Kein Betreff


Fr Jan 22 23:14:09 CET 1999


>From guckes  Sat Jan 23 00:14:10 1999
Return-Path: <owner-linux-l at calle.in-berlin.de>
Delivered-To: guckes at math.fu-berlin.de
Received: (qmail 23664 invoked from network); 22 Jan 1999 23:14:08 -0000
Received: from methan.in-berlin.de (160.45.10.13)
  by leibniz.math.fu-berlin.de with SMTP; 22 Jan 1999 23:14:08 -0000
Received: from calle.in-berlin.de (calle.in-berlin.de [193.175.21.97])
	by methan.in-berlin.de (8.9.1/8.9.1) with ESMTP id AAA08144;
	Sat, 23 Jan 1999 00:13:55 +0100 (CET)
	(envelope-from owner-linux-l at calle.in-berlin.de)
Received: by calle.in-berlin.de (Smail3.2.0.98) 
	  from  localhost with smtp
	  id <m103pVo-000A0qC>; Fri, 22 Jan 1999 23:57:12 +0100 (CET)
Received: by calle.in-berlin.de (Smail3.2.0.98)
	  id <m103pVk-000A0Xa>; Fri, 22 Jan 1999 23:57:08 +0100 (CET)
Date: Fri, 22 Jan 1999 23:59:33 +0100 (CET)
From: Oliver Hillmann <ohil at tequila.in-berlin.de>
To: linux-l at calle.in-berlin.de
Subject: Re: linux-l: ssh ok und weiter?
In-Reply-To: <13991.13435.931273.90949 at mero.in-berlin.de>
Message-ID: <Pine.LNX.3.96.990122234603.983A-100000 at tequila.in-berlin.de>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=ISO-8859-1
Content-Transfer-Encoding: QUOTED-PRINTABLE
Sender: owner-linux-l at calle.in-berlin.de
Reply-To: linux-l at calle.in-berlin.de
Status: RO
Content-Length: 3378
Lines: 84

On Thu, 21 Jan 1999, Carsten Wartmann wrote:

> Hi,

Hi,
=20
> ich hab mich jetzt mal n=E4her mit ssh besch=E4ftigt, ich habs schon eine
> Weile benutzt (in der Hoffnung mich nicht in v=F6llig falscher
> Sicherheit zu wiegen). Wenn man sein identity.pub nicht an

Also, zun=E4chst ist ssh ein sicherer telnet-Ersatz, da Client und Server
schon vor dem =DCbertragen irgendwelcher Passw=F6rter eine Verschl=FCsselun=
g
aushandeln. Details dazu lassen sich recht anschaulich machen, wenn ssh
mit der Option -v wie verbose gestartet wird. (Mehr details in der
entsprechenden RFC, deren Nummer mir nat=FCrlich nicht pr=E4sent ist, aber =
die
ssh -v Ausgabe d=FCrfte f=FCr den Anfang evtl. auch reichen...)

Kontaktest Du einen Host mit einem sshd-Server das erste Mal, so beklagt
sich ssh dar=FCber, das dieser Host ihm unbekannt ist. Du kannst ihn nun zu
den bekannten hinzuf=FCgen, oder aber als ganz wachsamer den Public-Key des
entsprechenden Rechners manuell an die /etc/ssh_known_hosts oder
~/.ssh/known_hosts anf=FCgen. darin wird dieser Public-Key des Servers
gemerkt, der in Zukunft zur Identifikation eben jenen Hosts genutzt wird,
um Spoofing zu verhindern.

Die L=F6sung mit der identity.pub bewirkt, da=DF bei der Authentifikation n=
un
nicht mehr das Passwort des Accounts, auf den Du zugreifen m=F6chtest,
=FCberpr=FCft wird, sondern ein extra erzeugtes Private/Public-Key Paar =FC=
ber
die Authentifizierung entscheidet. Kurz gesagt: Diese L=F6sung ist optional=
=2E
Details bei Bedarf :)

> authorized_key auf dem Remote-Rechner anh=E4ngt macht er ja so eine
> "password-encryption", zumindest mit einem Sniffer kann man dann das
> Passwort nicht mehr lesen. Wie sicher ist dieses Verfahren? Vermutlich=20

Richtig. ssh gilt als sicher. Es gab vor kurzem Probleme mit einem
m=F6glichen Exploit auf Clientseite, falls dieser Kerberos benutzt und
einige Dinge zusammenkommen. Die neueste ssh-Version sollte aber selbst
dieses winzige Loch nicht mehr bieten. Da ssh auf Public-Key-Verfahren
beruht, ist es sehr sicher.

> sollte man dann sein identity.pub an authorized_key anh=E4ngen. Aber
> wie? Naja klar mit ftp, aber da gehen die Passw=F6rter ja wider im
> Klartext r=FCber???!! Oder gibts da eine s-ftp L=F6sung?

Geht mit ssh bzw. scp, der secure copy-Varainte von ssh. Wenn ein normales
ssh auf den remote host m=F6glich ist, dann kannst Du ein File mit

cat filename|ssh -l login_name remote.host "cat >filename"

=FCbertragen, oder alternativ mit

scp filename login_name at remote.host:filename

Alle Daten gehen dann verschl=FCsselt und sicher r=FCber. Eine weitere
Variante w=E4re das Tunneln anderer Socket-Verbindungen durch eine
ssh-Verbindung, was hier aber erstmal vielleicht zu weit f=FChrt... (Tunnel=
n
geht =FCbrigens ziemlich automatsich mit X-Verbindungen.... :)

> Bringt die Komprimierung etwas bei einem 486er?

Mhhh... Warum nicht? Kommt nat=FCrlich auch auf den Durchsatz im Netz an...

> Ihr seht, es besteht Nachholbedarf.... =DCber eine deutsche EInf=FChrung
> w=E4re ich sehr froh, die (Englische)manpage ist irgendwie ganz sch=F6n
> anstrengend...=20

Ich glaube, in der letzten Unix Open oder so war dazu ein Artikel... Habs
nur auf der titelseite gesehen, kann zum Inhalt (und zum Wahrheitsgehalt
meiner Aussage) nix sagen...

Viel Freude, es lohnt sich!

Gru=DF

Oli
--=20
Oliver Hillmann, Berlin (Germany) <ohil at tequila.in-berlin.de>



Mehr Informationen über die Mailingliste linux-l