Secure-Shell unter
Windows
Mit zunehmender Kommerzialisierung des Internets steigt auch das Interesse am systematischen Ausspionieren von Paßwörtern, um damit Benutzerzugänge zu mißbrauchen. Es wird deshalb immer wichtiger, "sichere" Verbindungen zwischen Rechnern zu verwenden. Denn mit sogenannten Sniffer-Programmen kann man den Netzverkehr abhorchen und in Datei abspeichern. Wenn keine Verschlüsselung beim Übertragen verwendet wird, stehen Benutzernamen und dazugehörige Paßwörter im Klartext in dieser Datei.
Abhilfe verschafft in diesem Fall die Verwendung der Secure-Shell (ssh) anstelle von rsh, rlogin und telnet, weil die Secure-Shell grundsätzlich alle Daten in verschlüsselter Form überträgt, und somit auch die Paßwörter.
Standardmäßig steht die ssh nicht zur Verfügung. Man kann sie aber auf jeder Plattform installieren. Hier soll nur ein ssh-Client unter Windows NT und Windows 98 beschrieben werden, den man auf Diskette im ZeTeM erhalten oder aus dem Netz herunterladen kann.
Eine allgemeine Dokumentation ist zu finden unter http://www.math.uni-bremen.de/zetem/t-info/ssh-benutzung.html.
Hier soll der ssh-Client für Windows von Cedomir
Igaly, Revision 2.112 beschrieben werden. Das Programm muß nicht
installiert werden, sondern kann direkt gestartet werden. Allerdings trägt
es Informationen über Verschlüsselungsverfahren und Verbindungsaufbau
in der Registrierungsdatenbank ein. Zudem legt es sich Dateien an, in denen
Logdaten und Rechnerschlüssel ("public key")gespeichert werden.
2.1. Programm von Diskette starten
1. Legen Sie die vom Zentrum
für Technomathematik (ZeTeM) erstellte Diskette in das Diskettenlaufwerk
ein.
2. Öffnen Sie das SSH-Programms aus dem Explorer heraus, indem Sie die Datei a:\ssh32\ssh32.exe doppelklicken.
Hinweis: Wenn Sie ssh32.exe von der Diskette aus starten, sollten Sie gegebenenfalls den Schreibschutz entfernen, weil der "public key" eines jeden Rechners in Datei abgespeichert werden muß, zu dem Sie eine Verbindung aufbauen wollen (siehe auch allgemeine Doku zu ssh unter http://www.math.uni-bremen.de/zetem/t-info/ssh-benutzung.html ).
Der Windows-Explorer mit Mauszeiger auf der ssh32.exe, die durch
Doppelklick gestartet wird.
2.2. Programm auf Festplatte installieren
1. Kopieren Sie das Verzeichnis
\ssh32 von der Diskette A:\ auf Ihre Festplatte (vorzugsweise in das Verzeichnis
\Programme\ssh32). Nun können Sie das Programm starten, indem Sie
die Datei \Programme\ssh32\ssh32.exe doppelklicken. Wenn Sie ssh öfter
benutzen wollen, empfiehlt es sich, eine Verknüpfung auf den Desktop
oder in das Startmenü zu legen.
2.3. Programm von den www-Seiten des ZeTeM herunterladen
1. Die Software, die auf der Diskette des ZeTeM enthalten ist, kann auch von den www-Seiten des ZeTeM unter dem Eintrag "SSH-Client für Windows 9x/NT" heruntergeladen werden:
http://www.math.uni-bremen.de/zetem/t-info/ssh-benutzung.html
oder direkt:
http://www.math.uni-bremen.de/zetem/t-info/download/ssh32.zip .
Sie erhalten eine Datei namens ssh32.zip. Die kann z.B. mit Winzip oder gzip entpackt werden. Es entfaltet sich ein Verzeichnis ssh32, in dem sich folgende Unterstruktur befinden:
Verzeichnisstruktur nach dem Auspacken der Datei ssh32.zip.
In dem Verzeichnis Doku
befindet sich u.a. diese ssh-Beschreibung.
1. Wenn Sie das ssh-Programm starten, müssen Sie zunächst die Bedingungen akzeptieren, zu denen Sie das Programm verwenden dürfen:
Fenster mit den Bedingungen, die vor dem Gebrauch von ssh32.exe
akzeptiert werden müssen.
2. Zunächst muß ssh wissen, nach welchem Verfahren die Daten verschlüsselt werden sollen. Im aktuellen Verzeichnis findet ssh32.exe zwei Verschlüsselungsdateien, von denen Sie einmalig die crypt.dll auswählen müssen. Folgender Dialog bereitet die Auswahl vor:
Dialogbox zum Auswählen eines Verschlüsselungsverfahrens.
Hinweis: Nachdem
die Verschlüsselungsdatei ausgewählt wurde, wird deren Dateiname
(incl. Pfad) in der Registrierungsdatenbank gespeichert, so daß sie
beim nächsten Start dort wiedergefunden wird. Sollten die ausgewählte
Datei allerdings verschoben werden, muß die Verschlüsselungsbibliothek
erneut ausgewählt werden.
