ist dies an dem gelben Untergrund und dem | Sie sind nun per '''https''' mit dem Online-Interface verbunden. Erkenntlich ist dies an dem gelben Untergrund und dem Schloss in der URL-Zeile. Wenn Sie Ihr Passwort ändern oder Ihre E-Mail lesen wollen, gehen alle Informationen ab sofort verschlüsselt übers Netz. | ||
== Warum SSH == | == Warum SSH == | ||
Für den Zugriff auf Arktur sollten Sie statt "telnet" generell "ssh" verwenden. Bei telnet werden nämlich alle Informationen, also auch Passwörter unverschlüsselt übers Netz übertragen. ssh verschlüsselt | Für den Zugriff auf Arktur sollten Sie statt "telnet" generell "ssh" verwenden. Bei telnet werden nämlich alle Informationen, also auch Passwörter unverschlüsselt übers Netz übertragen. Bei ssh hingegen werden sämtliche übertragenen Daten verschlüsselt. Die unverschlüsselte Übertragung wird bei telnet zur Sicherheitslücke, wenn es jemandem gelingt, den Netzwerkverkehr zu belauschen. | ||
Gewöhnen Sie es sich deshalb am besten gleich an, bei der Fernwartung von Arktur als Administrator (root oder sysadm) von einem Client aus immer ssh zu verwenden. Sie können zwar telnet auf Arktur einschalten, sollten dies aber nicht tun. Solange Sie sich nur aus dem Intranet auf Arktur einloggen, ist eine einfache ssh-Verbindung mit Benutzerkennung und Passwort ausreichend, wie sie in diesen Kapitel anschließend beschrieben wird. | |||
Sollten Sie sich per Einwahl oder gar aus dem Internet mit Arktur verbinden, so sollten sie den Sicherheitslevel erhöhen. Weitere ausführliche Informationen dazu finden Sie im Administratorhandbuch im Kapitel [[Administratorhandbuch:SSH|SSH-Server und SSH-Client]]. | |||
=== Eine SSH-Verbindung aufbauen === | |||
Der Aufbau einer SSH-Verbindung zu Arktur erfolgt immer nach dem gleichen Schema. Am einfachsten ist die Benutzung der Konsole und des ssh-Befehls an einem Linux-Client: | |||
:[[Bild:Ssh1.jpg|Anmelden als root]] | |||
:''Abbildung: Anmelden als root'' | |||
Hier geben Sie einfach folgenden Befehl ein | |||
<pre> | |||
ssh <Benutzer>@arktur | |||
</pre> | |||
In der Abbildung ist als Benutzer ''root'' gewählt, es könnte sich aber genau so gut um ''sysadm'' oder irgendeinen anderen Benutzer handeln. | |||
Haben Sie den obigen Befehl mit <Enter> abgeschlossen, so wird von Ihnen beim ersten Mal (und nur dann) noch eine Bestätigung verlangt, dass es sich bei Arktur wirklich um den gewünschten Rechner handelt. | Haben Sie den obigen Befehl mit <Enter> abgeschlossen, so wird von Ihnen beim ersten Mal (und nur dann) noch eine Bestätigung verlangt, dass es sich bei Arktur wirklich um den gewünschten Rechner handelt. | ||
:[[Bild:Ssh2.jpg]] | :[[Bild:Ssh2.jpg|Bestätigung des Fingerprints]] | ||
:Abbildung: | :''Abbildung: Bestätigung des Fingerprints'' | ||
Wenn Sie sicher sind, dass alles in Ordnung ist, bestätigen Sie die Abfrage mit ''yes''. Damit ist Arktur in die Liste der für SSH bekannten Rechner aufgenommen. Der Versuch, Ihnen zum | Wenn Sie sicher sind, dass alles in Ordnung ist, bestätigen Sie die Abfrage mit ''yes''. Damit ist Arktur in die Liste der für SSH bekannten Rechner aufgenommen. Der Versuch, Ihnen zum Passwort hacken einen anderen Rechner unter dem Namen Arktur vorzuspiegeln, ist damit zum Scheitern verurteilt. Allerdings müssen Sie nach einer Neuinstallation von Arktur, der dann einen anderen SSH-Key hat, den Eintrag in der Schlüsseldatei auf dem Client manuell löschen (bei Linux ./ssh/knownhosts im jeweiligen Benutzerverzeichnis). | ||
