SSH-Public-Key-Zugang auf Server der KU

B. Brandel

Bereits die INKUERZE 1/2001 hatte den sicheren Zugriff auf Server mit Secure Shell (SSH) zum Thema. Wie Sie SSH unter Windows installieren und für die klassische Passwort-Authentifizierung konfigurieren können, wurde unter http://www1.kueichstaett.de/urz/install/ssh.pdf (März 2002) beschrieben. Ein `Zuckerl' haben wir Ihnen jedoch bisher vorenthalten: SSH bietet mit der Public-Key-Authentifizierung eine weitere Anmeldemethode, die gegenüber der Passwortmethode deutliche Vorteile bietet. Wie Sie diese auf wichtigen Servern der KU nutzen können, ist Gegenstand dieses Artikels.

Was ist Public-Key-Authentifizierung?

Public-Key-Verschlüsselung verwendet einen öffentlichen Schlüssel zur Datenentschlüsselung und einen privaten Schlüssel zur Verschlüsselung. Die Bezeichnung `Public-Key-Verschlüsselung' stammt daher, dass man den Entschlüsselungs-Key veröffentlichen kann, ohne die Vertraulichkeit der Daten oder des Verschlüsselungs-Keys zu verletzen.

Konkret bedeutet dies, dass jeder Nutzer gefahrlos seinen öffentlichen Schlüssel von seinem PC auf einen oder mehrere Server per Upload übertragen und dort in seinem Heimatverzeichnis installieren kann. Zur Herstellung des Zugangs zum Server benötigt der Nutzer dann den zum dort abgelegten öffentlichen Schlüssel passenden privaten Schlüssel, um sich dem Server gegenüber identifizieren zu können.

Zum weiteren Schutz für den privaten Schlüssel wird dieser nicht in Klartextgestalt auf seinem PC abgelegt, sondern zuvor mit Hilfe einer Passphrase, die sich der Nutzer gut merken muss, verschlüsselt.

Wo sind nun die Unterschiede zur Passwort-Authentifizierung?

• Für den Benutzer gibt es auf den ersten Blick keinen großen Unterschied, außer dass er einmal seinen öffentlichen Schlüssel auf jedem Server hinterlegen muss.

• Die Authentifizierung ist jedoch sicherer, denn der Benutzer muss nicht nur über den geheimen Schlüssel verfügen sondern auch noch die Passphrase kennen. Ein böser Mensch kann Ihnen beim Tippen von Passwort bzw. Passphrase sehr wohl über die Schulter schauen. Mit der Passphrase allein ohne Kenntnis des geheimen Schlüssels kommt er aber nicht weit, während er sich mit einem abgeschauten Passwort sehr wohl einloggen könnte.

• Im Gegensatz zum Passwort muss die Passphrase auch nicht über das Netz transferiert werden.

• Ein weiterer Vorteil liegt darin, dass der Nutzer sich jetzt nur noch eine Passphrase merken muss, was besonders bei vielen verschiedenen Benutzerkonten von Vorteil ist.

Server der KU mit Public-Key-Unterstützung

Folgende Server der KU bieten Public-Key-Authentifizierung an:

• WWW-Server: www1.ku-eichstaett.de
  Fingerprint (Wort): xotor-noneb-cusuc-fyraz-muzyr-botyd-bezit-neboh-bavad-kyfoz-paxyx
  Fingerprint (Hex): 1024 13:4e:ff:27:82:69:ef:71:c0:9f:69:ac:a3:c3:3b:9f

• Compute-Server: compute.ku-eichstaett.de
  Fingerprint (Wort): ximar-fezed-myfoz-syvom-syzac-gakib-peram-cisez-dabis-sikep-cixox
  Fingerprint (Hex): 1024 ea:93:a4:69:b8:94:26:3f:7b:0a:9c:f4:a5:e5:13

• Mathematikserver: eo-dec-mathsrv.ku-eichstaett.de
  Fingerprint(Wort): xekip-tevab-namom-zakyv-vahyh-hypyh-fasot-fysiv-dufeb-papos-nuxyx
  Fingerprint (Hex): 1024 98:ff:7f:04:c4:02:cb:07:2f:b2:cc:dc:89:17:c8:1e

Da der Mailserver mail.ku-eichstaett.de kein Login erlaubt, sondern lediglich eine Passwortänderung per SSH-Zugang, macht dort die Public-Key-Authentifizierung auch keinen Sinn. Der Vollständigkeit halber seien aber auch seine Fingerprints hier nochmals aufgeführt:

Mail-Server: mail.ku-eichstaett.de
Fingerprint (Wort): xifah-pyduh-nyhup-viros-dogar-zivim-ludeg-fizyt-zotub-lyleb-pyxox
Fingerprint (Hex): 1024 87:70:ca:69:93:f1:d2:da:08:9d:5a:96:14:8c:ab:b7

Nutzung der Public-Key-Authentifizierung an der KU

Unter http://www1.ku-eichstaett.de/urz/install/ssh.pdf (März 2002) wurde die Installation und Konfiguration des SSH Secure Shell Clients der Firma SSH Communications Security für die SSH-Server der KU beschrieben. Wenn Sie nach dieser Anleitung vorgehen, können Sie per Passwort-Authentifizierung auf unsere Server zugreifen. Wenn Sie wahlweise auch über Public-Key-Methoden auf unsere Server zugreifen möchten, sollten Sie im Abschnitt `3. Konfiguration' auf der Registerkarte Authentication die Authentication-Methode Public-Key an die erste Stelle der Liste, d.h. vor die Methode Password bewegen.

