Bearbeiten von „OpenSsh“

Zur Navigation springen Zur Suche springen

Warnung: Du bist nicht angemeldet. Deine IP-Adresse wird bei Bearbeitungen öffentlich sichtbar. Melde dich an oder erstelle ein Benutzerkonto, damit Bearbeitungen deinem Benutzernamen zugeordnet werden.

Die Bearbeitung kann rückgängig gemacht werden. Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und veröffentliche dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.

Aktuelle Version Dein Text
Zeile 14: Zeile 14:
<pre>chmod 755 .ssh
<pre>chmod 755 .ssh
chmod 600 .ssh/authorized_keys
chmod 600 .ssh/authorized_keys
drwxr-xr-x  2 wk  wk  4096 Jul 28  2017 .ssh/
-rw-r--r--  1 wk  wk  1332 Aug 29  2018 .ssh/known_hosts
-rw-------  1 wk  wk  1921 Jun 26  2017 .ssh/authorized_keys
-rw-------  1 wk  wk  3326 Jul 28  2017 .ssh/id_rsa
-rw-r--r--  1 wk  wk    735 Jul 28  2017 .ssh/id_rsa.pub
</pre>
</pre>


= Kommandos =
= Kommandos =


<syntaxhighlight lang="bash">
<pre>ssh -i /home/jonny/id_rsa jonny@extern.host.de
ssh -i /home/jonny/id_rsa jonny@extern.host.de


rsync -e "ssh -i /home/jonny/id_rsa" /home backup@backup.example.com
rsync -e "ssh -i /home/jonny/id_rsa" /home backup@backup.example.com


ssh-copy-id -p 22 -i ~/.ssh/id_rsa hm@host
ssh-copy-id -i ~/.ssh/id_rsa hm@host
 
ssh-copy-id hm@host
 
sudo -u extbup scp -P 22 file.txt bupsupply@myhost:.
 
# Pw ändern:
ssh-keygen -p
ssh-keygen -p -f ~/.ssh/id_dsa
</syntaxhighlight>
== Zertifikate ermitteln, Widerruflisten ==
<syntaxhighlight lang="bash">
# Zertifikat herunterladen:
openssl s_client -showcerts -connect  www.bundesdruckerei.de:443  </dev/null > bd.crt
# Menschenlesbar machen:
openssl x509 -in bd.crt -noout -text
# Widerruf-Liste extrahieren:
openssl x509 -in bd.crt -noout  -ext crlDistributionPoints
# Widerrufliste herunterladen...
curl -L [CRL-URL] > bd.crl
# ... und anzeigen
openssl crl -in bd.crl -noout -text
</syntaxhighlight>
 
== Test, ob Zertifikat widerrufen ist ==
<syntaxhighlight lang="bash">
openssl s_client -showcerts -connect  www.heise.de:443 </dev/null > h.crt
openssl x509 -in h.crt -noout -ext authorityInfoAccess
</syntaxhighlight>
 
Ausgabe:
<pre>
Authority Information Access:
    OCSP - URI:http://r3.o.lencr.org
    CA Issuers - URI:http://r3.i.lencr.org/
</pre>
</pre>
<syntaxhighlight lang="bash">
curl -L [CA-Issuer-URL] > le-r3.crt
openssl ocsp -issuer le-r3.crt  -cert h.crt -url [OCSP-URI]
</syntaxhighlight>
Antwort:
<pre>
WARNING: no nonce in response
Response verify OK
h.crt: good
This Update: Feb 25 18:23:00 2024 GMT
Next Update: Mar  3 18:22:58 2024 GMT
</pre>
== Port-Forwarding ==
== Port-Forwarding ==


Auf dem Server in /etc/ssh/sshd_config:  
Auf dem Server in /etc/ssh/sshd_config:  
<spre>
<pre># allow remote port forwarding:
# allow remote port forwarding:
GatewayPorts yes
GatewayPorts yes
</pre>
</pre>
Zeile 89: Zeile 33:


Lokal:
Lokal:
<syntaxhighlight lang="bash">
<pre>ssh -nNT -p 10106 -R 6379:localhost:6379 wk@bt
ssh -nNT -p 10106 -R 6379:localhost:6379 wk@bt
</pre>
</syntaxhighlight>




== SFTP-chroot-Umgebung ==
== SFTP-chroot-Umgebung ==
* /etc/ssh/sshd_config
* /etc/ssh/sshd_config
<pre>
<pre>Match Group sftponly
Match Group sftponly
         ChrootDirectory /home/%u
         ChrootDirectory /home/%u
         ForceCommand internal-sftp
         ForceCommand internal-sftp
Zeile 103: Zeile 45:
</pre>
</pre>
oder
oder
<pre>
<pre>Match User jonny
Match User jonny
         ChrootDirectory /opt/jail_jonny
         ChrootDirectory /opt/jail_jonny
         ForceCommand internal-sftp
         ForceCommand internal-sftp
Zeile 110: Zeile 51:
</pre>
</pre>
* Rechte /opt/jail_jonny:
* Rechte /opt/jail_jonny:
<syntaxhighlight lang="bash">
<pre>DIR=/opt/jail_jonny
DIR=/opt/jail_jonny
chown root.root $DIR
chown root.root $DIR
chmod 755 $DIR
chmod 755 $DIR
</syntaxhighlight>
</pre>
 