Wenn die Verschlüsselungsdatei an der Stelle gefunden
wird, an der sie auch beim letzten Start lagen, entfällt der Schritt
Nr. 3.
3. Nachdem das Verschlüsselungsverfahren ausgewählt ist, wird der Dialog zum Verbindungsaufbau eingeblendet.
Leere Dialogbox zum Aufbauen einer Verbindung.
Vergeben Sie einen beliebigen Profilnamen. Tragen Sie
den Rechnernamen ein. Wenn Sie sich von außerhalb auf einen Rechner
der Universität Bremen einloggen wollen, müssen Sie den Domänennamen,
in dem dieser Rechner zu finden ist, mit eingeben. Das sind im FB3 der
Universität math.uni-bremen.de oder informatik.uni-bremen.de.
1. Beispiel - von einem Windowsrechner der Universität
Bremen einloggen auf einem UNIX-Rechner des ZeTeM:
Als Benutzername wird der aktuelle Benutzername eingetragen. Der muß gegebenenfalls in einen Benutzernamen geändert werden, der auf dem Zielrechner gültig ist.
Hinweis: Wenn
Sie mehr als einmal eine Verbindung zu diesem Rechner aufbauen wollen,
empfiehlt es sich dieses Profil abzuspeichern ("save"), bevor Sie die Verbindung
mit "OK" herstellen. Dadurch werden die Verbindungsdaten in der Registrierungsdatenbank
gespeichert (Profilname, Rechnername, Benutzername und alle Schalter).
Hinweis: Wenn
Sie an einem Notbook arbeiten, speichern Sie am geschicktesten in allen
Profilen die Host Namen mit der vollständiger Domäne ab. Dann
können Sie sie in der Universität Bremen und überall auf
der Welt verwenden.
Ausgefüllte Dialogbox zum Aufbauen einer Verbindung am Beispiel
des Rechners "euler".
4. Der "host key" des Rechners ist noch nicht bekannt, deshalb wird abgefragt, ob man dem Rechner trauen kann.
Der private SSH-Schlüssel (private host key) von "euler" wird
angezeigt
und zum Akzeptieren vorgeschlagen.
Hinweis: Wenn Sie den Schlüssel des Rechners akzeptieren, wird er in eine Datei namens known.hosts eingetragen. Die Abfrage erscheint im Normalfall nie wieder. Von nun an kann sich kein anderer Rechner als "euler" ausgeben, ohne daß Sie eine Meldung erhalten würden. Sie können den Schlüssel einmalig akzeptieren, so daß Sie beim nächsten Verbinden mit diesem Rechner wieder gefragt werden. Wenn Sie den Schlüssel nicht akzeptieren, erhalten Sie eine Fehlermeldung:
Nicht-Akzeptieren des Schlüssels
ergibt diese Meldung.
5. Ihr UNIX-Paßwort, das Sie auf dem Zielrechner benutzen, wird abgefragt.
Dialogbox zur Paßwortabfrage. Ist das Kontrollkästchen
"Hide password" nicht aktiviert, sehen Sie Ihr Paßwort im
Klartext. Das ist auf ungewöhnlichen Tastaturen eine enorme
Hilfe.
6. Sie erhalten ein Fenster, in dem eine shell des Zielrechners ihre Dienste zur Verfügung stellt. Im FB3 der Universität Bremen ist die shell eine bash. Sie befinden sich in Ihrem persönlichen HOME-Verzeichnis.
Fenster mit bash.
1. Wenn die Verbindung beenden
wollen, sollten Sie sich ausloggen und dann das Fenster schließen:
exit <RETURN>
Nachdem die Verbindung geschlossen ist, bleibt nur das leere Fenster.
2. Das Fenster schließen Sie im Menü unter Action -- Exit oder auf dem X in der Fensterkopfzeile.
Das leere Fenster über Action - Exit schließen.
Das leere Fenster über das X in der Fensterkopfzeile schließen.
Hinweis: Sollten Sie
das Fenster vor dem Ausloggen geschlossen haben, erhalten Sie eine Fehlermeldung.
Die Verbindung wird aber trotzdem ordnungsgemäß geschlossen.
3. Eine neue Verbindung können Sie mit dem leeren Fenster aufbauen (siehe 3.3.)
Eine neue Verbindung aufbauen.
Anhang A: Verknüpfung erstellen
A.1. Verknüpfung auf dem
Desktop erstellen
------------- in Arbeit -------------
A.2. Verknüpfung im Startmenü
erstellen
------------- in Arbeit -------------
| anmelden | Wenn man vor einem Computer sitzt,
an dem man sich anmelden möchte, muß man folgendes im Anmeldefenster
eingeben:
- Den Benutzername - Das dazugehörige Paßwort, das nicht auf dem Bildschirm erscheint oder als Sternchen abgebildet wird. Wenn man angemeldet ist, kann man sich an weiteren Maschinen anmelden, ohne sich dort persönlich hinzubegeben. Voraussetzung für das Anmelden übers Netz (remote login) sind:
|
| Benutzer | siehe user-ID. |
| Benutzer-ID | siehe user-ID. |
| Benutzername | siehe user-ID. |
| einloggen | Siehe anmelden |
| HOME-Verzeichnis | Der "private Bereich" eines Benutzers
auf einer UNIX - Maschine heißt HOME - Verzeichnis. Dort kann dieser
Benutzer z. B. seine eigenen Daten ablegen und verändern. In unserem
Fachbereich wird das HOME - Verzeichnis auf speziellen Maschinen eingerichtet.
