Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- en:howtos:ssh [2022/02/18 08:30] – [SSH - Das Tool der Wahl] morquai
+++ en:howtos:ssh [2022/02/18 08:40] (aktuell) – [Fazit: Beispiel einer .ssh/config] morquai
@@ Zeile 2: / Zeile 2: @@
 Everyone who has to administer a server knows ssh, the secure tool for establishing a connection to a (Unix/Linux) server. But the real possibilities of this all-round tool only become apparent when you deal with it in detail. Here are the insights I've gathered so far.
 ===== ssh-config =====
-  ssh -p 921 -L 1234:server2:80 -L 3210:server3:3128 -D 3129 username@server1.example.com
+   ssh -p 921 -L 1234:server2:80 -L 3210:server3:3128 -D 3129 username@server1.example.com
-Dieser kryptische Befehl fließt nicht jedem flüssig aus der Feder. Ein besseres Verständnis hat man, wenn man in der Datei .ssh/config die entsprechenden Einträge macht. Sehen wir uns das Ganze mal aus der Nähe an:
+This cryptic command does not flow smoothly from everyone's pen. You can get a better understanding if you make the appropriate entries in the .ssh/config file. Let's take a closer look:
-  Host server1
+   host server1
-        HostName        server1.example.com
+         HostName server1.example.com
-        Port            921
+         Port 921
-        User            username
+         User username
-        DynamicForward  3129
+         DynamicForward 3129
-        LocalForward    1234 server2:80
+         LocalForward 1234 server2:80
-        LocalForward    3210 server:3128
+         LocalForward 3210 server:3128
-So sieht es lesbarer aus und der Befehl
+So it looks more readable and the command
-  ssh server1
+   ssh server1
-reicht nun aus um denselben Effekt zu erzielen. Wir wollen jetzt noch nicht versuchen, das Ganze im Detail zu verstehen, bekommen aber einen Eindruck davon, warum die Pflege einer Konfigurationsdatei für ssh Aufrufe sinnvoll ist. Alle weiteren Tipps zu ssh werde ich als Command und als Eintrag in der .ssh/config beschreiben.
+is now sufficient to achieve the same effect. We don't want to try to understand the whole thing in detail just yet, but we'll get an impression of why maintaining a configuration file for ssh calls makes sense. I will describe all other tips for ssh as a command and as an entry in .ssh/config.
+===== PuTTY or openssh =====
+PuTTY is often mentioned as the tool of choice when talking about an ssh client under Windows. Unfortunately, most of the tricks are also possible with PuTTY, but you can't find them on the internet. The search for ssh options looks much better, which then has to be laboriously transferred to PuTTY. PuTTY is a ssh client with terminal emulation, openssh-client is just a ssh client without terminal emulation. \\
+On Windows I only use (oops, there is one exception) [[https://cygwin.org/|Cygwin]] to use ssh connections. Beyond openssh, Cygwin on Windows allows me to use the oh-so-helpful Unix tools. Of course, Cygwin delivers the terminal emulation free of charge. Since openssh is maintained much better under Cygwin, new functionalities are available to me more quickly. \\
+Result: I am using openssh (the original) and not PuTTY.
+==== Step 1: Login to a server ====
-===== PuTTY oder Openssh =====
+   ssh -l user server.example.com # or other
-PuTTY wird oft als das Tool der Wahl genannt, sobald von einem ssh client unter Windows die Rede ist. Dummerweise sind die meisten  Tricks mit PuTTY ebenfalls möglich, man kann sie aber nicht im Internet finden. Viel besser sieht da die Recherche nach ssh Möglichkeiten aus, die man dann mühsam auf PuTTY übertragen muss. PuTTY ist ein ssh Client mit Terminal Emulation, openssh-client ist nur ein ssh client ohne eine Terminalemulation. \\
+   ssh user@server.example.com
-Unter Windows verwende ich ausschliesslich (Uups, eine Ausnahme gibt es) [[https://cygwin.org/|Cygwin]] um ssh Verbindungen zu nutzen. Über openssh hinaus ermöglicht mir Cygwin unter Windows die Benutzung der ach so hilfreichen Unix Tools. Natürlich liefert Cygwin die Terminalemulation frei Haus. Da openssh unter Cygwin wesentlich besser gepflegt wird, stehen mir neue Funktionalitäten schneller zu Verfügung. \\
+Both commands are identical, openssh allows the user "user" to log in to the server "server.example.com". The corresponding entry in .ssh/config is
-Ergebnis: Ich benutze openssh (das Original) und nicht PuTTY.
