Externer Zugriff: Unterschied zwischen den Versionen

Aus Physik
Zur Navigation springen Zur Suche springen
Zeile 92: Zeile 92:
 
Mit NX ist es möglich, von einem externen Standort aus auf dem grafischen Linux-Desktop des ITP zu arbeiten. Dazu muss zuerst der NX-Client für Windows, Linux oder Mac von der Website [http://www.nomachine.com/download.php http://www.nomachine.com/download.php] unter "NX Client Products" heruntergeladen und installiert werden.
 
Mit NX ist es möglich, von einem externen Standort aus auf dem grafischen Linux-Desktop des ITP zu arbeiten. Dazu muss zuerst der NX-Client für Windows, Linux oder Mac von der Website [http://www.nomachine.com/download.php http://www.nomachine.com/download.php] unter "NX Client Products" heruntergeladen und installiert werden.
   
Konfiguriert wird der Client ueber den "NX Connection Wizard" mit folgenden Einstellungen:
+
Konfiguriert wird der Client ueber den "NX Connection Wizard" (unter Windows im Startmenü Programme/NX Client for Windows) mit folgenden Einstellungen:
   
 
''Session:'' itp<br>
 
''Session:'' itp<br>

Version vom 17. November 2008, 12:37 Uhr

Über das Internet sind die Computer als fubphpc01.tu-graz.ac.at bis fubphpc16.tu-graz.ac.at erreichbar. Auf dieser Seite ist eine Zusammenstellung von Programmen zu finden, die unterschiedliche damit zusammenhängende Funktionen bieten. Auskunft über den Status der einzelnen Computer gibt das [http://itp.tugraz.at/ganglia2/?r=hour&s=descending&c=FUB%2520-%2520Computerraum%2520Physik Ganglia Cluster Toolkit].

Sicherheit von SSH, SCP, SFTP

Alle diese drei Programme verwenden das SSH-Protokoll. Dieses bietet zwei wesentliche Sicherheitsfeatures:

  1. Kein Teil der Kommunikation findet unverschlüsselt statt.
  2. Jeder Computer erhält bei der Installation einen Fingerprint, der ihn identifiziert.

Fingerprints

Der Fingerprint stellt sicher, dass die Verbindung wirklich zu dem gewünschten Computer aufgebaut wird. Er soll also ausschließen, dass ein Angreifer die Verbindung auf seinen eigenen Computer umleitet und dadurch Benutzername und Passwort herausfindet.
Bei der ersten Verbindung ist dieser Fingerprint nicht bekannt und es wird gefragt, ob er akzeptiert werden soll. Man sollte den angebotenen Fingerprint mit dem passenden (je nach Computer) aus dieser Liste vergleichen: http://itp.tugraz.at/Comp/conf/ssh_known_hosts.fingerprints
Wird der Fingerprint akzeptiert, wird er in der Regel (je nach Programm) gespeichert und bei jedem neuerlichen Verbindungsaufbau verglichen. Ändert sich der Fingerprint des Computers, erhält man eine Warnung.

Linux

BenutzerInnen von Linux können die Datei http://itp.tugraz.at/Comp/conf/ssh_known_hosts nach /etc/ssh/ss_known_hosts oder ~/.ssh/known_hosts/ kopieren. Danach kennt der Computer alle Fingerprints der Computer am Institut und es wird nicht nachgefragt, ob er akzeptiert werden soll. Ändert sich einer dieser Schlüssel (etwa durch eine Neuinstallation des SSH-Servers) erhält man eine Warnung folgender Art:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
6e:3e:60:da:e0:0c:93:42:be:48:cb:ff:a5:a4:4b:98.
Please contact your system administrator.
Add correct host key in /afs/itp.tugraz.at/user/user1/.ssh/known_hosts to get rid of this message.
Offending key in /afs/itp.tugraz.at/user/user1/.ssh/known_hosts:301
RSA host key for pluto.tugraz.at has changed and you have requested strict checking.
Host key verification failed.

In diesem Fall sollte man obige Datei erneut herunterladen. Bleibt die Warnung bestehen, kann es sein, dass das File noch nicht aktualisiert wurde oder man tatsächlich attackiert wird.