:[[Bild:Ssh3.jpg]] | :[[Bild:Ssh3.jpg|ssh-Schlüssel]] | ||
:Abbildung: Der ssh-Schlüssel von Arktur ist auf dem Client gespeichert | :''Abbildung: Der ssh-Schlüssel von Arktur ist auf dem Client gespeichert'' | ||
Jetzt müssen Sie Ihr Passwort eingeben, und die Verbindung zu Arktur steht. | Jetzt müssen Sie Ihr Passwort eingeben, und die Verbindung zu Arktur steht. | ||
Welche Shell auf Arktur Sie erhalten haben, hängt davon ab, wer sich eingeloggt hat. | Welche Shell auf Arktur Sie erhalten haben, hängt davon ab, wer sich eingeloggt hat. Der Benutzer ''root'' erhält "/bin/bash", ''sysadm'' die sysadm-Shell und der normale Benutzer kann lediglich sein Passwort ändern. Wie Sie diese Standardshell eines Nutzers ändern können, wird im Kapitel [[Installationshandbuch:Shelleinrichten|Shelleinrichten]] im Installationshandbuch beschrieben. | ||
Das Ausloggen geschieht bei der Passwortänderung oder bei der sysadm-Shell automatisch, als root geben Sie den Befehl ''exit'' ein. | Das Ausloggen geschieht bei der Passwortänderung oder bei der sysadm-Shell automatisch, als ''root'' oder Nutzer mit Vollzugang geben Sie den Befehl ''exit'' ein. | ||
:[[Bild:Ssh4.jpg]] | :[[Bild:Ssh4.jpg|Ausloggen an Arktur]] | ||
:Abbildung: Ausloggen an Arktur | :''Abbildung: Ausloggen an Arktur'' | ||
Etwas komfortabler ist die Benutzung eines ssh- | Etwas komfortabler ist die Benutzung eines ssh-Programms wie ''kssh''. | ||
:[[Bild:Ssh5.jpg]] | :[[Bild:Ssh5.jpg|Einloggen via kssh]] | ||
:Abbildung: Einloggen via kssh | :''Abbildung: Einloggen via kssh'' | ||
| Zeile 104: | Zeile 107: | ||
:[[Bild:Ssh6.jpg]] | :[[Bild:Ssh6.jpg|Mit kssh auf Arktur]] | ||
:Abbildung: Mit kssh auf Arktur | :''Abbildung: Mit kssh auf Arktur'' | ||
Unter Windows | Unter Windows können Sie statt ''kssh'' das Programm ''putty'' nutzen. Sie finden es nach der Installation in "P:\software" oder auch direkt auf der Arktur-CD. | ||
Nach dem Start von PuTTY tragen Sie bei Hostname ''arktur'' ein. Dann kontrollieren Sie, dass beim Protokoll ''ssh'' ( mit Port 22) angewählt ist. | Nach dem Start von PuTTY tragen Sie bei Hostname ''arktur'' ein. Dann kontrollieren Sie, dass beim Protokoll ''ssh'' (mit Port 22) angewählt ist. | ||
:[[Bild:Putty1.png]] | :[[Bild:Putty1.png|PuTTY-Einstellungen]] | ||
:Abbildung: PuTTY-Einstellungen | :''Abbildung: PuTTY-Einstellungen'' | ||
Bevor Sie durch Drücken von ''Open'' die Verbindung zu Arktur herstellen, sollten Sie noch den Zeichensatz für PuTTY in ''Window/Translation'' auf UTF-8 und die Schriftart umstellen, damit alle Zeichen richtig angezeigt werden. | Bevor Sie durch Drücken von ''Open'' die Verbindung zu Arktur herstellen, sollten Sie noch den Zeichensatz für PuTTY in ''Window/Translation'' auf UTF-8 und auch die Schriftart umstellen, damit alle Zeichen richtig angezeigt werden. | ||
:[[Bild:Putty2.png]] | :[[Bild:Putty2.png|Zeichensatz anpassen]] | ||
:Abbildung: Zeichensatz anpassen | :''Abbildung: Zeichensatz anpassen'' | ||
:[[Bild:Putty2a.png]] | :[[Bild:Putty2a.png|Schriftart anpassen]] | ||
:Abbildung: | :''Abbildung: Schriftart anpassen'' | ||
| Zeile 132: | Zeile 135: | ||
:[[Bild:Putty3.jpg]] | :[[Bild:Putty3.jpg|Fingerprint von Arktur bestätigen]] | ||
:Abbildung: | :''Abbildung: Fingerprint von Arktur bestätigen'' | ||
Version vom 30. Dezember 2005, 13:41 Uhr
|