+   Host server.example.com
+      User user
-==== Schritt 1: Die Anmeldung an einem Server ====
+After entering
+   ssh server.example.com
-  ssh -l user server.example.com # oder anders
+you will be promptly asked for your password.
-  ssh user@server.example.com
+==== Step 2: this can also be done without a password ====
-Beide Befehle sind identisch, openssh ermöglicht einen Login des Benutzers "user" auf dem Server "server.example.com". Der entsprechende Eintrag in der .ssh/config lautet.
+Of course, the user has to identify himself, but this does not necessarily require a password. An SSH key (a kind of ID) is also sufficient, but must first be created. I STRONGLY recommend protecting the key with a password ("passphrase"). The SSH key can then only be used once the password has been entered. Such an SSH key is generated with the command:
-  Host   server.example.com
+  ssh-keygen -t rsa -b 2048 -f <filename>
-     User  user
+If you omit "-f <filename>", a file called "id_rsa" is created.
-Nach der Eingabe von
-  ssh server.example.com
-wird man freundlich nach dem Passwort gefragt.
-==== Schritt 2: geht das auch ohne Passwort ====
-Natürlich muss der Benutzer sich ausweisen, dafür ist aber nicht unbedingt ein Passwort erforderlich. Ein SSH Key (eine Art Ausweis) reicht auch aus, muss aber erstmal angelegt werden. Ich empfehle DRINGEND den Schlüssel mit einem Passwort ("passphrase") geschützt wird. Eine Benutzung des SSH Keys ist dann nur möglich, wenn man das Passwort eingegeben hat. Die Generierung eines solchen SSH Keys geschieht mit dem Befehl:
-  ssh-keygen -t rsa -b 2048 -f <dateiname>
-Lässt man "-f <dateiname>" weg, wird eine Datei Namens "id_rsa" angelegt.
   ssh-keygen -t rsa -b 2048 -f /tmp/rsakey
     Generating public/private rsa key pair.
@@ Zeile 42: / Zeile 40: @@
     The key fingerprint is:
     SHA256:QNdA4hMYyLtz+Z5PZdgxxa2lRZSmygYf1xZQLz8SX1I beckhart@DESKTOP-JMK2FGP
-    The key's randomart image is:
+    The key's random art image is:
     +---[RSA 2048]----+
     | . ..o+.+o .o*+.E|
-    |  o .o +  ... Bo |
+    | o .o + ... Bo |
-    |   .  +   o  Xo.o|
+    | . + o Xo.o|
-    |  .    o.o.o= =+.|
+    | . o.o.o= =".|
-    |   . .  S+++ o o.|
+    | . . S+++ o o.|
-    |  o o    o=   . .|
+    | o o o= . .|
-    |   o .  ..       |
+    | o . .. |
-    |      .o         |
+    | .o |
-    |     .o..        |
+    | .o.. |
     +----[SHA256]-----+
-Zur Sicherheit besteht der Schlüssel aus zwie Teilen, einem öffentlichen, der zur Verschlüsselung dient, und einem privaten Teil, der der Entschlüsselung dient. Der obige Befehl hat zwei Dateien angelegt, "/tmp/rsakey" (der private Teil) und /tmp/rsakey.pub (der öffentliche Teil). Die beiden Teile werden Public Key und Private Key genannt. \\
+For security, the key consists of two parts, a public part that is used for encryption and a private part that is used for decryption. The above command created two files, "/tmp/rsakey" (the private part) and /tmp/rsakey.pub (the public part). The two parts are called public key and private key. \\
-Um sich zu authentifizieren muss auf dem Server der Public Key und auf dem Client der Private Key "eingetragen" sein. Auf dem Client gehört die Datei nach ~/.ssh/id_rsa. Die Datei darf nur für den Benutzer lesbar sein, genau wie das ~/.ssh Verzeichnis auch. Der Public Key darf von jedermann (daher öffentlich) gelesen werden.
