SSH: Secure Shell

Inhalt......Page 5
Schützen Sie Ihr Netzwerk mit SSH......Page 11
Endanwender......Page 12
Unser Ansatz......Page 13
Welche Kapitel für wen?......Page 14
In diesem Buch verwendete Konventionen......Page 15
Danksagungen......Page 16
1 Einführung in SSH......Page 19
Was ist SSH?......Page 20
Was SSH nicht ist......Page 21
Protokolle, Produkte, Clients und Konfusion......Page 22
Übersicht der SSH-Features......Page 23
Sichere Übertragung von Dateien......Page 25
Schlüssel und Agenten......Page 27
Port-Forwarding......Page 28
Die Geschichte von SSH......Page 29
Die rsh-Familie (r-Befehle)......Page 31
Pretty Good Privacy (PGP)......Page 32
Kerberos......Page 33
IPSEC......Page 34
Secure Remote Password (SRP)......Page 35
stunnel......Page 36
Zusammenfassung......Page 37
Ein Fallbeispiel......Page 39
Entfernte Terminal-Sessions mit ssh......Page 40
Dateitransfer mit scp......Page 41
Ein etwas komplexeres Beispiel......Page 42
Known Hosts......Page 43
Das Escape-Zeichen......Page 45
Eine kurze Einführung in Schlüssel......Page 47
Generierung von Schlüssel-Paaren mit ssh-keygen......Page 48
Maschine......Page 50
Wenn Sie Ihren Schlüssel ändern......Page 53
Der SSH-Agent......Page 54
Ein etwas komplexeres Paßphrasen-Problem......Page 56
Agent-Forwarding......Page 57
Verbindung ohne Paßwort und Paßphrase......Page 59
sftp......Page 60
slogin......Page 61
Zusammenfassung......Page 62
Features im Überblick......Page 63
Integrität......Page 64
Authentifizierung......Page 65
Autorisierung......Page 66
Grundlagen der Kryptographie......Page 67
Public- und Secret-Key-Kryptographie......Page 68
Hash-Funktionen......Page 70
Die Architektur eines SSH-Systems......Page 71
Das Innere von SSH-1......Page 75
Aufbau der abgesicherten Verbindung......Page 76
Client-Authentifizierung......Page 80
Das Innere von SSH-2......Page 96
Unterschiede im Protokoll (SSH-1 verglichen mit SSH-2)......Page 98
Implementierungs-Unterschiede......Page 106
Benutzer-Zugriff (userfile)......Page 111
Zufälligkeit......Page 112
SSH und Dateitransfers (scp und sftp)......Page 114
scp1 im Detail......Page 115
scp2/sftp im Detail......Page 116
Von SSH verwendete Algorithmen......Page 118
Public-Key-Algorithmen......Page 119
Secret-Key-Algorithmen......Page 121
Hash-Funktionen......Page 125
Von SSH erkannte Gefahren......Page 126
Man-in-the-Middle-Angriffe......Page 127
Der Insertion-Angriff......Page 129
IP- und TCP-Angriffe......Page 130
Verdeckte Kanäle......Page 132
Zusammenfassung......Page 133
SSH1 und SSH2......Page 135
Beschaffen einer Distribution......Page 136
Kompilierung und Installation von SSH1......Page 137
Kompilierung und Installation von SSH2......Page 138
Kompilierungs- Konfiguration......Page 140
Die serverweite Known-Hosts-Datei anlegen......Page 154
Beschaffung und Installation......Page 157
PAM......Page 158
Kompilierungsflags......Page 159
Software-Inventar......Page 161
Das /usr/hosts-Verzeichnis......Page 163
Concurrent Version System (CVS)......Page 164
Pine......Page 165
Zusammenfassung......Page 166
5 Serverweite Konfiguration......Page 167
Ausführen des Servers......Page 168
Ausführung unter einem normalen Benutzer......Page 169
Server-Konfiguration: Ein Überblick......Page 171
Server-Konfigurationsdateien......Page 173
Ändern der Konfiguration......Page 175
Ein schwierigeres Rekonfigurationsbeispiel......Page 176
Datei-Positionen......Page 177
Zugriffsrechte......Page 181
TCP/IP-Einstellungen......Page 182
Generierung des Server-Schlüssels......Page 191
Verschlüsselungsalgorithmen......Page 192
SSH-Protokollauswahl......Page 194