Nach Meinung des Autors ist diese Seite fertig. Es wäre schön, wenn ausgiebige Tests durch viele Nutzer eventuell noch vorhandene Fehler beseitigen helfen. |
Warum https
Bauen Sie durch Eingabe von http://arktur.schul-netz.de im Browser eine normale Internetverbindung auf, so werden alle Daten unverschlüsselt übers Netz übertragen. Dies ist auch völlig ausreichend, wenn Sie sich nur den Inhalt einer Homepage anschauen wollen. Spätestens beim Bieten in Ebay wird es aber kritisch. Jeder, der dort Ihre Kennung und Ihr Passwort auslesen kann, kann auf Ihren Namen teuer einkaufen. Und Sie haben neben vielem Ärger möglicherweise auch noch einen erheblichen finanziellen Schaden. Um dies zu vermeiden, wird in einem solchen Fall die Internetverbindung verschlüsselt. Dies geht ganz einfach durch Eingabe von https:// statt http:// im Browser. Die hierbei verwendete ssl-Verschlüsselung sollte im Normalfall ausreichen.
Im Intranet einer Schule sind die übermittelten Daten meist nicht so kritisch. Aber die Gefahr, dass die Daten abgehört werden, ist in großen Schulnetzen schon gegeben. Die Webinterfaces von Arktur (arktur/online, arktur/admin und arktur/admin2) können deswegen auch unverschlüsselt über http:// angesprochen werden. Der Browser wird Sie allerdings warnen, dass kritische Daten wie das Passwort beim Einloggen unverschlüsselt übers Netz gehen.
Wollen Sie auf Nummer sicher gehen oder im Unterricht das Kapitel Sicherheit im Internet behandeln, so sollten Sie https verwenden, also https://arktur/online, https://arktur/admin und https://arktur/admin2 eingeben.
Webinterface über https
Geben Sie in einem Browser https://arktur/online ein, so werden Sie beim ersten Aufruf eine Warnmeldung erhalten :
- Abbildung: Warnmeldung beim ersten Verwenden von https
Die Ursache für diese Warnmeldung wird klar, wenn Sie auf Details klicken.
- Abbildung: Warnmeldung im Detail
Im Normalfall legimitiert sich ein SSH-Server durch ein Zertifikat, das bei einer unabhängigen Stelle im Internet hinterlegt wurde. Dies einzurichten ist mit erheblichem Zeitaufwand und mit Kosten verbunden. Deswegen wird beim Arktur-Schulserver ein selbst erstelltes Zertifikat verwendet.
Schließen Sie nun das Fenster Details und klicken Sie auf Fortsetzen.
- Abbildung: Zertifikat dauerhaft akzeptiert
Am besten akzeptieren Sie das Zertifikat dauerhaft und nicht nur für diese Sitzung.
- Abbildung: Eingeloggt per https
Sie sind nun per https mit dem Online-Interface verbunden. Erkenntlich ist dies an dem gelben Untergrund und dem Schloss in der URL-Zeile. Wenn Sie Ihr Passwort ändern oder Ihre E-Mail lesen wollen, gehen alle Informationen ab sofort verschlüsselt übers Netz.
Warum SSH
Für den Zugriff auf Arktur sollten Sie statt "telnet" generell "ssh" verwenden. Bei telnet werden nämlich alle Informationen, also auch Passwörter unverschlüsselt übers Netz übertragen. Bei ssh hingegen werden sämtliche übertragenen Daten verschlüsselt. Die unverschlüsselte Übertragung wird bei telnet zur Sicherheitslücke, wenn es jemandem gelingt, den Netzwerkverkehr zu belauschen.
Gewöhnen Sie es sich deshalb am besten gleich an, bei der Fernwartung von Arktur als Administrator (root oder sysadm) von einem Client aus immer ssh zu verwenden. Sie können zwar telnet auf Arktur einschalten, sollten dies aber nicht tun. Solange Sie sich nur aus dem Intranet auf Arktur einloggen, ist eine einfache ssh-Verbindung mit Benutzerkennung und Passwort ausreichend, wie sie in diesen Kapitel anschließend beschrieben wird.