+In order to authenticate yourself, the public key must be "entered" on the server and the private key on the client. On the client, the file goes after ~/.ssh/id_rsa. The file must be user-readable, just like the ~/.ssh directory. The public key may be read by anyone (therefore public).
   mv /tmp/rsakey* ~/.ssh
   ls -ld / /home/ /home/user/ /home/user/.ssh /home/user/.ssh/rsa*
-    drwxr-xr-x   32 root     system         4096 Jul 17 15:49 /
+    drwxr-xr-x 32 root system 4096 Jul 17 15:49 /
-    drwxr-xr-x  261 bin      bin           16384 Sep 11 00:55 /home
+    drwxr-xr-x 261 am 16384 am Sep 11 00:55 /home
-    drwxr-xr-x   14 user     gruppe         4096 Sep 18 14:23 /home/user
+    drwxr-xr-x 14 user group 4096 Sep 18 14:23 /home/user
-    drwx------    3 user     gruppe         4096 Sep 08 12:23 /home/user/.ssh
+    drwx------ 3 user group 4096 Sep 08 12:23 /home/user/.ssh
-    -rw-------    1 user     gruppe         1679 Aug 30 2016  /home/user/.ssh/rsakey
+    -rw------- 1 user group 1679 Aug 30 2016 /home/user/.ssh/rsakey
-    -rw-r--r--    1 user     gruppe         1679 Aug 30 2016  /home/user/.ssh/rsakey.pub
+    -rw-r--r-- 1 user group 1679 Aug 30 2016 /home/user/.ssh/rsakey.pub
-Damit haben wir auf der Client Seite erstmal alles erledigt und können nun der Public Key auf den Server packen. Die einfachste Methde ist der folgende (siehe unsere .ssh/config) Befehl
+We have now done everything on the client side and can now pack the public key on the server. The simplest method is the following (see our .ssh/config) command
   ssh-copy-id -i /home/user/.ssh/rsakey.pub server.example.com
-Dabei wird, letztmalig, das Passwort des Benutzers "user" auf dem Server abgefragt. Jetzt passen wir noch die .ssh/config an, weil unsere Datei nicht "id_rsa" (einer der Default Werte) heißt.
+The password of the user "user" on the server is queried for the last time. Now we adjust the .ssh/config because our file is not called "id_rsa" (one of the default values).
-  Host server1
+  host server1
-      HostName        server1.example.com
+      HostName server1.example.com
-      Port            921
+      Port 921
-      User            username
+      User username
-      DynamicForward  3129
+      DynamicForward 3129
-      LocalForward    1234 server2:80
+      LocalForward 1234 server2:80
-      LocalForward    3210 server:3128
+      LocalForward 3210 server:3128
-      IdentityFile    ~/.ssh/rsakey
+      IdentityFile ~/.ssh/rsakey
-Damit haben wir die Passwort Abrage des Servers deaktiviert und müssen nun die Passphrase des SSH Keys eingeben. Damit haben wir aber leider nur die eine Passwortabfrage durch eine andere ersetzt.
+We have deactivated the server's password query and now have to enter the passphrase of the SSH key. Unfortunately, we have only replaced one password query with another.
-==== Schritt 3: Eine Passwortabfrage pro Tag ====
+==== Step 3: One password request per day ====
-Die openssh Entwickler sind anscheinend ziemlich faule Gesellen. Im Paket openssh befindet sich auch ein Agent, der die Aufgabe hat sich die SSH Keys im RAM zu merken und bei Bedarf zur Verfügung zu stellen. Die Ablage im RAM erfolgt natürlich nach allen Regeln der Sicherheit. Unter Linux (auch Cygwin) wird der Agent folgendermaßen benutzt:
+The openssh developers are apparently pretty lazy fellows. The openssh package also contains an agent that has the task of remembering the SSH keys in RAM and making them available when needed. Of course, the storage in RAM follows all the rules of security. Under Linux (also Cygwin) the agent is used as follows:
-  ssh-agent
+  ssh agent
     SSH_AUTH_SOCK=/tmp/ssh-YYMhp1JPZkWu/agent.25166028; export SSH_AUTH_SOCK;
     SSH_AGENT_PID=10682402; export SSH_AGENT_PID;
     echo Agent pid 10682402;
-Damit ist der Agent gestartet und die Befehle, die eine Benutzung ermöglichen, werden ausgegeben. Der Agent bleibt bis zum nächsten Reboot aktiv, also können wir die Befehle in eine Datei schreiben und dann in der aktuellen Shell ausführen. Nennen wir die Datei ~/ssh-agent-vars.sh und füllen sie mit Inhalt. Anschliessend führen wir sie in der aktuellen Shell aus.
