SSH - kurz und gut

[Helmut]

Sven Riedel
SSH kurz und gut
1. Auflage August 2004
ISBN 3-89721-269-2
155 Seiten
EUR9.90, SFR16.90

Hinweis: Hier gibt es einen kurzen Überblick zu SSH.

Dieses Taschenbuch hat 155 Seiten und ist ein Titel aus der „kurz und gut“-Reihe von O’Reilly. Wie die meisten Titel dieser Reihe, ist auch „SSH kurz und gut“ eine Mischung aus Einführung und Kurzreferenz.

„SSH kurz und gut“ hat 10 Kapitel und zwei Anhänge.

1. Einleitung

Hier wird kurz erläutert, was SSH ist, wozu es dienen kann und wozu nicht! Außerdem wird kurz darauf eingegangen, welche Versionen von SSH im nachfolgenden näher betrachtet werden. Das Buch geht nämlich im Wesentlichen auf die kommerzielle Version Tectia 4.0 (von ssh.com) und die Open Source Implementierung 3.8p1 ein, stellt diese vergleichend gegeneinander, betont Gemeinsamkeiten und arbeitet Unterschiede heraus.

2. Der SSH-Client

Dieses Kapitel bildet einen Schwerpunkt, nimmt es doch immerhin fast ein Drittel des Buches ein (49 der 155 Seiten).

Hier werden die interaktive und nicht-interaktive Nutzung des Clients erklärt und der prinzipielle Ablauf der Kommunikation zwischen Client und Server erläutert.

Der Autor geht ausführlich auf die Bedeutung der Sicherheitsabfrage bei neuen oder geänderten Server-Schlüsseln ein und gibt Tipps, wie man sich hier verhalten soll (bei SSH authentisiert sich nicht nur der Benutzer beim Server, sondern erstmal der Server gegenüber dem Benutzer! Also anders als bei Geldautomaten, bei denen man immer nur hoffen kann, dass sie echt und vertrauenswürdig sind, bevor wir ihnen unsere PIN anvertrauen. SSH ist eben durchdacht!)

Schließlich ist bei aller Kryptographie und Technik am Ende immer noch der Mensch die Schwachstelle und wenn erst einmal voreilig ein falscher Server-Schlüssel akzeptiert worden ist, ist die nachfolgende Kommunikation alles andere als sicher,

Die Kommandozeilenoptionen des Clients werden ausführlich erläutert. Zur Erhöhung der Übersichtlichkeit sind die Optionen in sinnvolle Gruppen aufgeteilt:

Allgemeine Optionen
Netzwerkeinstellungen
Portweiterleitungen
Befehlsausführung
Verschlüsselung
Authentifizierung

Bei allen Angaben wird durch ein kleines Kästchen mit „OpenSSH“ bzw. „Tectia 4.0“ gekennzeichnet, in welcher Implementierung diese Option so vorhanden ist. Diese Art der Kennzeichnung ist typografisch gelungen und wird auch in den anderen Teilen des Buches verwendet.

Hat man beim Durchblättern bzw. Lesen der Optionen schon eine erste Ahnung, wie leistungsfähig SSH insgesamt ist, so wird dieser Eindruck noch verstärkt durch die ebenso informative wie übersichtliche Auflistung der genutzten Umgebungsvariablen, Dateien und Dateiformate.

Anschließend wird auf die verwendeten Escape- und Steuersequenzen eingegangen. Für den Fall, dass sich der Leser hier denkt „Was soll’s? Ich sehe keinen Bedarf dazu, das Escape-Zeichen umzudefinieren!“ gibt es gleich das passende Beispiel von mehreren verketteten SSH-Aufrufen (also Login auf Server A, von da aus auf Server B, in der Praxis gar nicht so seltenes Server-Hopping , besonders, wenn Firewalls zu überwinden sind). Soll hier nun die zuletzt aufgebaute Verbindung abgebrochen werden, ist es durchaus sinnvoll für beide Verbindungen unterschiedliche Escape-Sequenzen zu verwenden!

