Konfigurieren von Oracle Solaris Secure Shell (Aufgaben)

Standardmäßig ist die hostbasierte Authentifizierung und Verwendung beider Protokolle in Secure Shell nicht aktiviert. Das Ändern dieser Standards erfordert einige administrative Maßnahmen. Auch zur Port-Weiterleitung sind administrativen Maßnahmen notwendig.

So richten Sie eine hostbasierte Authentifizierung für Secure Shell ein

Mit dem folgenden Verfahren wird ein öffentliches Schlüsselsystem eingerichtet, in dem der öffentliche Schlüssel des Clients zur Authentifizierung auf dem Server verwendet wird. Der Benutzer muss außerdem ein Paar aus öffentlichem und privatem Schlüssel erstellen.

In diesem Verfahren beziehen sich die Begriffe Client und lokaler Host auf den Rechner, auf dem ein Benutzer den Befehl ssh eingibt. Die Begriffe Server und Remote-Host beziehen sich auf den Rechner, mit dem der Client eine Verbindung herzustellen versucht.

1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

   Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Aktivieren Sie die hostbasierte Authentifizierung auf dem Client.

   Geben Sie in der Clientkonfigurationsdatei /etc/ssh/ssh_config den folgenden Eintrag ein:

   HostbasedAuthentication yes

   Informationen zur Syntax der Datei finden Sie auf der Manpage ssh_config(4).

3. Aktivieren Sie die hostbasierte Authentifizierung auf dem Server.

   Geben Sie in der Serverkonfigurationsdatei /etc/ssh/ssh_config den gleichen Eintrag ein:

   HostbasedAuthentication yes

   Informationen zur Syntax der Datei finden Sie auf der Manpage sshd_config(4).

4. Konfigurieren Sie auf dem Server eine Datei, durch die der Client als vertrauenswürdiger Host erkannt wird.

   Weitere Informationen finden Sie im Abschnitt FILES auf der Manpage sshd(1M).

   • Fügen Sie den Client als Eintrag in der Datei /etc/ssh/shosts.equiv des Servers ein.

     client-host

   • Sie können auch die Benutzer bitten, einen Eintrag für den Client ihrer Datei ~/.shosts auf dem Server hinzuzufügen.

     client-host

5. Vergewissern Sie sich, dass der Dämon sshd auf dem Server Zugriff auf die Liste der vertrauenswürdigen Hosts hat.

   Stellen Sie IgnoreRhosts in der Datei /etc/ssh/sshd_config auf no ein.

   ## sshd_config
   IgnoreRhosts no

6. Vergewissern Sie sich, dass die Benutzer von Secure Shell an Ihrem Standort über Konten auf beiden Hosts verfügen.
7. Führen Sie einen der folgenden Schritte aus, um den öffentlichen Schlüssel des Clients auf den Server zu übertragen.
   • Ändern Sie die Datei sshd_config auf dem Server, bitten Sie dann die Benutzer, die öffentlichen Hostschlüssel des Clients der zugehörigen Datei ~/.ssh/known_hosts hinzuzufügen.

     ## sshd_config
     IgnoreUserKnownHosts no

     Benutzeranweisungen finden Sie unter So generieren Sie ein Paar aus öffentlichem und privatem Schlüssel für Secure Shell.

   • Kopieren Sie den öffentlichen Schlüssel des Clients auf den Server.

     Die Hostschlüssel werden im Verzeichnis /etc/ssh gespeichert. Die Schlüssel werden üblicherweise vom Dämon sshd beim ersten Starten erstellt.

     1. Fügen Sie den Schlüssel der Datei /etc/ssh/ssh_known_hosts auf dem Server hinzu.

        Geben Sie auf dem Client den Befehl in einer Zeile ohne umgekehrten Schrägstrich ein.

        # cat /etc/ssh/ssh_host_dsa_key.pub | ssh RemoteHost \
        'cat >> /etc/ssh/ssh_known_hosts && echo "Host key copied"'

     2. Geben Sie bei Aufforderung Ihr Anmeldepasswort ein.

        Sobald die Datei kopiert ist, wird die Meldung "Host key copied" (Hostschlüssel kopiert) angezeigt.