+The agent is now started and the commands that enable use are issued. The agent stays active until the next reboot, so we can write the commands to a file and then run them in the current shell. Let's name the file ~/ssh-agent-vars.sh and fill it with content. Then we run it in the current shell.
   SSH_AUTH_SOCK=/tmp/ssh-YYMhp1JPZkWu/agent.25166028; export SSH_AUTH_SOCK;
   SSH_AGENT_PID=10682402; export SSH_AGENT_PID;
   echo Agent pid 10682402;
-Und nun die Ausführung, der Punkt am Anfang signalisiert, das das Script in der aktuellen Shell ausgeführt wird:
+And now the execution, the dot at the beginning signals that the script is executed in the current shell:
   . ~/ssh-agent-vars.sh
-Nachdem der Agent gestartet wurde und die Benutzung eingerichtet ist, müssen wir nun dem Agenten den Private Key zur Verfügung stellen
+After the agent has been started and the use has been set up, we now have to provide the agent with the private key
   ssh-add ~/.ssh/rsakey
-Der Agent fordert uns auf die Passphrase einzugeben und kann nun die Aufgabe, den Private Key bei Bedarf zur Verfügung zu stellen, übernehmen. Die Anmeldung kann nun ohne jede Passwort Abfrage gemacht werden.
+The agent asks us to enter the passphrase and can now take over the task of providing the private key if required. The registration can now be made without any password query.
   ssh server.example.com
-Geschafft. die Passworteingabe ist ab nun nicht mehr erforderlich. Wir müssen nur nach einen Reboot daran denken den Agenten erneut zu starten und die ausgegebenen Befehle in die Datei ~/ssh-agent-vars.sh zu schreiben. Auch der Private Key muss einmalig wieder geladen werden. \\
+Made it. from now on it is no longer necessary to enter a password. We only have to remember to start the agent again after a reboot and write the issued commands to the ~/ssh-agent-vars.sh file. The private key must also be reloaded once. \\
-Wenn wir eine neue Shell starten muss natürlich auch hier die ~/ssh-agent-vars.sh in der aktuellen Shell ausgeführt werden. Man kann dies in der ~/.bashrc hinterlegen.
+Of course, if we start a new shell, ~/ssh-agent-vars.sh must also be executed in the current shell. You can store this in ~/.bashrc.
-**Hinweis: wer PuTTY und openssh unter Cygwin parallel benutzt sollte sich die Benutzung von PAGEANT (PuTTY) und die Zusammenarbeit mit ssh-pageant (openssh unter Cygwin) anschauen. [[https://mplx.eu/tech/ssh-key-agents-linux-windows-cygwin|Hier ein Link zum Einstieg]] **
+**Note: if you use PuTTY and openssh under Cygwin in parallel, you should look at using PAGEANT (PuTTY) and working with ssh-pageant (openssh under Cygwin). [[https://mplx.eu/tech/ssh-key-agents-linux-windows-cygwin|Here is a link to get started]] **
+==== Step 4: Use the SSH key also from server.example.com ====
-==== Schritt 4: Den SSH Key auch von server.example.com aus benutzen ====
+Often you will find a whole server landscape on which you can register. Once you have deposited the public part of the SSH key on all servers, you can log on to any server from the client without an additional password. But if you now want to jump from one server to the other, you will be asked for the password again, because the agent only runs on our client. It is now an unforgivable sin to copy the private key to the servers in the example.com domain. \\
+**A private key must NEVER leave the client.**\\
-Oft findet man eine ganze Serverlandschaft, auf der man sich anmelden kann. Wenn man erst einmal den öffentlichen Teil des SSH Keys auf allen Servern hinterlegt hat, kann man sich vom Client aus auf jedem Server ohne weiteres Passwort anmelden. Wenn man nun aber von einem zum anderen Server springen will, wird man wieder nach dem Passwort gefragt, denn der Agent läuft ja nur auf unserem Client. Eine unverzeihliche Sünde ist es nun den Private Key auf die Server in der Domain example.com zu kopieren. \\
+Of course, openssh has a solution here, because the ssh-agent can do even more. The private key can be used in a whole chain of consecutive SSH sessions. The "-A" switch ensures that the private key is passed on through all ssh instances:
