Administratorhandbuch:SSH und https: Unterschied zwischen den Versionen

Warum https

Bauen Sie durch Eingabe von http://arktur.schul-netz.de im Browser eine normale Internetverbinung auf, so werden alle Daten unverschlüsselt übers Netz übertragen. Dies ist auch völlig ausreichend, wenn Sie sich nur den Inhalt einer Homepage anschauen wollen. Spätestens beim Bieten in Ebay wird es aber kritisch. Jeder, der dort Ihre Kennung und Ihr Passwort auslesen kann, kann auf Ihren Namen teuer einkaufen. Und Sie haben neben vielem Ärger möglicherweise auch noch einen erheblichen finanziellen Schaden. Um dies zu vermeiden, wird in einem solchen Fall die Internetverbindung verschlüsselt. Dies geht ganz einfach durch Eingabe von https:// statt http:// im Browser. Die hierbei verwendete ssl-Verschlüsselung sollte im Normalfall ausreichen.

Im Intranet einer Schule sind die übermittelten Daten meist nicht so kritisch. Und die Gefahr, dass die Daten abgehört werden, ist kaum gegeben. Die Webinterfaces von Arktur (arktur/online, arktur/admin und arktur/admin2) können deswegen auch unverschlüsselt über http:// angesprochen werden. Dies kann hingenommen werden, da der Administrator von Arktur das Webinterfaces nicht benutzt. Der Browser wird Sie allerdings warnen, dass kritische Daten wie das Passwort beim Einloggen unverschlüsselt übers Netz gehen.

Wollen Sie auf Nummer sicher gehen oder im Unterricht das Kapitel Sicherheit im Internet behandlen, so sollten Sie https verwenden, also https://arktur/online, https://arktur/admin und https://arktur/admin2 eingeben.

Dies möchte ich Ihnen nun noch an einem konkreten Beispiel zeigen.

Geben Sie in einem Browser https://arktur/online ein, so werden Sie beim ersten Mal eine Warnmeldung erhalten :

Abbildung: Warnmeldung beim ersten Verwenden von https

Die Ursache für diese Warnmeldung wird klar, wenn Sie auf Details klicken.

Abbildung: Warnmeldung im Details

Im Normalfall legimitiert sich ein SSH-Server durch ein Zertifikat, das bei einer unabhängigen Stelle im Internet hinterlegt wurde. Dies einzurichten ist mit erheblichem Zeitaufwand und mit Kosten verbunden. Deswegen wird bei Arktur ein selbsterstelltes Zertifikat verwendet.

Schließen Sie nun das Fenster Details und klicken Sie auf Fortsetzen.

Abbildung: Soll das Zertifikat dauerhaft akzeptiert werden ?

Am besten aktzeptieren Sie das Zertifikat dauerhaft und nicht nur für diese Sitzung.

Abbildung: Eingeloggt per https

Sie sind nun per https mit dem Online-Interface verbunden. Erkenntlich ist dies an dem gelben Untergrund und dem Schloß in der URL-Zeile. Wenn Sie Ihr Passwort ändern oder Ihre EMail lesen wollen, gehen alle Informationen verschlüsselt übers Netz.

Warum SSH

Für den Zugriff auf Arktur sollten Sie statt "telnet" generell "ssh" verwenden. Bei telnet werden nämlich alle Informationen, also auch Passwörter unverschlüsselt übers Netz übertragen. ssh verschlüsselt diese. Dies wird bei telnet zur Sicherheitslücke, wenn es jemandem gelingt, den Netzwerkverkehr zu belauschen.

Gewöhnen Sie es sich deshalb am besten gleich an, bei der Fernwartung von Arktur als Administrator (root oder sysadm) von einem Client aus immer ssh zu verwenden. Sie können sogar telnet auf Arktur komplett ausschalten. Solange Sie sich nur aus dem Intranet auf Arktur einloggen, ist eine einfache ssh-Verbindung mit Benutzerkennung und Passwort ausreichend, wie sie anschließend beschrieben wird.