Windows

Wo und wie die Fingerprints unter Windows gespeichert werden, hängt vom jeweiligen Client-Programm ab und sollte in dessen Dokumentation zu finden sein.

Windows

  • windowsAFS Das Homeverzeichnis des Computerraums als Netzwerklaufwerk unter Windows einbinden.
  • winSCP Eine Art ftp-Programm, mit dem Dateien unter Windows vom und zum Computerraum kopiert werden können.
  • putty Ein Windows Programm, mit dem über Internet ein Terminal an einem Computerraum PC aufgemacht werden kann.
  • Cygwin Ein Posix Layer für Windows, der die Ausführung von UNIX-Programmen unter Windows erlaubt.

Linux

Die folgenden Programme stellen Netzwerkfunktionalitäten unter Linux zur Verfügung und sollten in jeder Distribution enthalten sein.

  • Mit ssh <Username>@fubphpc<XX>.tu-graz.ac.at kann man eine verschlüsselte Verbindung zu einem Computer aufbauen, und dort Befehle ausführen. Wenn es am eigenen Computer erlaubt ist, können auch graphische Programme geöffnet werden. (Unter Debian ist dies standardmäßig nicht erlaubt, kann aber in der Datei /etc/ssh/ssh_config aktiviert werden).
  • Mit scp können Dateien zwischen zwei Computern kopiert werden.
    Syntax scp [[user@]host1:]file1 [...] [[user@]host2:]file2 . Weitere Optionen sind in der Manual Page aufgeführt (erreichbar mit man scp ). Eine graphische Alternative bietet der Konqueror (Dateimanager) von KDE. Dort ist in die Adresszeile fish://fubphpcXX.tu-graz.ac.at einzugeben.
  • Konqueror und Midnight Commander bieten ein graphisches Frontend zu diesen Programmen.

AFS

  • Um das Homeverzeichniss per AFS zu Hause zu mounten bitte diese Anleitung lesen: Linux AFS

SSHFS

  • ... ermöglicht ein beliebiges Verzeichnis zu Hause getunnelt über SSH zu mounten.

Um dies zu verwenden muß das sshfs Paket für die jeweilige Distribution installiert werden. Zusätzlich muss das fuse Kernelmodul vorhanden sein, und eventuell mit

$ modprobe fuse

geladen werden. Eintrag in /etc/modules lädt dieses Modul (bei Debian) schon zur Bootzeit.

Die Benutzer, die Berechtigung zum Mounten haben sollen müssen in /etc/group der Gruppe fuse (bei Debian) hinzugefügt werden. Bei anderen Distributionen jene Gruppe, der die Datei /usr/bin/fusermount "gehört".

Jetzt kann mit

$ sshfs <username>@<fubphpc...>:/afs/itp.tugraz.at/user/<username> <mountpoint>

das Homeverzeichnis gemountet werden.

Unmounten ist mit

$ fusermount -u <mountpoint>

möglich.

Siehe auch Wikipedia
oder auch http://www.heise.de/ct/faq/hotline/06/17/13.shtml

NX

Mit NX ist es möglich, von einem externen Standort aus auf dem grafischen Linux-Desktop des ITP zu arbeiten. Dazu muss zuerst der NX-Client für Windows, Linux oder Mac von der Website http://www.nomachine.com/download.php unter "NX Client Products" heruntergeladen und installiert werden.

Konfiguriert wird der Client ueber den "NX Connection Wizard" (unter Windows im Startmenü Programme/NX Client for Windows) mit folgenden Einstellungen:

Session: itp
Host: faepop13.tugraz.at
Internet Connection: Je nach Geschwindigkeit der Verbindung (Standard: ADSL)
Desktop: Unix/KDE oder Unix/Gnome, für xfce4-Desktop Unix/CDE. (Standard: Unix/KDE)
Screen Size: Available Area (Desktop in einem separaten Fenster) oder Fullscreen (Vollbildmodus) (Standard: Available Area)

Die Session kann dann mit dem "NX Client" gestartet und bei Bedarf mit "Configure" noch bearbeitet werden.

Der NX-Zugriff befindet sich derzeit in der Testphase. Kontakt bei Fragen oder Problemen: [[1]]