Fujitsu BS2000 SE Serie Sicherheitshandbuch Seite 41

SE Server - Sicherheitshandbuch - Benutzerhandbuch
3.4.2 Benutzung von SSH-Agenten
i
Die Verwendung eines SSH-Agenten macht es überflüssig, dass bei jedem Aufruf des Programms ssh
die (üblicherweise lange und komplexe) Passphrase eingetippt werden muss.
In einem Initialisierungsvorlauf für SSH wurden die Schlüsselpaare erzeugt, in den lokalen Dateien abgelegt und
die öffentlichen Schlüssel an die Kommunikationspartner verteilt. Zu Beginn einer interaktiven Session bzw. am
Anfang eines Scripts wird der SSH-Agent mittels eines Aufrufs des Kommandos
openssh.com ) gestartet. Dann werden ihm die notwendigen privaten Schlüssel mittels
SSH-Agent führt diese privaten Schlüssel im Speicher in entschlüsselter Form. Für diesen
Entschlüsselungsprozess benötigt er die Passphrasen, falls welche spezifiziert wurden.
Von nun an bis zu seiner Beendigung kontaktieren SSH-Clients den SSH-Agenten automatisch für alle Schlüssel-
bezogenen Operationen. Wenn mittels eines
der lokale SSH-Agent und der remote sshd-Dämon automatisch die erforderliche Authentifizierungsprozedur durch.
Wenn eine Passphrase verwendet wird, muss sie nur einmal eingegeben werden. Sie wird von
aktuellen Terminal gelesen, falls
Terminal besitzt, aber die Variablen
spezifizierte Programm ausgeführt und ein X11-Window zum Lesen der Passphrase geöffnet. Dies ist nützlich
wenn in einer .Xsession oder in einem Startup-Script aufgerufen wird.
ssh-add
Beispiel
ssh-keygen -b 1024 -t rsa -C <comment> -N "<passphrase>"
# Erzeugt einen 1024 bit RSA key in SSH Version 2 geschützt durch eine
Passphrase
ssh-agent /bin/csh # Als Argument kann der Pfad auf eine Shell oder ein Shell Script
angegeben werden
ssh-add # Lädt standardmäßig alle Schlüssel der Identity-Datei
Es müssen die Umgebungsvariablen, die auf den Socket des SSH-Agenten zeigen, gesetzt werden, damit der SSH-
Client mit dem Agenten kommunizieren kann. Das Programm
notwendige Information:
Beispiel
# In SSH Version 2 Notation:
SSH2_AUTH_SOCK=/tmp/ssh-JGK12327/agent.12327; export SSH2_AUTH_SOCK;
SSH2_AGENT_PID=12328; export SSH2_AGENT_PID;
Diese Output-Kommandos des Programms
Beachten Sie dabei die rückläufigen Anführungszeichen (`):
eval `ssh-agent ...`
Das -Kommando weist die Shell an, das Kommando
eval
von ihm generierten Kommandos auszuführen. Danach stehen die Shell Variablen
zur Verfügung. Nach Ausführung des Kommandos
SSH_AGENT_PID
Agenten ausgegeben.
-Aufrufs eine remote Verbindung eingerichtet werden soll, führen
ssh
vom Terminal gestartet wurde. Wenn
ssh-add
und
DISPLAY SSH_ASKPASS
können mittels des
ssh-agent
ssh-agent
ssh-add
gesetzt sind, wird das durch
liefert hierfür bei seiner Rückkehr die
ssh-agent
-Kommandos ausgeführt werden.
eval
ablaufen zu lassen und anschließend die
ssh-agent
eval `ssh-agent`
(siehe http://www.
übergeben. Der
ssh-add
vom
ssh-add
kein ihm zugeordnetes
SSH_ASKPASS
und
SSH_AUTH_SOCK
wird die PID des SSH-
41