Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
knb:ssh [2020/06/04 18:48] – [SSH-Clientconfig] Django | knb:ssh [2020/06/05 13:03] – [SSH-Key] Typo-/Formatierug bereinigt Django |
---|
Für den Zugriff benötigen wir natürlich ein entsprechendes SSH-Schlüsselpaar, welches wir uns zunächst erstellen. Aktuell ((Stand. 2020)) werden leider noch keine [[https://de.wikipedia.org/wiki/Curve25519|Ed25519]]Schlüssel, einem ein Elliptic Curve Signature Schema, welches beste Sicherheit bei vertretbaren Aufwand verspricht, als ECDSA, DSA oder RSA dies der Fall is, unterstützt. Somit werden wir uns einen RSA-Schlüssel mit ausreichend großer Schlüssellänge erstellen. | Für den Zugriff benötigen wir natürlich ein entsprechendes SSH-Schlüsselpaar, welches wir uns zunächst erstellen. Aktuell ((Stand. 2020)) werden leider noch keine [[https://de.wikipedia.org/wiki/Curve25519|Ed25519]]Schlüssel, einem ein Elliptic Curve Signature Schema, welches beste Sicherheit bei vertretbaren Aufwand verspricht, als ECDSA, DSA oder RSA dies der Fall is, unterstützt. Somit werden wir uns einen RSA-Schlüssel mit ausreichend großer Schlüssellänge erstellen. |
| |
$ ssh-keygen -b 4096 -t rsa -C [email protected] -f ~/.ssh/id_rsa4096_ff | <code> $ ssh-keygen -b 4096 -t rsa -C [email protected] -f ~/.ssh/id_rsa4096_ff</code> |
| |
<code>Generating public/private rsa key pair. | <code>Generating public/private rsa key pair. |
| |
==== SSH-Clientconfig ==== | ==== SSH-Clientconfig ==== |
Um nun nicht jedes mal beim Aufruf einer SSH-Verbindung zu einem unserer Knoten, Parameter wie **user** und die doch sehr langen **IPv6**-Adressen angeben zu müssen, hinterlegen dwir die entsprechenden Daten in der Konfigurationsdatei unseres lokalen SSH-Clients auf unserem Admin-Rechners. Können wir den Zielhost direkt erreichen, so brauchen wir die IPv6-Adresse nicht mit **[** maskieren, wir können diuese also direkt angebene, wie in dem gezeigtem Beispiel: | Um nun nicht jedes mal beim Aufruf einer SSH-Verbindung zu einem unserer Knoten, Parameter wie **user** und die doch sehr langen **IPv6**-Adressen angeben zu müssen, hinterlegen dwir die entsprechenden Daten in der Konfigurationsdatei unseres lokalen SSH-Clients auf unserem Admin-Rechners. Können wir den Zielhost direkt erreichen, so brauchen wir die IPv6-Adresse nicht mit **[** maskieren, wir können diuese also direkt angebene, wie in dem gezeigtem Beispiel: \\ |
**''Hostname 2001:608:a01:106:822a:a8ff:feea:fae3''**. | **''Hostname 2001:608:a01:106:822a:a8ff:feea:fae3''**. |
| |
Die Verwendung einer eignen individuellen SSH-Clinetkonfigurationsdatei hat darüber hinaus auch noch zusätzlich den Vorteil, dass z.B. von einem Netz aus, bei dem es "nur" **IPv4**-Adressen Verwendung finden wir keinen zusätzlichen Sprunghost angeben brauchen. Hier müssen wir lediglich dann darauf achten, dass die IPv6_Zieladresse dann mit Hilfe von **[** entsprechend maskiert werden, wie im nachfolgenden Beispiel beim Host **ff_pliening_gbw_od-e** dann **''Hostname [2001:608:a01:106:822a:a8ff:feea:fae3]''**. Dies erleichtert die Arbeit doch ungemein, vor allem dann wenn Dateien von und zum Router kopiert werden müssen. Hintergrundinformationen zur Clientkonfiguration sind im Kapitel [[https://dokuwiki.nausch.org/doku.php/centos:ssh_c7#client_konfiguration|Client Konfiguration bei der Secure Shell]] zu finden. | Die Verwendung einer eignen individuellen SSH-Clinetkonfigurationsdatei hat darüber hinaus auch noch zusätzlich den Vorteil, dass z.B. von einem Netz aus, bei dem es "nur" **IPv4**-Adressen Verwendung finden wir keinen zusätzlichen Sprunghost angeben brauchen. Hier müssen wir lediglich dann darauf achten, dass die IPv6_Zieladresse dann mit Hilfe von **[** entsprechend maskiert werden, wie im nachfolgenden Beispiel beim Host **ff_pliening_gbw_od-e** dann: \\ **''Hostname [2001:608:a01:106:822a:a8ff:feea:fae3]''**. Dies erleichtert die Arbeit doch ungemein, vor allem dann wenn Dateien von und zum Router kopiert werden müssen. Hintergrundinformationen zur Clientkonfiguration sind im Kapitel [[https://dokuwiki.nausch.org/doku.php/centos:ssh_c7#client_konfiguration|Client Konfiguration bei der Secure Shell]] zu finden. |
| |
So ist z.B. in nachfolgendem Konfigurationsbeispiel der Router **ff_pliening_gbw_od** direkt erreichbar und der Router **ff_pliening_gbw_od-e** nur über den eigenen Sprunghost, der dann das Bindeglied zwischen IPv4 und IPv6 herstellt, mit Namen **jumphost**, der natürlich auch eine entsprechende Konfiguration aufweist. Der sicherheitsbewusste Admin von entsprechenden Hosts/Servern und Freifunkknoten wird natürlich unterschiedliches Schlüsselmaterial fü die verschiedenen Systeme (Sprungosts und anderen Servern) und den Freifunkknoten verwenen. Die jeweiligen Schlüssel werden mit dem Parameter **''IdentityFile''** definiert. | So ist z.B. in nachfolgendem Konfigurationsbeispiel der Router **ff_pliening_gbw_od** direkt erreichbar und der Router **ff_pliening_gbw_od-e** nur über den eigenen Sprunghost, der dann das Bindeglied zwischen IPv4 und IPv6 herstellt, mit Namen **jumphost**, der natürlich auch eine entsprechende Konfiguration aufweist. Der sicherheitsbewusste Admin von entsprechenden Hosts/Servern und Freifunkknoten wird natürlich unterschiedliches Schlüsselmaterial fü die verschiedenen Systeme (Sprungosts und anderen Servern) und den Freifunkknoten verwenen. Die jeweiligen Schlüssel werden mit dem Parameter **''IdentityFile''** definiert. |