NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- SSH-Protokoll
SSH™ (oder Secure SHell) ist ein Protokoll, das die sichere Kommunikation zwischen zwei Systemen mittels einer Client/Server Architektur erm�glicht und �ber das Benutzer sich entfernt in ein Server-Host-System einloggen k�nnen. Im Gegensatz zu anderen Remote-Kommunikationsprotokollen wie FTP oder Telnet, verschl�sselt SSH die Anmeldung. Auf diese Weise k�nnen Eindringlinge keine unverschl�sselten Passw�rter erkennen.
SSH wurde als Ersatz f�r �ltere, weniger sichere Terminalanwendungen, die zum Anmelden in Remote-Hosts wie telnet oder rsh verwendet werden, entwickelt. Das Programm scp ersetzt �ltere Programme wie rcp, die zum Kopieren von Dateien zwischen Hosts verwendet wurden. Da diese �lteren Programme Passw�rter zwischen dem Client und dem Server nicht verschl�sseln, sollten Sie m�glichst vermeiden, diese zu verwenden. Die Verwendung von sicheren Methoden zum Anmelden verringert das Sicherheitsrisiko des Client- und des Host-Systems.
20.1. SSH-Merkmale
Das SSH-Protokoll liefert folgende Schutzm�glichkeiten:
Nach einer ersten Verbindung pr�ft der Client, ob er sich auch in der Folge mit dem gleichen Server verbindet.
Der Client �bertr�gt die Authentifizierungsinformationen in verschl�sselter Form an den Server, unter Verwendung von 128-Bit Verschl�sselung.
Alle w�hrend der Verbindung gesendeten und empfangenen Daten sind mit der 128 Bit-Verschl�sselung so komplex verschl�sselt, dass es �u�erst schwierig ist, abgefangene �bertragungen zu entschl�sseln und zu lesen.
Der Client kann X11 [1] Applikationen vom Server weiterleiten. Diese Technik, X11 forwarding genannt, gew�hrleistet die sichere Verwendung grafischer Applikationen �ber ein Netzwerk.
Da das SSH Protokoll alles verschl�sselt, das gesendet oder empfangen wird, k�nnen damit auch unsichere Protokolle verschl�sselt werden. Mit port forwarding kann ein SSH Server zum Verschl�sseln unsicherer Protokolle, z.B. POP, verwendet werden und somit die Sicherheit des Systems und der Daten erh�hen.
Red Hat Enterprise Linux enth�lt die allgemeinen OpenSSH Pakete (openssh) sowie auch die OpenSSH Server (openssh-server) und Client (openssh-clients) Pakete. Weitere Informationen �ber die Installation und den Einsatz von OpenSSH finden Sie im Kapitel OpenSSH des Red Hat Enterprise Linux Handbuch zur System-Administration. Bitte beachten Sie, dass die OpenSSH-Pakete das OpenSSL-Paket (openssl) erfordern. OpenSSL installiert verschiedene wichtige kryptographische Bibliotheken, die OpenSSH bei der Erstellung von verschl�sselten Meldungen unterst�tzt.
20.1.1. Wozu dient SSH?
Skrupellosen Computerbenutzern stehen eine Reihe von Tools zur Verf�gung, um die Netzwerkkommunikation zu st�ren, abzufangen und umzuleiten und um auf diese Weise Zugriff auf Ihr System zu erhalten. Diese Gefahren k�nnen generell wie folgt klassifiziert werden:
Abfangen von Mitteilungen zwischen zwei Systemen — In diesem Fall gibt es irgendwo im Netzwerk zwischen den miteinander kommunizierenden Systemen einen Dritten, der die Informationen, die zwischen den beiden Systemen ausgetauscht werden, kopiert. Der Dritte kann dabei die Informationen abfangen und aufbewahren oder sie auch �ndern und an den eigentlichen Empf�nger weiterleiten.
Dieser m�gliche Angriff kann gemountet werden durch die Verwendung eines Packet-Sniffers — einem gew�hnlichen Netzwerk-Dienstprogramm.
Imitation eines bestimmten Hosts — Mit dieser Strategie ist ein drittes System so konfiguriert, dass es vorgibt, der eigentliche Empf�nger einer �bertragung zu sein. Ist die Strategie erfolgreich, bemerkt das Benutzersystem nicht, dass es mit dem falschen Host kommuniziert.
Dieser m�gliche Angriff kann anhand von Techniken, die unter dem Namen DNS-Poisoning [2] oder IP-Spoofing [3] bekannt sind, gemounted werden.
Bei beiden Methoden werden m�glicherweise wichtige und vertrauliche Informationen abgefangen. Wenn dies aus unlauteren Gr�nden erfolgt, k�nnen die Ergebnisse katastrophal sein.
Wenn SSH f�r Fernanmeldungen �ber eine Shell und f�r das Kopieren von Dateien verwendet wird, k�nnen diese Sicherheitsrisiken erheblich gemindert werden. Das ist darauf zur�ckzuf�hren, dass der SSH-Client und Server digitale Unterschriften verwenden, um gegenseitig ihre Identit�t zu pr�fen. Au�erdem sind alle Mitteilungen zwischen Client und Server verschl�sselt. Dabei n�tzen auch Versuche, sich als das eine oder andere System auszugeben, nichts, da der Schl�ssel hierf�r nur dem lokalen und dem entfernten System bekannt ist.
X11 bezieht sich auf das X11R6.7 Anzeigesystem, das gew�hnlich als X Window System oder X bezeichnet wird. Red Hat Enterprise Linux enth�lt XFree86, ein Open Source X Window System.
IP-Spoofing erfolgt, wenn ein Eindringling Netzwerk-Pakete versendet, die scheinbar von einem vertrauensw�rdigen Host auf dem Netzwerk versendet werden.