        Die einzelnen Zeilen der Datei /etc/ssh/ssh_known_hosts bestehen aus Feldern, die durch Leerzeichen getrennt sind:

        hostnames algorithm-name publickey comment

     3. Bearbeiten Sie die Datei /etc/ssh/ssh_known_hosts und fügen Sie RemoteHost als erstes Feld in den kopierten Eintrag ein.

        ## /etc/ssh/ssh_known_hosts File
        RemoteHost <copied entry>

Beispiel 19-1 Einrichten von hostbasierter Authentifizierung

In dem folgenden Beispiel wird jeder Host als Server und als Client konfiguriert. Ein Benutzer auf einem der beiden Hosts kann eine ssh-Verbindung zu dem anderen Host initiieren. In der folgenden Konfiguration ist jeder Host gleichzeitig Server und Client:

• Auf jedem Host enthalten die Secure Shell-Konfigurationsdateien die folgenden Einträge:

  ## /etc/ssh/ssh_config
  HostBasedAuthentication yes
  # 
  ## /etc/ssh/sshd_config
  HostBasedAuthentication yes
  IgnoreRhosts no

• Die Datei shosts.equiv auf jedem Host enthält einen Eintrag für den anderen Host:

  ## /etc/ssh/shosts.equiv on machine2
  machine1

  ## /etc/ssh/shosts.equiv on machine1
  machine2

• Der öffentliche Schlüssel für jeden Host befindet sich in der Datei /etc/ssh/ssh_known_hosts auf dem anderen Host:

  ## /etc/ssh/ssh_known_hosts on machine2
  … machine1

  ## /etc/ssh/ssh_known_hosts on machine1
  … machine2

• Benutzer verfügen nur über ein Konto auf beiden Hosts:

  ## /etc/passwd on machine1
  jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh

  ## /etc/passwd on machine2
  jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh

So aktivieren Sie Secure Shell v1

Dieses Verfahren ist hilfreich, wenn ein Host mit anderen Hosts interagiert, die v1 und v2 ausführen.

1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

   Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Konfigurieren Sie den Host zur Verwendung beider Secure Shell-Protokolle.

   Bearbeiten Sie die Datei /etc/ssh/sshd_config.

   # Protocol 2
   Protocol 2,1

3. Stellen Sie eine separate Datei für den Hostschlüssel für v1 bereit.

   Fügen Sie der Datei /etc/ssh/sshd_config einen HostKey-Eintrag hinzu.

   HostKey /etc/ssh/ssh_host_rsa_key
   HostKey /etc/ssh/ssh_host_dsa_key
   HostKey /etc/ssh/ssh_host_rsa1_key

4. Generieren Sie einen Hostschlüssel für v1.

   # ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_rsa1_key -N ''

   -t rsa1

   Gibt den RSA-Algorithmus für v1 an

   -f

   Gibt die Datei an, die den Hostschlüssel enthält

   -N ''

   Gibt an, dass kein Passwortsatz erforderlich ist.

5. Starten Sie den Dämon sshd neu.

   # svcadm restart network/ssh:default

   Stattdessen können Sie auch das System neu booten.

So konfigurieren Sie die Port-Weiterleitung in Secure Shell

Mithilfe der Port-Weiterleitung kann ein lokaler Port an einen Remote-Host weitergeleitet werden. Tatsächlich wird ein Socket zugewiesen, das auf Anfragen vom Port auf der lokalen Seite wartet. Ähnlich kann ein Port auf der Remote-Seite angegeben werden.

1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

   Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Konfigurieren Sie eine Secure Shell-Einstellung auf dem Remote-Server, um die Port-Weiterleitung zu ermöglichen.

   Ändern Sie den Wert von AllowTcpForwarding in der Datei /etc/ssh/sshd_config in yes.

   # Port forwarding
   AllowTcpForwarding yes

3. Starten Sie den Secure Shell-Service neu.

   remoteHost# svcadm restart network/ssh:default

   Informationen zum Verwalten von persistenten Services finden Sie in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration und auf der Manpage svcadm(1M).

4. Vergewissern Sie sich, dass die Port-Weiterleitung verwendet werden kann.

   remoteHost# /usr/bin/pgrep -lf sshd
    1296 ssh -L 2001:remoteHost:23 remoteHost