Externer Zugriff: Unterschied zwischen den Versionen

Aus Physik
Zur Navigation springen Zur Suche springen
(Information über Fingerprints hinzugefügt)
K
Zeile 8: Zeile 8:
   
 
==Sicherheit von SSH, SCP, SFTP==
 
==Sicherheit von SSH, SCP, SFTP==
Alle diese drei Programme verwenden das SSH Protokoll.
+
Alle diese drei Programme verwenden das SSH-Protokoll.
 
Dieses bietet zwei wesentliche Sicherheitsfeatures:
 
Dieses bietet zwei wesentliche Sicherheitsfeatures:
 
# Kein Teil der Kommunikation findet unverschlüsselt statt.
 
# Kein Teil der Kommunikation findet unverschlüsselt statt.
Zeile 15: Zeile 15:
 
===Fingerprints===
 
===Fingerprints===
 
Der Fingerprint soll ausschließen, dass ein Angreifer die Verbindung
 
Der Fingerprint soll ausschließen, dass ein Angreifer die Verbindung
auf einen eigenen Computer umleitet und dadurch an Benutzername und
+
auf einen eigenen Computer umleitet und dadurch Benutzername und
Passwort kommt. Bei der ersten Verbindung ist dieser
+
Passwort herausfindet. Bei der ersten Verbindung ist dieser
Fingerprint nicht bekannt und der Benutzer wird gefragt, ob er diesen
+
Fingerprint nicht bekannt und es wird gefragt, ob er akzeptiert
Fingerprint akzeptieren will. Benutzer von Linux sollten die Datei
+
werden soll. Benutzerinnen von Linux sollten die Datei
 
http://itp.tugraz.at/Comp/conf/ssh_known_hosts nach <tt>
 
http://itp.tugraz.at/Comp/conf/ssh_known_hosts nach <tt>
 
/etc/ssh/ss_known_hosts </tt> oder <tt> ~/.ssh/known_hosts/ </tt>
 
/etc/ssh/ss_known_hosts </tt> oder <tt> ~/.ssh/known_hosts/ </tt>
Zeile 39: Zeile 39:
 
Host key verification failed.
 
Host key verification failed.
 
In diesem Fall sollte man obige Datei erneut herunterladen. Bleibt die
 
In diesem Fall sollte man obige Datei erneut herunterladen. Bleibt die
Warnung bestehen kann sein, dass das File noch nicht aktualisiert ist,
+
Warnung bestehen, kann sein, dass das File noch nicht aktualisiert wurde
oder man tatsächlich attackiert wurde.
+
oder man tatsächlich attackiert wird.
   
 
==Windows==
 
==Windows==
* [[windowsAFS]] Das Homeverzeichniss des Computerraums als Netzwerklaufwerk unter Windows einbinden.
+
* [[windowsAFS]] Das Homeverzeichnis des Computerraums als Netzwerklaufwerk unter Windows einbinden.
 
* [[winSCP]] Eine Art ftp-Programm, mit dem Dateien unter Windows vom und zum Computerraum kopiert werden können.
 
* [[winSCP]] Eine Art ftp-Programm, mit dem Dateien unter Windows vom und zum Computerraum kopiert werden können.
 
* [[putty]] Ein Windows Programm, mit dem über Internet ein [[Terminal]] an einem Computerraum PC aufgemacht werden kann.
 
* [[putty]] Ein Windows Programm, mit dem über Internet ein [[Terminal]] an einem Computerraum PC aufgemacht werden kann.

Version vom 10. Mai 2005, 19:09 Uhr

Über das Internet sind die Computer als fubphpc01.tu-graz.ac.at bis fubphpc16.tu-graz.ac.at erreichbar. Auf dieser Seite ist eine Zusammenstellung von Programmen zu finden, die unterschiedliche damit zusammenhängende Funktionen bieten. Auskunft über den Status der einzelnen Computer gibt das [http://itp.tugraz.at/ganglia2/?r=hour&s=descending&c=FUB%2520-%2520Computerraum%2520Physik Ganglia Cluster Toolkit].

Sicherheit von SSH, SCP, SFTP

Alle diese drei Programme verwenden das SSH-Protokoll. Dieses bietet zwei wesentliche Sicherheitsfeatures:

  1. Kein Teil der Kommunikation findet unverschlüsselt statt.
  2. Jeder Computer erhält bei der Installation einen Fingerprint, der ihn identifiziert.

Fingerprints

Der Fingerprint soll ausschließen, dass ein Angreifer die Verbindung auf einen eigenen Computer umleitet und dadurch Benutzername und Passwort herausfindet. Bei der ersten Verbindung ist dieser Fingerprint nicht bekannt und es wird gefragt, ob er akzeptiert werden soll. Benutzerinnen von Linux sollten die Datei http://itp.tugraz.at/Comp/conf/ssh_known_hosts nach /etc/ssh/ss_known_hosts oder ~/.ssh/known_hosts/ kopieren. Danach kennt der Computer alle Fingerprints der Computer am Institut. Ändert sich einer dieser Schlüssel (etwa durch eine Neuinstallation des SSH-Servers) erhält man eine Warnung folgender Art

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
6e:3e:60:da:e0:0c:93:42:be:48:cb:ff:a5:a4:4b:98.
Please contact your system administrator.
Add correct host key in /afs/itp.tugraz.at/user/schrodk/.ssh/known_hosts to get rid of this message.
Offending key in /afs/itp.tugraz.at/user/schrodk/.ssh/known_hosts:301
RSA host key for pluto.tugraz.at has changed and you have requested strict checking.
Host key verification failed.

In diesem Fall sollte man obige Datei erneut herunterladen. Bleibt die Warnung bestehen, kann sein, dass das File noch nicht aktualisiert wurde oder man tatsächlich attackiert wird.

Windows

  • windowsAFS Das Homeverzeichnis des Computerraums als Netzwerklaufwerk unter Windows einbinden.
  • winSCP Eine Art ftp-Programm, mit dem Dateien unter Windows vom und zum Computerraum kopiert werden können.
  • putty Ein Windows Programm, mit dem über Internet ein Terminal an einem Computerraum PC aufgemacht werden kann.
  • Cygwin Ein Posix Layer für Windows, der die Ausführung von UNIX-Programmen unter Windows erlaubt.

Linux

Die folgenden Programme stellen Netzwerkfunktionalitäten unter Linux zur Verfügung und sollten in jeder Distribution enthalten sein.

  • Mit ssh <Username>@fubphpc<XX>.tu-graz.ac.at kann man eine verschlüsselte Verbindung zu einem Computer aufbauen, und dort Befehle ausführen. Wenn es am eigenen Computer erlaubt ist, können auch graphische Programme geöffnet werden. (Unter Debian ist dies standardmäßig nicht erlaubt, kann aber in der Datei /etc/ssh/ssh_config aktiviert werden).
  • Mit scp können Dateien zwischen zwei Computern kopiert werden.
    Syntax scp [[user@]host1:]file1 [...] [[user@]host2:]file2 . Weitere Optionen sind in der Manual Page aufgeführt (erreichbar mit man scp ). Eine graphische Alternative bietet der Konqueror (Dateimanager) von KDE. Dort ist in die Adresszeile fish://fubphpcXX.tu-graz.ac.at einzugeben.
  • Konqueror und Midnight Commander bieten ein graphisches Frontend zu diesen Programmen.
  • Um das Homeverzeichniss per AFS zu Hause zu mounten bitte diese Anleitung lesen: Linux AFS