Beim Anmeldevorgang versucht Ihr PC dann zuerst eine Public-Key-Authentifizierung. Falls diese fehl schlägt, weil sie noch nicht eingerichtet ist oder Ihre Passphrase falsch war, funktioniert die Passwort-Methode weiterhin.

Die eigentliche Einrichtung der Public-Key-Authentifizierung finden Sie unter http://www.dfn.de/service/Roaming-Anleitung.pdf beschrieben. In diesem Dokument sind außer der Installation, Konfiguration und Nutzung des SSH Secure Shell Clients der Firma SSH Communications Security zusätzlich zur Passwort-Authentifizierung auch die Konfiguration und Nutzung der Public-Key-Authentifizierung erläutert.

Leider geht diese Anleitung aber davon aus, dass die Server, mit denen Sie sich verbinden möchten, das SSH-Serverprodukt der Firma SSH Communications Security einsetzen, das jedoch zu openssh , dem SSH-Server-Produkt an der KU, nicht kompatibel ist. openssh erwartet nämlich auf dem Server die hochgeladenen Schlüssel an einem anderem Ort und in einem anderen Format (siehe http://www.dfn-cert.de/infoserv/dib/dib-2002-01-ssh/ssh-bulletin.pdf, Abschnitte 3.5.3.-3.5.5.).

Um trotzdem die Public-Key-Authentifizierung nutzen zu können, gehen Sie bitte wie folgt vor:

• Erzeugen Sie sich, wie in http://www.dfn.de/service/Roaming-Anleitung.pdf unter `2.3. Erzeugen eines Schlüsselpaares für das Public-Key-Verfahren' beschrieben, ein Schlüsselpaar und laden es auf Ihren KU-Server (ins vorgeschlagene Verzeichnis  /.ssh2) hoch.

• Bevor Sie mit `2.4. Einloggen nach der Public-Key-Methode' fortfahren können, müssen Sie folgenden Zwischenschritt durchführen, um auf dem Server die im inkompatiblen SSH2-Format hochgeladenen Schlüssel für openssh kompatibel zu machen:

  • Bleiben Sie eingeloggt oder melden Sie sich nochmals mit der Passwort-Methode auf dem Server an.

  • Geben Sie anschließend folgende Befehle ein:

    ln -s ~/.ssh2 ~/.ssh (Link zum SSH-Verzeichnis anlegen) ssh-keygen -i -f ~/.ssh/MyKey.pub >> ~/.ssh/authorized_keys (Da alle Ihre Schlüssel bei Verwendung eines openssh -Servers in der Datei ~/.ssh/authorized_keys hintereinander stehen müssen, wird Ihr unter dem Namen Mykey.pub gerade hochgeladener Schlüssel ans Ende dieser Datei angehängt) ln -s ~/.ssh/authorized_keys ~/.ssh/authorized_keys2 (Der Mathematikserver eo-dec-mathsrv.ku-eichstaett.de erwartet die Schlüssel unter ~/.ssh/authorized_keys2; dieser Befehl kann auf den Servern www1 und compute weggelassen werden) chmod -R 700 ~/.ssh2 (Fremdnutzer sollen Ihre Schlüsseldateien nicht einsehen können)

    
    

  • Melden Sie sich vom System wieder ab.

• Anschließend können Sie sich nach `2.4. Einloggen nach der Public-Key-Methode' mittels Public-Key-Authentifizierung anmelden. Fertig!

Wenn Sie noch mehr über die Nutzung von SSH erfahren möchten, möchte ich Sie auf die Security-Kurse des Universitätsrechenzentrums hinweisen, die alljährlich im Wintersemester in Ingolstadt (7./14.11.2003 jeweils von 8.30-12.00 Uhr und 13.15-16.30 Uhr) angeboten werden. Bei hinreichendem Bedarf ist der Autor gerne bereit, dieselben Kurse auch in Eichstätt anzubieten. Setzen Sie sich dann bitte mit ihm in Verbindung.

Literatur:

Ausführliche schriftliche Dokumentationen zum Thema SSH finden Sie unter folgenden URLs:

http://www.dfn-cert.de/infoserv/dib/dib-2002-01-ssh/ssh-bulletin.pdf
http://www1.ku-eichstaett.de/urz/inkuerze/1_01/secure.html
http://www1.ku-eichstaett.de/urz/install/ssh.pdf
http://www.dfn.de/service/Roaming-Anleitung.pdf
http://kimmo.suominen.com/ssh

Die Liste aller ausgestellten SSH-Keys der Server der KU finden Sie auch jederzeit im WWW unter http://www.ku-eichstaett.de/Rechenzentrum/dienstleist/faq/netz_faq.