Beim Anmelden an einer beliebigen UNIX - Maschine wird dieses HOME - Verzeichnis
dann mit der Maschine verbunden, an der man sich gerade anmeldet. Somit
hat man immer die gleichen Daten an jeder Maschine zur Verfügung.
Die Benutzer an unseren Windows - Computer in ZeTeM haben auf jeder Maschine einen lokalen "privaten Bereich". Windowsbenutzer wechseln bei uns in ZeTeM relativ selten von einem Computer zu einem anderen und sind deshalb nicht auf "mitwandernde Daten" angewiesen. Unter Windows heißen die "privaten Bereiche" Profile. Falls Rechnerwechsel doch vorkommen sollten, läßt sich das UNIX - HOME -Verzeichnis mit dem Windowsrechner verbinden. Daten von allen Plattformen werden so an jedem beliebigen Windowsrechner verfügbar. Die Verbindung geschieht über ein Dienstprogramm namens Samba, welches im Fachbreich installiert ist. Das UNIX - HOME - Verzeichnis sollte auch zur Datensicherung
(siehe http://www.informatik.uni-bremen.de/t/intern/zetem/backup.html
verwendet
werden. Eigene Daten sollen in regelmäßigen Abständen auf
das UNIX - HOME - Verzeichnis kopiert werden. Dort sichert sie ein Programm
automatisch auf Band (täglich).
|
| login |
|
| loginname | = Benutzername = username. Siehe user-ID. |
| Kennwort | = Paßwort. Siehe UNIX - Paßwort und Windows - Paßwort. |
| Plattform | Als Plattform bezeichnet man die Gesamtheit aus Computer und Betriebssystem. Beispiele sind Solaris auf Sun, Solaris auf PC, Linux auf PC, Linux auf Mac, Windows auf PC, MacOS auf Mac, ... |
| RETURN |
Die RETURN-Taste wird auch als ENTER-Taste bezeichnet:
|
| samba | Auf einem UNIX-Rechner des Fachbereichs befindet sich das Dienstprogramm Samba. Es baut für einen Benutzer eine Verbindung zwischen seinem Windowsrechner und dem UNIX-Rechner auf, der das UNIX-HOME-Verzeichnis verwaltet. |
| smb-serv | Ein Samba-Server des FB3. |
| ssh32.exe | Ein spezielles Programm, welches unter Windows eine Verbindung zu einem UNIX- Rechner aufbaut. Bei der Übertragung von Paßwörtern und Daten wird eine Verschlüsselung verwendet. |
| UNIX - Paßwort | Das UNIX - Paßwort wird gebraucht für:
|
| user | siehe user-ID. |
| user-ID | Ein Benutzer im UNIX - Netz wird mit seiner
"Benutzernummer" ( = user-ID = Benutzer-ID)
genau identifiziert, nicht an seinem Namen ( = username
= Benutzername): Auf zwei Rechnern kann
der gleiche Name für zwei verschiedene Benutzer verwendet werden.
Wenn die Benutzer gegenseitig Daten bearbeiten wollen, müssen sie
sich explizit gegenseitig die Berechtigung dazu erteilen. Auch umgekehrt
können
zwei Benutzer auf zwei Maschinen zwei unterschiedliche Namen haben, obwohl
sie von den Rechnern als identisch angesehen werden (weil sie nämlich
dieselbe ID haben).
In der ZeTeM gibt es auf Windowsrechnern nur lokale Benutzer, unter UNIX nur netzweite Benutzer. Bei netzweiten Benutzern gibt es garantiert nur eine einzige user-ID für jeden Benutzer. Diese user-ID wird über das Netzwerk an alle UNIX-Maschinen verteilt. In dem Programm ssh32.exe wird die user-ID abgefragt, obschon die Angabe des username hier erwartet wird !!! |
| username | siehe user-ID. |
| Windows - Paßwort | An allen Windowsrechnern der ZeTeM werden die Benutzer lokal verwaltet. Das Paßwort, das man au einer Maschine ändert, gilt nur an dieser Maschine. Sinnvoll ist aber nur, dasselbe Paßwort auf allen Windowsmaschinen zu benutzen. Das sollte auch dasselbe Paßwort sein, welches auf den UNIX-Maschinen des Fachbereichs eingesetzt wird. Wenn die Paßwörtern nicht überall gleich sind, kann es zu Problemen mit dem Drucken, dem Datenaustausch und beim Abholen neuer mail kommen. |
09.5.2000
Autor: Georg Holtsteger
