Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
Oracle Solaris Secure Shell (Übersicht)
Oracle Solaris Secure Shell-Authentifizierung
Secure Shell in the Enterprise
Oracle Solaris Secure Shell und das OpenSSH-Projekt
Oracle Solaris Secure Shell (Übersicht der Schritte)
Konfigurieren von Oracle Solaris Secure Shell (Übersicht der Schritte)
Konfigurieren von Oracle Solaris Secure Shell (Aufgaben)
So richten Sie eine hostbasierte Authentifizierung für Secure Shell ein
Verwenden von Oracle Solaris Secure Shell (Übersicht der Schritte)
Verwenden von Oracle Solaris Secure Shell (Aufgaben)
So generieren Sie ein Paar aus öffentlichem und privatem Schlüssel für Secure Shell
So ändern Sie den Passwortsatz für einen privaten Secure Shell-Schlüssel
So melden Sie sich bei einem Remote-Host mithilfe von Secure Shell an
So reduzieren Sie die Aufforderungen zur Passworteingabe in Secure Shell
So richten Sie den Befehl ssh-agent zur automatischen Ausführung in CDE ein
So verwenden Sie die Port-Weiterleitung in Secure Shell
So kopieren Sie Dateien mit Secure Shell
So richten Sie Standardverbindungen mit Hosts außerhalb einer Firewall ein
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Standardmäßig ist die hostbasierte Authentifizierung und Verwendung beider Protokolle in Secure Shell nicht aktiviert. Das Ändern dieser Standards erfordert einige administrative Maßnahmen. Auch zur Port-Weiterleitung sind administrativen Maßnahmen notwendig.
Mit dem folgenden Verfahren wird ein öffentliches Schlüsselsystem eingerichtet, in dem der öffentliche Schlüssel des Clients zur Authentifizierung auf dem Server verwendet wird. Der Benutzer muss außerdem ein Paar aus öffentlichem und privatem Schlüssel erstellen.
In diesem Verfahren beziehen sich die Begriffe Client und lokaler Host auf den Rechner, auf dem ein Benutzer den Befehl ssh eingibt. Die Begriffe Server und Remote-Host beziehen sich auf den Rechner, mit dem der Client eine Verbindung herzustellen versucht.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Geben Sie in der Clientkonfigurationsdatei /etc/ssh/ssh_config den folgenden Eintrag ein:
HostbasedAuthentication yes
Informationen zur Syntax der Datei finden Sie auf der Manpage ssh_config(4).
Geben Sie in der Serverkonfigurationsdatei /etc/ssh/ssh_config den gleichen Eintrag ein:
HostbasedAuthentication yes
Informationen zur Syntax der Datei finden Sie auf der Manpage sshd_config(4).
Weitere Informationen finden Sie im Abschnitt FILES auf der Manpage sshd(1M).
client-host
client-host
Stellen Sie IgnoreRhosts in der Datei /etc/ssh/sshd_config auf no ein.
## sshd_config IgnoreRhosts no
## sshd_config IgnoreUserKnownHosts no
Benutzeranweisungen finden Sie unter So generieren Sie ein Paar aus öffentlichem und privatem Schlüssel für Secure Shell.
Die Hostschlüssel werden im Verzeichnis /etc/ssh gespeichert. Die Schlüssel werden üblicherweise vom Dämon sshd beim ersten Starten erstellt.
Geben Sie auf dem Client den Befehl in einer Zeile ohne umgekehrten Schrägstrich ein.
# cat /etc/ssh/ssh_host_dsa_key.pub | ssh RemoteHost \ 'cat >> /etc/ssh/ssh_known_hosts && echo "Host key copied"'
Sobald die Datei kopiert ist, wird die Meldung "Host key copied" (Hostschlüssel kopiert) angezeigt.
Die einzelnen Zeilen der Datei /etc/ssh/ssh_known_hosts bestehen aus Feldern, die durch Leerzeichen getrennt sind:
hostnames algorithm-name publickey comment
## /etc/ssh/ssh_known_hosts File RemoteHost <copied entry>
Beispiel 19-1 Einrichten von hostbasierter Authentifizierung
In dem folgenden Beispiel wird jeder Host als Server und als Client konfiguriert. Ein Benutzer auf einem der beiden Hosts kann eine ssh-Verbindung zu dem anderen Host initiieren. In der folgenden Konfiguration ist jeder Host gleichzeitig Server und Client:
Auf jedem Host enthalten die Secure Shell-Konfigurationsdateien die folgenden Einträge:
## /etc/ssh/ssh_config HostBasedAuthentication yes # ## /etc/ssh/sshd_config HostBasedAuthentication yes IgnoreRhosts no
Die Datei shosts.equiv auf jedem Host enthält einen Eintrag für den anderen Host:
## /etc/ssh/shosts.equiv on machine2 machine1
## /etc/ssh/shosts.equiv on machine1 machine2
Der öffentliche Schlüssel für jeden Host befindet sich in der Datei /etc/ssh/ssh_known_hosts auf dem anderen Host:
## /etc/ssh/ssh_known_hosts on machine2 … machine1
## /etc/ssh/ssh_known_hosts on machine1 … machine2
Benutzer verfügen nur über ein Konto auf beiden Hosts:
## /etc/passwd on machine1 jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh
## /etc/passwd on machine2 jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh
Dieses Verfahren ist hilfreich, wenn ein Host mit anderen Hosts interagiert, die v1 und v2 ausführen.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Bearbeiten Sie die Datei /etc/ssh/sshd_config.
# Protocol 2 Protocol 2,1
Fügen Sie der Datei /etc/ssh/sshd_config einen HostKey-Eintrag hinzu.
HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_rsa1_key
# ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_rsa1_key -N ''
Gibt den RSA-Algorithmus für v1 an
Gibt die Datei an, die den Hostschlüssel enthält
Gibt an, dass kein Passwortsatz erforderlich ist.
# svcadm restart network/ssh:default
Stattdessen können Sie auch das System neu booten.
Mithilfe der Port-Weiterleitung kann ein lokaler Port an einen Remote-Host weitergeleitet werden. Tatsächlich wird ein Socket zugewiesen, das auf Anfragen vom Port auf der lokalen Seite wartet. Ähnlich kann ein Port auf der Remote-Seite angegeben werden.
Hinweis - Zur Secure Shell-Port-Weiterleitung muss eine TCP-Verbindung verwendet werden. Secure Shell unterstützt keine Port-Weiterleitung für UDP-Verbindungen.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Ändern Sie den Wert von AllowTcpForwarding in der Datei /etc/ssh/sshd_config in yes.
# Port forwarding AllowTcpForwarding yes
remoteHost# svcadm restart network/ssh:default
Informationen zum Verwalten von persistenten Services finden Sie in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration und auf der Manpage svcadm(1M).
remoteHost# /usr/bin/pgrep -lf sshd 1296 ssh -L 2001:remoteHost:23 remoteHost