* Eintrag in /etc/fstab:
* Eintrag in /etc/fstab:
<pre>
<pre>
Zeile 129: Zeile 68:
* Server:
* Server:
** User einrichten: adduser buptiger
** User einrichten: adduser buptiger
** Benutzer muss in /etc/shadow gelistet sein!
** In /home/buptiger/.ssh/authorized_keys:
** In /home/buptiger/.ssh/authorized_keys:
<pre>
<pre>
command="/usr/local/bin/rrsync /opt/extbackup/caribou",no-agent-forwarding,no-port-forwarding,no-pty,no-user-rc,no-X11-forwarding ssh-rsa AAA...5Ow== extbup@caribou
command="/usr/local/bin/rrsync /opt/extbackup/caribou",no-agent-forwarding,no-port-forwarding,no-pty,no-user-rc,no-X11-forwarding ssh-rsa AAA...5Ow== extbup@caribou
</pre>
</pre>
oder mit Nur-Lese-Zugriff (oder -wo für Nur-Schreibzugriff):
oder mit Nur-Lese-Zugriff:
<pre>
<pre>
command="/usr/local/bin/rrsync -ro /opt/extbackup/caribou",no-agent-forwarding,no-port-forwarding,no-pty,no-user-rc,no-X11-forwarding ssh-rsa AAA...5Ow== extbup@caribou
command="/usr/local/bin/rrsync -ro /opt/extbackup/caribou",no-agent-forwarding,no-port-forwarding,no-pty,no-user-rc,no-X11-forwarding ssh-rsa AAA...5Ow== extbup@caribou
</pre>
</pre>


<syntaxhighlight lang="bash">
<pre>
FN=/usr/local/bin/rrsync
FN=/usr/local/bin/rrsync
test -x $FN || gunzip /usr/share/doc/rsync/scripts/rrsync.gz -c > $FN && chmod uog+x $FN
test -x $FN && gunzip /usr/share/doc/rsync/scripts/rrsync.gz -c > $FN && chmod uog+x $FN
</syntaxhighlight>
</pre>
 
* Client:
* Client:
** Die Zielpfadangabe von rsync ist immer relativ zu dem im Server angegebenen Verzeichnis /opt/extbackup/caribou
** Die Zielpfadangabe von rsync ist immer relativ zu dem im Server angegebenen Verzeichnis /opt/extbackup/caribou
** rsync -a /opt/backup/dayly buptiger@server:.
** rsync -a /opt/backup/dayly buptiger@server:.
== rsync unter anderem Port erreichen ==
<syntaxhighlight lang="bash">
rsync -a -e 'ssh -p 10106' /home/ bupsrv@bigtoy:/bup-home
</syntaxhighlight>


== Chroot für rsync: ==
== Chroot für rsync: ==
* /usr/local/bin/MkChroot.pl:
* /usr/local/bin/MkChroot.pl:
<syntaxhighlight lang="bash">
<pre>SCRIPT=/usr/local/bin/MkChroot.pl
SCRIPT=/usr/local/bin/MkChroot.pl
cat <<'EOS' >$SCRIPT
cat <<'EOS' >$SCRIPT
#! /usr/bin/perl
#! /usr/bin/perl
Zeile 208: Zeile 138:
EOS
EOS
chmod uog+x $SCRIPT
chmod uog+x $SCRIPT
</syntaxhighlight>
</pre>
 
* Erstellen der chroot-Umgebung:
* Erstellen der chroot-Umgebung:
<syntaxhighlight lang="bash">
<pre>MkChroot.pl /bin/bash
MkChroot.pl /bin/bash
MkChroot.pl rsync
MkChroot.pl rsync
cd /opt/jail
cd /opt/jail
unzip /tmp/chroot.zip
unzip /tmp/chroot.zip
</syntaxhighlight>
</pre>
 
* Mount als /etc/fstab-Eintrag:
* Mount als /etc/fstab-Eintrag:
<pre>/opt/www  /opt/jail/www none bind 1 0
<pre>/opt/www  /opt/jail/www none bind 1 0

Bitte kopiere keine Webseiten, die nicht deine eigenen sind, benutze keine urheberrechtlich geschützten Werke ohne Erlaubnis des Urhebers!
Du gibst uns hiermit deine Zusage, dass du den Text selbst verfasst hast, dass der Text Allgemeingut (public domain) ist, oder dass der Urheber seine Zustimmung gegeben hat. Falls dieser Text bereits woanders veröffentlicht wurde, weise bitte auf der Diskussionsseite darauf hin. Bitte beachte, dass alle Info-Theke-Beiträge automatisch unter der „Gemeinfreiheit“ stehen (siehe Info-Theke:Urheberrechte für Einzelheiten). Falls du nicht möchtest, dass deine Arbeit hier von anderen verändert und verbreitet wird, dann klicke nicht auf „Seite speichern“.

Abbrechen Bearbeitungshilfe (wird in einem neuen Fenster geöffnet)
Abgerufen von „https://wiki.hamatoma.de/index.php?title=OpenSsh