Open Source im professionellen Einsatz
Linux-Magazin 08/2013
© ellirra, 123RF.com

© ellirra, 123RF.com

Automatisierte Schlüsselverifikation

Schließanlage

,

Eine zunehmende Zahl an Hosts und die Dynamisierung des Deployments machen eine sichere Host-Authentifizierung per SSH zur Herausforderung. Von mehreren Lösungsansätzen führt mitunter nur der älteste zum Ziel.

413

Bei seiner Einführung in den 90er Jahren war SSH schlicht die richtige Lösung zur richtigen Zeit, denn es schützt im Gegensatz zu Telnet, Rlogin und RSH die Authentifizierung und Datenübertragung kryptographisch. Beim Verschlüsseln setzt SSH auf eine Public-Key-Authentifizierung. Indem es den geheimen Schlüssel eines Nutzers oder Systems mit seinem öffentlichen Gegenstück abgleicht, prüft es die Identität des Schlüsselbesitzers zweifelsfrei.

Für die Benutzeranmeldung ist eine Public-Key-Authentifizierung zwar optional, empfiehlt sich aber gegenüber einer Passwortauthentifizierung, die bekanntlich nach einer Benutzerinteraktion verlangt. Das Public-Key-Verfahren gehört zu den seltenen Fällen, in denen zusätzliche Sicherheit mit einem Komfortgewinn einher geht: Dank des mitgelieferten »ssh-agent« darf der Nutzer nach einmaligem Entsperren des Schlüsselbunds beliebig viele sichere Verbindungen ohne Passwortabfrage aufbauen.

Host-basierte Authentifizierung

Für die Host-basierte Authentifizierung verlässt sich SSH nicht nur auf den Hostnamen, sondern kann auch mit Hilfe der Hostschlüssel den Quellhost autorisieren. Dabei autorisiert sich der Client mit dem Hostschlüssel des lokalen SSH-Servers und nicht mit einem gewöhnlichen Benutzerschlüssel [1].

Normalerweise lädt der SSH-Client einen SSH-Schlüssel aus dem Homeverzeichnis des Benutzers, beispielsweise »~/.ssh/id_dsa« , und autorisiert sich mit diesem beim Server. Bei der Host-basierten Authentifizierung verwendet der Client hingegen den privaten Schlüssel des SSH-Servers, der auf dem Clientrechner läuft. Der Zugriff erfolgt über das Tool »ssh-keysign« , das nur dafür existiert und mit Hilfe von SUID-Permissions die nur »root« zugänglichen Hostschlüssel in »/etc/ssh« benutzt. Der Zielserver muss anschließend den Hostschlüssel vom Client-Rechner über die Dateien »/etc/ssh/ssh_known_hosts« oder »~/.ssh/known_hosts« bestätigen.

Wie von Geisterhand

Die Authentifizierung per Schlüsselpaar klappt auch nicht-interaktiv, also ohne manuelle Eingriffe des Administrators. Das macht sie – zumindest in der Theorie – zur idealen Basis für eine automatisierte Kommunikation von Maschine zu Maschine (M2M). Nach bester Unix-Philosophie ("Ein Werkzeug pro Aufgabe") verlassen sich dabei zahlreiche Tools auf die Infrastruktur von SSH. Kein Wunder also, dass die weit verbreitete SSH-Implementierung Open SSH dafür zahlreiche erweiterte Funktionen an Bord hat. Zu den bekannten Möglichkeiten zählen die Optionen, mit deren Hilfe SSH Daten tunnelt, Port- und X-Forwarding betreibt oder Daten verschlüsselt über SFTP und SCP überträgt. Doch es gibt auch eine Reihe weniger bekannter Optionen wie zum Beispiel »PermitRootLogin=forced-commands-only« , das nur eingeschränkte Root-Zugriffe erlaubt.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Schlüsselfertig

    Kaum ein Werkzeug bestimmt den Alltag des Administrators mehr als die Secure Shell, die SSH. Fernwartung von Linux- oder Unix-Rechnern ist heute ohne sie nicht mehr vorstellbar. Deshalb widmet sich dieser Artikel ganz dem Teil 1.113.7 der LPI-Prüfung.

  • Licht ins Dickicht

    Authentifizierung, Autorisierung, CA, Credentials, DES, Hash, ID, Kerberos, Name, One-Time-Pad, PAM, Passwort, PKI, SASL, Shadow, Schlüssel, Single Sign-on, SSH, SSL, Ticket, TLS, TGS, TGT: Der folgende Artikel eignet sich als Wanderkarte durch den Begriffsdschungel.

  • Blick-dicht

    OpenSSH hat sich zum Standard-Tool für verschlüsselte Remote-Logins entwickelt. Wer die Sicherheitsfunktionen dieses Wekzeugs richtig nutzen will, kann etwas Hintergrundwissen gut brauchen.

  • Gezähmter Höllenhund

    Ausgerechnet Microsoft zeigt der Unix-Welt seit Jahren, wie die Kombination aus dem Verzeichnisdienst Active Directory und Kerberos erfolgreich zentrale Benutzerverwaltung und Single-Sign-on implementiert. Mit nur wenig Handarbeit klinkt sich auch Linux ein.

  • Speicher mit Anschluss

    NFS ist der Klassiker unter den Netzwerkdateisystemen von Linux. Lesen Sie in diesem Artikel, wie das Dateisystem funktioniert und mit welchen Funktionen NFSv4 für höchste Sicherheit sorgt.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.