Externer Zugriff: Unterschied zwischen den Versionen

Aus Physik
Zur Navigation springen Zur Suche springen
K
Zeile 14: Zeile 14:
   
 
===Fingerprints===
 
===Fingerprints===
Der Fingerprint soll ausschließen, dass ein Angreifer die Verbindung
+
Der Fingerprint stellt sicher, dass die Verbindung wirklich zu dem gewünschten Computer aufgebaut wird. Er soll also ausschließen, dass ein Angreifer die Verbindung
auf einen eigenen Computer umleitet und dadurch Benutzername und
+
auf seinen eigenen Computer umleitet und dadurch Benutzername und
Passwort herausfindet. Bei der ersten Verbindung ist dieser
+
Passwort herausfindet. <br>
  +
Bei der ersten Verbindung ist dieser
 
Fingerprint nicht bekannt und es wird gefragt, ob er akzeptiert
 
Fingerprint nicht bekannt und es wird gefragt, ob er akzeptiert
  +
werden soll. Man sollte den angebotenen Fingerprint mit dem passenden (je nach Computer) aus dieser Liste vergleichen: http://itp.tugraz.at/Comp/conf/ssh_known_hosts.fingerprints<br>
werden soll. Benutzerinnen von Linux sollten die Datei
 
  +
Wird der Fingerprint akzeptiert, wird er in der Regel (je nach Programm) gespeichert und bei jedem neuerlichen Verbindungsaufbau verglichen. Ändert sich der Fingerprint des Computers erhält man eine Warnung.
  +
====Linux====
  +
BenutzerInnen von Linux können die Datei
 
http://itp.tugraz.at/Comp/conf/ssh_known_hosts nach <tt>
 
http://itp.tugraz.at/Comp/conf/ssh_known_hosts nach <tt>
 
/etc/ssh/ss_known_hosts </tt> oder <tt> ~/.ssh/known_hosts/ </tt>
 
/etc/ssh/ss_known_hosts </tt> oder <tt> ~/.ssh/known_hosts/ </tt>
 
kopieren. Danach kennt der Computer alle Fingerprints der Computer am
 
kopieren. Danach kennt der Computer alle Fingerprints der Computer am
  +
Institut, und es wird nicht nachgefragt ob er akzeptiert werden soll.
Institut. Ändert sich einer dieser Schlüssel (etwa durch eine
 
  +
Ändert sich einer dieser Schlüssel (etwa durch eine
 
Neuinstallation des SSH-Servers) erhält man eine
 
Neuinstallation des SSH-Servers) erhält man eine
 
Warnung folgender Art
 
Warnung folgender Art
Zeile 34: Zeile 39:
 
6e:3e:60:da:e0:0c:93:42:be:48:cb:ff:a5:a4:4b:98.
 
6e:3e:60:da:e0:0c:93:42:be:48:cb:ff:a5:a4:4b:98.
 
Please contact your system administrator.
 
Please contact your system administrator.
Add correct host key in /afs/itp.tugraz.at/user/schrodk/.ssh/known_hosts to get rid of this message.
+
Add correct host key in /afs/itp.tugraz.at/user/user1/.ssh/known_hosts to get rid of this message.
Offending key in /afs/itp.tugraz.at/user/schrodk/.ssh/known_hosts:301
+
Offending key in /afs/itp.tugraz.at/user/user1/.ssh/known_hosts:301
 
RSA host key for pluto.tugraz.at has changed and you have requested strict checking.
 
RSA host key for pluto.tugraz.at has changed and you have requested strict checking.
 
Host key verification failed.
 
Host key verification failed.
Zeile 41: Zeile 46:
 
Warnung bestehen, kann sein, dass das File noch nicht aktualisiert wurde
 
Warnung bestehen, kann sein, dass das File noch nicht aktualisiert wurde
 
oder man tatsächlich attackiert wird.
 
oder man tatsächlich attackiert wird.
  +
  +
====Windows====
  +
Wo und wie die Fingerprints unter Windows gespeichert werden hängt vom jeweiligen Client-Programm ab, und sollte in dessen Dokumentation zu finden sein.
   
 
==Windows==
 
==Windows==

Version vom 20. Mai 2005, 16:39 Uhr

Über das Internet sind die Computer als fubphpc01.tu-graz.ac.at bis fubphpc16.tu-graz.ac.at erreichbar. Auf dieser Seite ist eine Zusammenstellung von Programmen zu finden, die unterschiedliche damit zusammenhängende Funktionen bieten. Auskunft über den Status der einzelnen Computer gibt das [http://itp.tugraz.at/ganglia2/?r=hour&s=descending&c=FUB%2520-%2520Computerraum%2520Physik Ganglia Cluster Toolkit].

