SSH-Server
Software
Die Implementierung OpenSSH gehört bei Unix/Linux-Systemen i. d. R. zum Standardumfang. Für Windows-Systeme ist PuTTY als SSH-Klient und WinSCP zum Übertragen von Dateien zu empfehlen:
- PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
- WinSCP: http://winscp.net/eng/docs/lang:de
Umgang mit SSH-Host-Schlüsseln und deren Fingerprints
SSH enthält mehrere Sicherheitsmechanismen. Neben einer verschlüsselten Datenübertragung, die die Vertraulichkeit gewährleistet, wird auch noch eine zuverlässige gegenseitige Authentifizierung der Partner, d.h. des jeweiligen Zielrechners (Servers) sowie des SSH-Benutzers realisiert.
Der Server verfügt dazu über Schlüsselpaare, die seiner indeutigen Identifikation dienen und jeweils aus einem privaten und einem öffentlichen Schlüssel bestehen. Aktuell kommen im ZKI drei Typen von Schlüsselpaaren für SSH2 zum Einsatz: RSA, ECDSA und ED25519. Durch entsprechende kryptografische Operationen weist der Server dem Klienten nach, dass er über den zu seinem öffentlichen Schlüssel gehörenden privaten Schlüssel verfügt und somit der echte Server ist.
Dieser Nachweis setzt aber voraus, dass der Klient den authentischen öffentlichen Server-Schlüssel kennt und dessen Authentizität auch wirklich prüft. Dies erfolgt automatisch über die in Dateien gespeicherten Listen bekannter Schlüssel (/etc/ssh/ssh_known_hosts, $HOME/.ssh/known_hosts). Wenn man einen Zielrechner kontaktiert, dessen öffentlicher Host-Schlüssel in den lokalen Schlüssellisten fehlt, zeigt die SSH mit der bei uns gewählten Standard-Option StrictHostKeyChecking ask den Fingerprint des öffentlichen Host-Schlüssels an und lässt den Benutzer entscheiden, ob dieser Schlüssel authentisch ist und daher die Verbindung aufgebaut werden soll:
Für einen SSH-Zugriff aus dem Internet (d. h. ohne VPN) in das WHZ-Netzwerk über den SSH-Sprungserver nutzen Sie folgende Adresse:
sshhost.fh-zwickau.de (141.32.44.57)
Deren MD5- und SHA256-Fingerprints lauten:
| Schlüsseltyp | Fingerprint des SSH-Host-Schlüssels |
|---|---|
| RSA für SSH2 | 2048 MD5:8a:05:c5:4e:1d:3d:e1:c2:0c:93:d4:71:c7:ad:15:8a 2048 SHA256:XJqdyrjZ2eKoxQup//1Qf97ElXoY22XeTVi8NVJnYkg |
| ECDSA für SSH2 | 256 MD5:a6:23:29:8f:71:44:7e:ae:d4:28:c2:af:a3:27:e1:37 256 SHA256:G8gvK+I2wlMzt4kdqpiHk7haxpVxdYw6IOOW+tg0xdg |
| ED25519 für SSH2 | 256 MD5:bd:83:90:9d:7b:83:d9:da:d8:a8:69:c0:93:29:cf:27 256 SHA256:xQvpdWQZiLrPxfajLg3IlxqilIScjf29Ohm/8N6pou0 |
Nachdem ein verschlüsselter und authentischer SSH-Kanal zum Server etabliert wurde, authentifiziert der Klient den Benutzer gegenüber dem Server. Dazu nutzen Sie Ihren WHZ-Benutzernamen ohne ein vorangestelltes "ZW\" und das dazugehörige WHZ-Passwort.
Anschließend befinden Sie sich in Ihrem Home-Verzeichnis auf dem SSH-Host. In diesen werden automatisch die folgenden Netzlaufwerke verbunden:
- Laufwerk Y: als Verzeichnis LW_Y
- Laufwerk S: als Verzeichnis LW_S
- Laufwerk W: als Verzeichnis WEB_Space