Der „Rest“ des Kapitels widmet sich der Konfiguration des Clients über Konfigurationsdateien. Auch hier finden wir wieder eine sinnvolle Gruppierung und die Markierungen für „OpenSSH“ und „Tectia 4.0“.

3. scp – Secure Copy

Mit SSH kann man sich nicht nur auf einen remoten Rechner einloggen, sondern auch Dateien zwischen Client und Server hin und her kopieren. Hierzu dient „scp“ das Secure Copy, das in diesem kapitel kurz erläutert und mit seinen Optionen übersichtlich vorgestellt wird.

Die kleinen Hinweise darauf, was beim Kopieren von Dateien und symbolischen Links zu beachten ist, zeigen, dass der Autor sich auskennt, aber dennoch weiss, zu welchen Fehlern neue Benutzer tendieren.

Ein weiteres Indiz hierfür ist der (berechtigterweise) auffällig gestaltete Hinweis darauf, was passiert, wenn man bei Angabe des Zielhosts den Doppelpunkt nach dem Servernamen vergisst (S. 59)!

4. SFTP und andere Subsysteme

Im Kapitel 4 wird das Subsystem SFTP für den gesicherten Filetransfer vorgestellt, Auch hier finden wir die gewohnt übersichtliche kommentierte Liste der Optionen.

Ach ja, wieso eigentlich „Subsystem“? Wir erfahren, dass in SSH eigene Subsysteme eingebunden werden können, das einzige mitgelieferte ist eben SFTP.

Es wird kurz vorgestellt, wie ein eigenes Subsystem „backup“ angelegt werden kann, dass dazu dienen kann, mit einem einzigen Kommando „ssh –s backup“ ein frisch erstellte Backup eines remoten Systems herunterzuladen. Subsysteme sind Programme oder Skripte, die in SSH eingebunden sind, durch den genannten Aufruf angestoßen werden und ihre Ergebnisse über SSH gesichert zurück an den Aufrufenden übertragen können.

Ein kleiner weiterer Hinweis zeigt, dass der Autor sich auskennt und wohl schon einiges erlebt hat, nämlich der dringende Rat, das mitgelieferte SFTP nicht zu deinstallieren, solange man Wert auf scp legt!

5. Schlüsselverwaltung

Hier erfahren wir alles Nötige, über die Erzeugung und Verwendung von Schlüsseln, bis hin zum „Single-Sign-On“ mit ssh-agent und ssh-add.

6. Hilfsprogramme

Hier werden einige kleinere Hilfsprogramme vorgestellt.

Das Skript „ssh-argv0“ kann über die O’Reilly-Website diese Buches heruntergeladen werden. Im Prinzip ein pfiffiger Einzeiler, der es ermöglicht, sich auf Zielrechnern ganz einfach durch die Angabe von deren Namen auf der Kommandozeile einzuloggen.

Weiterhin erwähnenswert ist auch noch „ssh-keyscan“, mit dem ganze Netzwerke nach SSH-Servern und deren öffentlichen Schlüsseln abgescannt werden kann.


7. Interaktion mit anderen Programmen

Hier finden wir Hinweise zur Interaktion von SSH und CVS, dem Editor vim („Linux-Implementierung von vi“), Xemacs u.ä.


8. Portweiterleitungen

Wer es noch nicht wusste, erfährt spätestens hier, dass SSH zur mehr zu gebrauchen ist, als nur dazu remote Sessions aufzubauen oder Daten zu kopieren.

Mit den Portweiterleitungen können Netzwerkzugriffe vom Client zum Server oder umgekehrt „getunnelt“ werden. Das heißt, der Zugriff auf einen lokalen Port taucht in einen SSH-gesicherten Tunnel ein und wird auf dem Server an das eigentliche Ziel weitergeleitet. So können Ressourcen genutzt werden, die auf einem Zielrechner nur unter „localhost“ verfügbar sind, können Verbindungen durch Firewalls getunnelt werden, Dienste eines lokalen Netzes über das Internet von einem anderen Netz aus genutzt werden, etc. etc. etc.

Die verschiedenen Arten der Portweiterleitungen (lokal, remote, dynamisch, X11) werden kurz erläutert. Auch hier finden wir wieder wichtige Hinweise.