-**Ein Private Key darf den Client NIEMALS verlassen.**\\
-Natürlich hat openssh hier eine Lösung parat, denn der ssh-agent kann noch mehr. Der Private Key kann in einer ganze Kette aufeinander folgende SSH Sessions benutzt werden. Der Schalter "-A" sorgt dafür, das der Private Key durch alle ssh Instanzen weiter gereicht wird:
   client: ssh -A server.example.com
   server.example.com: ssh server2.example.com
-Auch der auf "server.example.com" abgesetzte ssh Befehl erforder kein Passwort, der ssh-agent befriedigt die Anfrage des Private Keys problemlos, sofern mittels "ssh-copy-id" der öffentliche Schlüssel auf server2.example.com bereitgestellt wurde. Die Entsprechung in der .ssh/config lautet
+The ssh command sent to "server.example.com" also does not require a password, the ssh-agent satisfies the request for the private key without any problems, provided the public key was provided on server2.example.com using "ssh-copy-id". The equivalent in the .ssh/config is
   host *
     ForwardAgent yes
-Und wieder etwas gelernt, man kann für die Definitionen in der .ssh/config Wildcards ("*" und "?") verwenden. Aber Achtung: Es werden alle Definitionen in allen Gruppen angewendet, auf die die Wildcards zutreffen.
+And learned something again, you can use wildcards ("*" and "?") for the definitions in the .ssh/config. But be careful: All definitions in all groups to which the wildcards apply are used.
+==== Step 5: Use non-public services locally ====
-==== Schritt 5: nicht öffentliche Services lokal nutzen ====
+What do you mean with that? A web server runs on server.example.com, which cannot be reached from the Internet, but which we want to address on our client. A web server is addressed on port 80 (unencrypted) or 443 (encrypted). However, this port is blocked by a firewall. The solution is: port forwarding, which is not a problem with openssh.
-Was ist damit gemeint? Auf server.example.com läuft ein WebServer, der aus dem Internet nicht erreichbar ist, den wir aber auf unserem Client ansprechen wollen. Ein WebServer wird auf Port 80 (unverschlüsselt) oder 443 (verschlüsselt) angesprochen. Dieser Port wird aber von einer Firewall geblockt. Die Lösung lautet: Port Forwarding, was mit openssh kein Problem ist.
   ssh -L 1234:localhost:443 server.example.com
-Was will uns der Dichter damit sagen? Die SSH Session wird überredet, auf dem Client den Port 1234 zu öffnen und jeglichen Traffic auf diesem Port an den Port 443 auf server.example.com ("localhost", aus dessen Sicht) weiterzuleiten. Im Browser reicht nun die Eingabe von
+What is the poet trying to tell us? The SSH session is persuaded to open port 1234 on the client and forward all traffic on that port to port 443 on server.example.com ("localhost", from his point of view). Entering in the browser is now sufficient
   https://localhost:1234
-um den Webserver zu erreichen. \\
+to reach the web server. \\
-Der Eintrag in der .ssh/config lautet
+The entry in the .ssh/config is
-  LocalForward    1234 localhost:443
+  LocalForward 1234 localhost:443
-Verwirrend? Das liegt an der Doppelnutzung von "localhost". Dieser Rechnername "localhost" bezieht sich immer auf den Rechner, auf dem er interpretiert wird. In dem SSH Command wird "localhost" aus Sicht von "server.example.com" interpretiert, im Browser, der ja auf dem Client läuft, wird es natürlich als "Client" interpretiert. \\
+Confusing? This is due to the dual use of "localhost". This computer name "localhost" always refers to the computer on which it is interpreted. In the SSH command, "localhost" is interpreted from the point of view of "server.example.com", in the browser, which runs on the client, it is of course interpreted as "client". \\
-Aber in der Serverlandschaft hinter server.example.com laufen mehrere WebServer, für jeden einzelnen ein Port Forwarding einzurichten ist wohl ein wenig aufwendig. Aber natürlich hat openssh alles zur Hand. Wir richten uns einfach einen Socks Proxy ein, den wir im Browser eintragen und schon stehen alle WebServer mit einem einzigen Eintrag im SSH Command zur Verfügung.