Sollten Sie sich per Einwahl oder gar aus dem Internet mit Arktur verbinden, so sollten sie den Sicherheitslevel erhöhen. Weitere ausführliche Informationen dazu finden Sie im Administratorhandbuch im Kapitel Der SSH-Server.

Eine SSH-Verbindung aufbauen

Der Aubau einer SSH-Verbindung zu Arktur erfolgt immer nach dem gleichen Schema. Am einfachsten ist die Benutzung der Konsole und des ssh-Befehls an einem Linux-Client:

Abbildung: Anmelden als root an Arktur von der Linuxkonsole aus

Hier geben Sie einfach den Befehl ssh <Benutzer>@arktur ein. In der Abbildung ist als Benutzer root gewählt, es könnte sich aber genau so gut um sysadm oder irgendeinen anderen Benutzer handeln.

Haben Sie den obigen Befehl mit <Enter> abgeschlossen, so wird von Ihnen beim ersten Mal (und nur dann) noch eine Bestätigung verlangt, dass es sich bei Arktur wirklich um den gewünschten Rechner handelt.

Abbildung: erstmalige Bestätigung des Fingerprints von Arktur

Wenn Sie sicher sind, dass alles in Ordnung ist, bestätigen Sie die Abfrage mit yes. Damit ist Arktur in die Liste der für SSH bekannten Rechner aufgenommen. Der Versuch, Ihnen zum Passworthacken einen anderen Rechner unter dem Namen Arktur vorzuspiegeln, ist damit zum Scheitern verurteilt. Allerdings müssen Sie nach einer Neuinstallation von Arktur, der dann einen anderen SSH-Key hat, den Eintrag in der Schlüsseldatei auf dem Client manuell löschen (bei Linux ./ssh/knownhosts).

Abbildung: Der ssh-Schlüssel von Arktur ist auf dem Client gespeichert

Jetzt müssen Sie Ihr Passwort eingeben, und die Verbindung zu Arktur steht.

Welche Shell auf Arktur Sie erhalten haben, hängt davon ab, wer sich eingeloggt hat. Root erhält /bin/bash, sysadm die sysadm-Shell und der normale Benutzer kann lediglich sein Passwort ändern.

Das Ausloggen geschieht bei der Passwortänderung oder bei der sysadm-Shell automatisch, als root geben Sie den Befehl exit ein.

Abbildung: Ausloggen an Arktur

Etwas komfortabler ist die Benutzung eines ssh-Programmes wie kssh.

Abbildung: Einloggen via kssh

Sie müssen nur bei Host: arktur und bei Username: den gewünschten Benutzer eintragen und Connect drücken. Weiter geht es wie oben.

Abbildung: Mit kssh auf Arktur

Unter Windows finden Sie statt kssh das Programm putty (nach der Installation in P:\software - sonst auf der Arktur-CD). Sie erhalten die neueste Version auch im Internet von http://www.putty.nl/. Dort finden Sie auch eine umfangreiche Dokumentation. Ich beschränke mich deswegen auf das Nötigste.

Nach dem Start von PuTTY tragen Sie bei Hostname arktur ein. Dann kontrollieren Sie, dass beim Protokoll ssh ( mit Port 22) angewählt ist.

Abbildung: PuTTY-Einstellungen

Bevor Sie durch Drücken von Open die Verbindung zu Arktur herstellen, sollten Sie noch den Zeichensatz für PuTTY in Window/Translation auf UTF-8 und die Schriftart umstellen, damit alle Zeichen richtig angezeigt werden.

Abbildung: Zeichensatz anpassen

Abbildung: Die Schriftart anpassen

Beim ersten Start fragt Sie PuTTY, ob Sie den Fingerprint von Arktur annehmen wollen.

Abbildung: Den Fingerprint von Arktur bestätigen

Haben Sie hier mit Ja bestätigt, so werden Sie anschließend zuerst nach Ihrem Benutzernamen (login as) und dann nach Ihrem Passwort gefragt. Wie oben sind Sie jetzt in Ihrer Shell auf Arktur.

---