Mit Hardware-Beschleunigung und schnellem Netz hilft Desktop-Virtualisierung, Administrationsaufwand und Kosten sparen, ADMIN 04/2013 verrät, wie die ... (mehr)

SSH-Agent

Die gezeigte Public-Key-Authentifizierung ist zwar sicherer, der Admin hat aber noch nicht viel gewonnen, wenn er jetzt statt des ursprünglichen Passwortes eine Passphrase eingeben muss. Um auch diesen Vorgang zu automatisieren, kommt unter Linux das Tool »ssh-agent« zum Einsatz, in dem man seinen privaten Schlüssel hinterlegen kann. SSH-Agent kümmert sich dann selbstständig um die Authentifizierung mit dem Vorteil, dass der Admin nur einmal seine Passphrase eingeben muss. Der Agent behält den Schlüssel bis zum Abmelden des Benutzers im Speicher. Der SSH-Agent wird bei den meisten Linux-Distribution automatisch im Hintergrund gestartet.

Zum Interagieren mit dem »ssh-agent« dient unter Linux das Kommando »ssh-add« , wobei sich mit der Option »-l« die derzeit gespeicherten Schlüssel auflisten lassen. Beim Windows-SSH-Client MobaXterm lässt sich der SSH-Agent zum Beispiel einfach in den Programmeinstellungen als Option aktivieren (Abbildung 6). In der Putty-Suite gibt es dagegen das Tool Pagent (Putty-Agent).

Abbildung 6: Der SSH-Agent erleichtert das Leben.

MobaXterm ist überhaupt eine interessante SSH-Client-Alternative zum populären Putty. Da MobaXterm auf der Cygwin-Kompatibilitätsschicht basiert, wähnt sich das Tool Client-seitig in einer echten Linux-Umgebung, sodass auch das Verwenden der Linux-Tools »ssh-keygen« und »ssh-copy-id« möglich ist, inklusive der Linux-typischen Konfigurationsdateien im Unterverzeichnis ».ssh« .

Der angenehme Nebeneffekt besteht darin, dass die Schlüsseldateien damit auch kompatibel zum OpenSSH-Standard sind. Man muss nur wissen, dass das relative Homeverzeichnis der Linux-Umgebung mit »C:\Users\User\Documents\MobaXterm\home« korrespondiert. Physische Windows-Laufwerke finden sich in der MobaXterm-Umgebung unter »/drives« .

WinSCP

SSH eignet sich nicht nur für sichere Remote-Logins, sondern vor allem für sichere Dateitransfers. Das dürfte auch der häufigste Einsatzzweck für einen SSH-Client unter Windows sein. Putty ist zwar der populärste Windows-SSH-Client, was Dateitransfers angeht aber nicht sonderlich komfortabel. So steht mit Puttys Secure-FTP-Client »psftp« nur ein klassischer CLI-Client zur Verfügung, der sich im Prinzip nicht anders verhält als ein Linux-CLI-Client. Bei MobaXterm lässt sich dagegen in den Einstellungen ein grafischer SFTP-Brower zuschalten, der automatisch in der Seitenleiste aufpoppt, sobald eine SSH-Verbindung aufgebaut wird (Abbildung 7).

Abbildung 7: MobaXterm besitzt einen grafischen SFTP-Browser.

Aber auch für die klassischen SSH-Tools »sftp« und »scp« als kryptographisch sichere Alternativen zu »ftp« und »rcp« stehen entsprechende Windows-Alternativen wie etwa WinSCP [5] zur Verfügung. Die aktuelle Version 5.1.5 des GPL-Tools ist gerade in diesen Tagen erschienen und steht auf der Projektseite zum Herunterladen [6] zur Verfügung. Das Installieren der Exe-Datei ist trivial. Admins sollten aber die benutzerdefinierte Installation wählen, weil sich dann auch die Tools »Pagent« (Putty-Agent), »puttygen« und die neue Drag&Drop-Shell-Erweiterung komfortabel installieren lassen.

Damit bietet WinSCP auch direkte Downloads via Drap&Drop. WinSCP beherrscht die Standard-SSH-Protokolle »sftp« und »scp« via SSH1 und SSH2, verfügt neben dem GUI-Interface über eine CLI-Schnittstelle und kann Batch-Skripte [7] verarbeiten. Auch WinSCP kommt wahlweise mit einer Authentifizierung via SSH-Kennwort oder Public-Key-Verfahren zurecht und beherrscht darüber hinaus auch Kerberos-(GSS-)Identifikation [8].

Zum Herstellen der Verbindung trägt der Admin auf der Startseite bei »Sitzung« im Feld »Rechnername« den gewünschten Host ein, wählt bei »Übertragungsprotokoll« das gewünschte Protokoll, gefolgt von Benutzername und Passwort. Hat er zuvor mit »puttygen« ein Public-/Private-Key-Schlüsselpaar erzeugt und den Public-Key auf den Server kopiert, kann er wahlweise auch die Datei mit dem privaten RSA-Key statt einem Passwort angeben.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022