Authentifizierung......Page 195
Zugriffskontrolle......Page 206
Wahl eines Login-Programms......Page 217
Abgelaufene Accounts oder Paßwörter......Page 218
Ausführung beliebiger Aktionen über /etc/sshrc......Page 219
Subsysteme......Page 220
Logging und SSH1......Page 222
Logging bei SSH2......Page 226
Logging und OpenSSH......Page 231
Kompatibilität zwischen SSH-1- und SSH-2-Servern......Page 232
Zusammenfassung......Page 233
6 Key-Management und Agenten......Page 235
Was ist eine Identität?......Page 236
SSH1-Identitäten......Page 237
SSH2-Identitäten......Page 239
Generierung von RSA-Schlüsseln für SSH1......Page 240
Generierung von RSA/DSA-Schlüsseln für SSH2......Page 243
Generierung von RSA/DSA-Schlüsseln für OpenSSH......Page 247
SSH-Agenten......Page 248
Agenten decken keine Schlüssel auf......Page 249
Start eines Agenten......Page 250
Schlüssel laden mit ssh-add......Page 255
Agenten und Sicherheit......Page 262
Agent-Forwarding......Page 264
Nutzung der CPU durch Agenten......Page 268
Manueller Wechsel der Identität......Page 269
Identitätswechsel mit einem Agenten......Page 270
Anpassen von Sessions, basierend auf der Identität......Page 271
Zusammenfassung......Page 272
Wie man Clients konfiguriert......Page 273
Umgebungsvariablen......Page 274
Client-Konfigurationsdateien......Page 275
Einführung in den Verbose-Modus......Page 284
Name des entfernten Accounts......Page 286
Identität des Benutzers......Page 289
Host-Schlüssel und Known-Hosts-Datenbanken......Page 290
TCP/IP-Einstellungen......Page 293
Verbindungen herstellen......Page 297
Proxies und SOCKS......Page 306
Verschlüsselungsalgorithmen......Page 310
Session-Rekeying......Page 311
Authentifizierung......Page 312
Komprimierung von Daten......Page 315
Subsysteme......Page 316
Logging und Debugging......Page 317
Vollständige Syntax......Page 319
Rekursives Kopieren von Verzeichnissen......Page 322
Sicherheits-Features......Page 323
Statistische Ausgaben......Page 324
Nur zum internen Gebrauch......Page 326
Zusammenfassung......Page 327
8 Account-orientierte Serverkonfiguration......Page 329
Serverweite Einstellungen überschreiben......Page 330
Aspekte der Authentifizierung......Page 331
SSH1-Autorisierungsdateien......Page 332
SSH2-Autorisierungsdateien......Page 334
Erzwungene Befehle (Forced Commands)......Page 335
Zugriff nach Host oder Domain beschränken......Page 342
Umgebungsvariablen setzen......Page 345
Idle-Timeout festlegen......Page 347
Das Forwarding deaktivieren......Page 348
Die TTY-Allozierung deaktivieren......Page 349
Trusted-Host-Zugriffskontrolle......Page 350
Zusammenfassung......Page 352
9 Port- und X- Forwarding......Page 355
Was ist Forwarding?......Page 356
Port-Forwarding......Page 357
Lokales Forwarding......Page 359
Probleme mit mehreren Verbindungen......Page 364
Vergleich zwischen lokalem und entferntem Port-Forwarding......Page 365
Off-Host-Forwarding (Forwarding für beliebige Hosts)......Page 369
Eine Firewall umgehen......Page 373
Port-Forwarding ohne entferntes Login......Page 374
Die Listening-Portnummer......Page 376
Wahl der Forwarding-Zieladresse......Page 377
Ende der SSH-Session......Page 378
Port-Forwarding auf dem Server konfigurieren......Page 379
X-Forwarding......Page 381
Das X-Window-System......Page 382
Wie X-Forwarding funktioniert......Page 383
Das X-Forwarding aktivieren......Page 385
Das X-Forwarding konfigurieren......Page 386
X-Authentifizierung......Page 387
Weitere Aspekte......Page 392
Forwarding-Sicherheit: TCP-wrappers und libwrap......Page 395
Konfiguration von TCP-wrappers......Page 396