Sollten Sie sich per Einwahl oder gar aus dem Internet mit Arktur verbinden, so sollten sie den Sicherheitslevel erhöhen. Weitere ausführliche Informationen dazu finden Sie im Administratorhandbuch im Kapitel SSH-Server und SSH-Client.
Eine SSH-Verbindung aufbauen
Der Aufbau einer SSH-Verbindung zu Arktur erfolgt immer nach dem gleichen Schema. Am einfachsten ist die Benutzung der Konsole und des ssh-Befehls an einem Linux-Client:
- Abbildung: Anmelden als root
Hier geben Sie einfach folgenden Befehl ein
ssh <Benutzer>@arktur
In der Abbildung ist als Benutzer root gewählt, es könnte sich aber genau so gut um sysadm oder irgendeinen anderen Benutzer handeln.
Haben Sie den obigen Befehl mit <Enter> abgeschlossen, so wird von Ihnen beim ersten Mal (und nur dann) noch eine Bestätigung verlangt, dass es sich bei Arktur wirklich um den gewünschten Rechner handelt.
- Abbildung: Bestätigung des Fingerprints
Wenn Sie sicher sind, dass alles in Ordnung ist, bestätigen Sie die Abfrage mit yes. Damit ist Arktur in die Liste der für SSH bekannten Rechner aufgenommen. Der Versuch, Ihnen zum Passwort hacken einen anderen Rechner unter dem Namen Arktur vorzuspiegeln, ist damit zum Scheitern verurteilt. Allerdings müssen Sie nach einer Neuinstallation von Arktur, der dann einen anderen SSH-Key hat, den Eintrag in der Schlüsseldatei auf dem Client manuell löschen (bei Linux ./ssh/knownhosts im jeweiligen Benutzerverzeichnis).
- Abbildung: Der ssh-Schlüssel von Arktur ist auf dem Client gespeichert
Jetzt müssen Sie Ihr Passwort eingeben, und die Verbindung zu Arktur steht.
Welche Shell auf Arktur Sie erhalten haben, hängt davon ab, wer sich eingeloggt hat. Der Benutzer root erhält "/bin/bash", sysadm die sysadm-Shell und der normale Benutzer kann lediglich sein Passwort ändern. Wie Sie diese Standardshell eines Nutzers ändern können, wird im Kapitel Shelleinrichten im Installationshandbuch beschrieben.
Das Ausloggen geschieht bei der Passwortänderung oder bei der sysadm-Shell automatisch, als root oder Nutzer mit Vollzugang geben Sie den Befehl exit ein.
- Abbildung: Ausloggen an Arktur
Etwas komfortabler ist die Benutzung eines ssh-Programms wie kssh.
- Abbildung: Einloggen via kssh
Sie müssen nur bei Host: arktur und bei Username: den gewünschten Benutzer eintragen und Connect drücken. Weiter geht es wie oben.
- Abbildung: Mit kssh auf Arktur
Unter Windows können Sie statt kssh das Programm putty nutzen. Sie finden es nach der Installation in "P:\software" oder auch direkt auf der Arktur-CD.
Nach dem Start von PuTTY tragen Sie bei Hostname arktur ein. Dann kontrollieren Sie, dass beim Protokoll ssh (mit Port 22) angewählt ist.
- Abbildung: PuTTY-Einstellungen
Bevor Sie durch Drücken von Open die Verbindung zu Arktur herstellen, sollten Sie noch den Zeichensatz für PuTTY in Window/Translation auf UTF-8 und auch die Schriftart umstellen, damit alle Zeichen richtig angezeigt werden.
- Abbildung: Zeichensatz anpassen
- Abbildung: Schriftart anpassen
Beim ersten Start fragt Sie PuTTY, ob Sie den Fingerprint von Arktur annehmen wollen.
- Abbildung: Fingerprint von Arktur bestätigen
Haben Sie hier mit Ja bestätigt, so werden Sie anschließend zuerst nach Ihrem Benutzernamen (login as) und dann nach Ihrem Passwort gefragt. Wie oben sind Sie jetzt in Ihrer Shell auf Arktur.