Insgesamt ist diese kapitel mit gut 5 Seiten vielleicht etwas knapp geraten, aber es enthält eigentlich alles Wichtige und der Leser sollte sich davon durchaus zur praktischen Erprobung verleiten lassen. Der Fantasie sind (fast) keine Grenzen gesetzt, Portweiterleitungen sind durchaus ein Highlight von SSH (Für unsere SF-Fans: Portweiterleitungen sind die Wurmlöcher der Netzwerker).



9. Authentisierungsmethoden

Hier werden kurz die verschiedenen von SSH unterstützen Authentisierungsmethoden, wie „password“, „public key“, „hostbased“, „keyboard interactive“ (Passwort), „PAM“ und „Kerberos“ vorgestellt.


10. sshd – der SSH-Server

Last not least ist natürlich auch noch auf die Serverseite von SSH einzugehen. Wie auch schon in allen anderen Kapiteln dieses Buches werden hier die Aufrufoptionen und Konfigurations-Direktiven übersichtlich gegliedert dargestellt und erläutert.

Das Kapitel schließt mit einigen Anmerkungen zur client-spezifischen Serverkonfiguration (auch das ist möglich!) und ein paar Hinweisen zur erweiterten Zugangskontrolle.

A. Verschlüsselungsalgorithmen, MACs und Protokollversionen

„Ja, welchen Algorithmus nehme ich denn nun, 3DES, AES, blowfish?“ Für alle, denen all die Namen bisher noch nichts oder nicht viel sagen, gibt es hier eine kompakte Übersicht über die Verschlüsselungs- und Authentisierungsprotokolle.

B. Syntax regulärer Ausdrücke

Für alle, die ganz spezielle Dinge mit ihrem SSH vorhaben, bietet dieser Anhang eine Tabelle mit egrep- und SSH-Ausdrücken.


FAZIT

„SSH kurz und gut“ ist empfehlenswert, wenn man eine kurze Einführung in SSH haben möchte und dazu noch eine übersichtliche Referenz der behandelten Versionen.

Trotz des knappen Seitenumfangs ist alles Wichtige verständlich dargestellt und das Buch geht bei Bedarf auch durchaus in die Tiefe.

Besonders nützlich ist der Titel aber vor allem dann, wenn man in gemischten Umgebungen mit den Implementierungen von Tectia und von OpenSSH arbeitet oder überlegt, ob es Gründe für den Umstieg von dem einen zum anderen gibt.

Übrigens geht der Autor nicht näher auf Windows-Implementierungen von SSH ein. Lediglich am Anfang des Kapitels 2 wird „putty“ als Windows-Client empfohlen.

Bedankt man jedoch, wie intuitiv sich graphische Oberflächen zumeist nutzen lassen, wenn man erst weiss, was man vom Programm erwarten kann, so stellt dies aber sicher keinen Mangel dar. Der Leser sollte in der Lage sein, das gelernte auf die Windows-Implementierung zu übertragen und z.B. mit „putty“ Tunnel anzulegen o.ä.

Auch findet man eigentlich schnell heraus, dass „putty“ zwar Aufrufe der Form „putty –l username rechnername“ bzw. „putty user@rechner“ unterstützt, andere Optionen aber eben nicht.

So gesehen ist es daher sicher gerechtfertigt, dass keine wertvollen Seiten für Screenshots von „putty“ oder anderen GUI-Clients verschwendet worden sind (Bücher der Art „Screenshots mit einer Aussagekraft knapp unterhalb der Online-Hilfe“ gibt es schließlich schon genug , dieser Titel hebt sich davon wohltuend ab. Das einzige Bild im ganzen Werk erläutert den prinzipiellen Ablauf der Kommunikation zwischen Client und Server!).

Denjenigen die sich über SSH und seine Möglichkeiten preiswert näher informieren wollen und allen, die ein tragbares Nachschlagewerk suchen, sei dieser Titel empfohlen. Alle die noch mehr über SSH wissen wollen, sei stattdessen (oder auch zusätzlich) O’Reillys „SSH Secure Shell – Eine umfassende Referenz“ empfohlen.

Helmut Elschner
hitforum.de