Sicherheit von SSH, SCP, SFTP

Alle diese drei Programme verwenden das SSH-Protokoll. Dieses bietet zwei wesentliche Sicherheitsfeatures:

  1. Kein Teil der Kommunikation findet unverschlüsselt statt.
  2. Jeder Computer erhält bei der Installation einen Fingerprint, der ihn identifiziert.

Fingerprints

Der Fingerprint stellt sicher, dass die Verbindung wirklich zu dem gewünschten Computer aufgebaut wird. Er soll also ausschließen, dass ein Angreifer die Verbindung auf seinen eigenen Computer umleitet und dadurch Benutzername und Passwort herausfindet.
Bei der ersten Verbindung ist dieser Fingerprint nicht bekannt und es wird gefragt, ob er akzeptiert werden soll. Man sollte den angebotenen Fingerprint mit dem passenden (je nach Computer) aus dieser Liste vergleichen: http://itp.tugraz.at/Comp/conf/ssh_known_hosts.fingerprints
Wird der Fingerprint akzeptiert, wird er in der Regel (je nach Programm) gespeichert und bei jedem neuerlichen Verbindungsaufbau verglichen. Ändert sich der Fingerprint des Computers erhält man eine Warnung.

Linux

BenutzerInnen von Linux können die Datei http://itp.tugraz.at/Comp/conf/ssh_known_hosts nach /etc/ssh/ss_known_hosts oder ~/.ssh/known_hosts/ kopieren. Danach kennt der Computer alle Fingerprints der Computer am Institut, und es wird nicht nachgefragt ob er akzeptiert werden soll. Ändert sich einer dieser Schlüssel (etwa durch eine Neuinstallation des SSH-Servers) erhält man eine Warnung folgender Art

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
6e:3e:60:da:e0:0c:93:42:be:48:cb:ff:a5:a4:4b:98.
Please contact your system administrator.
Add correct host key in /afs/itp.tugraz.at/user/user1/.ssh/known_hosts to get rid of this message.
Offending key in /afs/itp.tugraz.at/user/user1/.ssh/known_hosts:301
RSA host key for pluto.tugraz.at has changed and you have requested strict checking.
Host key verification failed.

In diesem Fall sollte man obige Datei erneut herunterladen. Bleibt die Warnung bestehen, kann sein, dass das File noch nicht aktualisiert wurde oder man tatsächlich attackiert wird.

Windows

Wo und wie die Fingerprints unter Windows gespeichert werden hängt vom jeweiligen Client-Programm ab, und sollte in dessen Dokumentation zu finden sein.

Windows

  • windowsAFS Das Homeverzeichnis des Computerraums als Netzwerklaufwerk unter Windows einbinden.
  • winSCP Eine Art ftp-Programm, mit dem Dateien unter Windows vom und zum Computerraum kopiert werden können.
  • putty Ein Windows Programm, mit dem über Internet ein Terminal an einem Computerraum PC aufgemacht werden kann.
  • Cygwin Ein Posix Layer für Windows, der die Ausführung von UNIX-Programmen unter Windows erlaubt.

Linux

Die folgenden Programme stellen Netzwerkfunktionalitäten unter Linux zur Verfügung und sollten in jeder Distribution enthalten sein.

  • Mit ssh <Username>@fubphpc<XX>.tu-graz.ac.at kann man eine verschlüsselte Verbindung zu einem Computer aufbauen, und dort Befehle ausführen. Wenn es am eigenen Computer erlaubt ist, können auch graphische Programme geöffnet werden. (Unter Debian ist dies standardmäßig nicht erlaubt, kann aber in der Datei /etc/ssh/ssh_config aktiviert werden).
  • Mit scp können Dateien zwischen zwei Computern kopiert werden.
    Syntax scp [[user@]host1:]file1 [...] [[user@]host2:]file2 . Weitere Optionen sind in der Manual Page aufgeführt (erreichbar mit man scp ). Eine graphische Alternative bietet der Konqueror (Dateimanager) von KDE. Dort ist in die Adresszeile fish://fubphpcXX.tu-graz.ac.at einzugeben.
  • Konqueror und Midnight Commander bieten ein graphisches Frontend zu diesen Programmen.
  • Um das Homeverzeichniss per AFS zu Hause zu mounten bitte diese Anleitung lesen: Linux AFS