Hinweise zu TCP-wrappers......Page 400
Zusammenfassung......Page 401
10 Ein empfohlenes Setup......Page 403
Kompilierungs-Konfiguration......Page 404
Andere Zugriffsmöglichkeiten deaktivieren......Page 405
/etc/sshd_config......Page 406
/etc/ssh2/sshd2_config......Page 408
Client-Konfiguration......Page 410
Sicherheitsrisiken bei NFS......Page 411
Zugriffsprobleme bei AFS......Page 413
Zusammenfassung......Page 414
Automatisches SSH: Batch- oder cron-Jobs......Page 415
Public-Key-Authentifizierung......Page 416
Trusted-Host-Authentifizierung......Page 419
Allgemeine Vorkehrungen für Batchjobs......Page 420
FTP-Forwarding......Page 422
Das FTP-Protokoll......Page 423
Forwarding der Kontrollverbindung......Page 425
FTP, Firewalls und der passive Modus......Page 431
FTP und NAT (Network Address Translation)......Page 433
Alles über Datenverbindungen......Page 436
Forwarding der Datenverbindung......Page 441
Die IMAP-Authentifizierung absichern......Page 445
Relaying von Mail und Zugriff auf News......Page 450
Nutzung eines Verbindungs-Skripts......Page 451
Kerberos und SSH......Page 453
Ein Vergleich zwischen SSH und Kerberos......Page 454
Kerberos mit SSH nutzen......Page 458
Eine kurze Einführung in Kerberos-5......Page 459
Kerberos-5 bei SSH1......Page 462
Kerberos-4 bei OpenSSH......Page 473
Verbindungen über einen Gateway-Host......Page 474
Transparente SSH-Verbindungen aufbauen......Page 475
SCP durch ein Gateway nutzen......Page 477
Ein anderer Ansatz: SSH-in-SSH (Port-Forwarding)......Page 479
Sicherheits-Unterschiede......Page 481
Client-Debugging......Page 483
Server-Debugging......Page 484
Probleme und Lösungen......Page 485
Allgemeine Probleme......Page 486
Authentifizierungs-Probleme......Page 487
Probleme mit Schlüsseln und Agenten......Page 494
Client-Probleme......Page 497
Websites......Page 506
Mailing-Listen......Page 507
Reporting von Bugs......Page 508
Gängige Features......Page 509
Produktübersicht......Page 510
Weitere SSH-nahe Produkte......Page 518
Clients beschaffen und installieren......Page 519
autoexec.bat vorbereiten......Page 520
Cygwin installieren......Page 521
Ein Schlüssel-Paar erzeugen......Page 522
Entferntes Login mit ssh1......Page 523
Das NT Resource Kit beschaffen......Page 524
Host-Schlüssel generieren......Page 525
Den Server herunterfahren......Page 526
Fehlersuche......Page 527
Zusammenfassung......Page 528
Beschaffung und Installation......Page 529
RSA Key Generation Wizard......Page 530
Zwingend notwendige Felder......Page 532
Firewalls......Page 533
X-Forwarding......Page 534
Fehlersuche......Page 535
Authentifizierung......Page 536
Zusammenfassung......Page 537
Beschaffung und Installation......Page 539
Grundlegende Einrichtung des Clients......Page 540
Installation öffentlicher Schlüssel......Page 541
Fortgeschrittene Einrichtung des Clients......Page 542
Host-Schlüssel akzeptieren......Page 543
Kommandozeilen-Tools......Page 544
Port-Forwarding......Page 545
X-Forwarding......Page 546
Fehlersuche......Page 547
Zusammenfassung......Page 548
Beschaffung und Installation......Page 549
Authentifizierung......Page 550
Host-Schlüssel......Page 551
Fehlersuche......Page 552
Zusammenfassung......Page 553
A SSH2-Manpage für sshregex......Page 555
sshd-Optionen......Page 559
sshd-Schlüsselwörter......Page 560
ssh- und scp-Schlüsselwörter......Page 565
ssh- Optionen......Page 569
scp-Optionen......Page 570
ssh- keygen-Optionen......Page 571
ssh- agent-Optionen......Page 572
Identitäts- und Authorisierungsdateien......Page 573
Umgebungsvariablen......Page 574
Index......Page 575
Kolophon......Page 595