+But in the server landscape behind server.example.com there are several web servers running, and setting up port forwarding for each one is probably a bit time-consuming. But of course openssh has everything at hand. We simply set up a socks proxy, which we enter in the browser and all web servers are available with a single entry in the SSH command.
   ssh -D 3128 server.example.com
-Wie immer was es das schon. Nur noch im Browse die Proxy Einstellungen einstellen und die alle Webserver, die server.example.com erreichen kann, stehen zur Verfügung. Unschön ist das Verhalten, wenn man Namen statt IP-Adressen benutzt. Normalerweise sprechen wir Webseiten nach dem Schema <hostname>.<domain> (z.B. www.google.de) an. Der DNS nimmt uns die Arbeit ab, die Namen in IP Adressen zu übersetzen. Da das DNS Protokoll auf UDP basiert, ssh aber nur TCP zur Verfügung stellt, müssen die Namen entweder im öffentlichen DNS auflösbar sein oder in der lokalen Hosts Datei gepflegt sein. \\
+As always, that's it. Just set the proxy settings in the browser and all web servers that can reach server.example.com are available. The behavior is unpleasant if you use names instead of IP addresses. Normally we address websites according to the scheme <hostname>.<domain> (e.g. www.google.de). The DNS does the work for us to translate names into IP addresses. Since the DNS protocol is based on UDP, but ssh only provides TCP, the names must either be resolvable in public DNS or maintained in the local hosts file. \\
-Ach ja, wie sieht denn der Eintrag in der .ssh/config aus?
+Oh yes, what does the entry in .ssh/config look like?
-  DynamicForward  3128
+  DynamicForward 3128
+==== Conclusion: Example of a .ssh/config ====
+  # First of all the settings that should apply to all computers
-==== Fazit: Beispiel einer .ssh/config ====
+  hosting *
+    # ssh-agent should provide the private keys
-  # Ersteinmal die Einstellungen, die für alle Rechner gelten sollen
-  Host *
-    # ssh-agent soll die private Keys zur Verfügung stellen
     ForwardAgent yes
-    # Bei Ungereimtheiten mit Host Keys wollen wir gefragt werden
+    # If there are any inconsistencies with host keys, we want to be asked
     StrictHostKeyChecking ask
-    # den Wert mancher Variablen wollen wir mitschleppen, hier diejenigen,
+    # We want to carry the value of some variables with us, here those
-    # die sich auf die Sprachumgebung beziehen
+    # related to the locale
     SendEnv LANG LC_*
-    # Wo steht nochmal unser Private Key?
+    # Where is our private key again?
-    IdentityFile    ~/.ssh/rsakey
+    IdentityFile ~/.ssh/rsakey
-  # Nun zu Server.example.com
+  # Now to Server.example.com
-  # Da die für alle Hosts geltenden Einstellungen hier ebenfalls gültig sind, brauchen wir nur
+  # Since the settings that apply to all hosts are also valid here, we only need
-  # anzugeben, was sich ändert oder was hinzukommt
+  # indicate what changes or what is added
   Host Server.example.com
-    # wie lautet unser Benutzename
+    # what is our username
     User user
-    # unser netter Socks 5 Proxy
+    # our nice Socks 5 proxy
-    DynamicForward  3128
+    DynamicForward 3128
-    # Der lokale Forward um den Webserver auf server.example.com zu erreichen
+    # The local forward to reach the web server on server.example.com
-    # ist ja eigentlich unnötig, denn wir haben ja einen Dynamic Forward
+    # is actually unnecessary, because we have a dynamic forward
-    LocalForward    1234 localhost:443
+    LocalForward 1234 localhost:443
-  # Hier mal ein Beispiel für mehrere Server
+  # Here is an example for multiple servers
   Host *.example.com
     User user
-Die Grundlagen sind gelegt und die meisten Fragen beantwortet. Weitergehende HowTo's zu SSH folgen....
+The basics have been laid and most questions have been answered. Further HowTo's for SSH will follow....

OnkelHartwig Zuhause

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge