Vortrag: Grundlagen 2010

Transkript

1 Vortrag: Grundlagen 2010

2 SSH Einleitung SSH dient zum Herstellen einer sicheren Verbindung zu einem enfernten Computer. Die IANA (Internet Assigned Numbers Authority) hat dem SSH Protokoll den TCP Port 22 vergeben. SSH steht dabei als Abkürzung für SecureShell und ist eine Sammlung von Programmen. Unter ihnen gibt es z.b. den SSH Client und den SSH Server.

3 SSH Einleitung Nachdem SSH unter einer kommerziellen Lizenz angeboten wurde, nahmen sich die Entwickler von OpenBSD des Quellcodes an und entwickelten eine freie Version namens OpenSSH. Diese ist in fast allen Linux / UNIX Distributionen verfügbar.

4 SSH Installation SSH Client: ist bereits verfügbar und muss nicht nachinstalliert werden SSH Server: apt get install openssh server Konfiguration SSH Client: ~/.ssh/config (Einstellungen für jeden Benutzer) /etc/ssh/ssh_config (Globale Einstellungen für alle Nutzer) SSH Server: /etc/ssh/sshd_config

5 SSH Verbindungsaufbau ssh IP-Adresse ssh Servername z.b.: ssh ssh ispost.informatik.fh-schmalkalden.de Verbindung mit anderen Benutzernamen ssh l Benutzername Servername ssh Benutzername@servername ssh o User=Benutzername Servername z.b.: ssh l kurt

6 SSH Verbindung über einen anderen Port ssh Servername p Port z.b.: ssh p 2233 Befehle automatisch ausführen ssh Servername Befehl z.b.: ssh Servername cat/etc/issue

7 SSH Config Datei Client Host Servername HostName Port 2233 User karl Protocol 2 ForwardAgent yes StrictHostkeyChecking ask ForwardX11 yes Compression yes Cipher 3des CheckHostIP no EscapeChar ~ #IP Adresse des Servers #geänderter Port #Benutzername #Protokollversion #öffentliche Schlüssel weiterreichen #Überprüfung der Schlüssel #GUI weiterleiten #Kompression einschalten #verwendete Verschlüsselung #Abbruch Zeichen

8 SSH Auszug Config Datei Server Port 2233 PermitRootLogin no PermitEmptyPasswords no X11Forwarding yes PasswordAuthentication yes UsePAM yes PrintLastLog yes TCPKeepAlive yes #Standard Port ändern #Benutzer root verweigern #leere Passwörter ablehnen #GUI Weiterleiten zulassen #Einloggen per Passwort zulassen #Einloggen per Passwort zulassen #letzten Login anzeigen #Verbindung aufrecht halten

9 SSH Sicherheit Authentifizierung: Server: RSA Zertifikat Client: Kennwort Authentifizierung (Standard Einstellung) Client: Public Key Authentifizierung (öffentlicher Schlüssel wird auf dem Server hinterlegt) Verschlüsselung: nach Authentifizierung > Erzeugung eines geheimen Schlüssels; Gültigkeit: Dauer der Sitzung SSH2 Standard: AES 128 Bit Schlüssellänge weitere mögliche Verfahren: 3DES, Blowfish, Twofish, CAST, IDEA, Arcfour, SEED, AES verschiedener Schlüssellängen (3DES: besonders sicher > viel Rechenzeit; Blowfish: besonders schnell)

10 SSH Sicherheit

11 SSH Authentifizierung über Public Keys Schlüssel erzeugen: ssh keygen t dsa Hinweis: alle Fragen mit Enter bestätigen; Passwort vergeben! Schlüssel in den Server einbinden: ssh copy id i ~/.ssh/id_dsa.pub Servername

12 SSH Authentifizierung über Public Keys Schlüssel entfernen: ssh keygen R Servername Schlüssel für eine Sitzung speichern: ssh add Hinweis: Speicherung nur bis zum Ausloggen aus dem Computer!

13 SSH X Forwarding grafische Programme anderer Computer werden auf eigenen Computer weitergeleitet (angezeigt) - Voraussetzung: Paket xauth auf Server installiert; X11Forwarding yes in Config Datei Server Aufruf: ssh X Servername z.b.: ssh X Servername firefox & Hinweis: ssh Y Servername öffnet den Tunnel in beide Richtungen!

14 SSH Dateitransfer SCP "Secure Copy": scp -Optionen woher:/pfad/datei wohin:/pfad/datei z.b.: scp -C -P 223 /home/karl/dateiname scp /home/karl/scripts/*.sh

15 SSH Dateitransfer FUSE (Filesystem in USErspace) über SSH: apt get install sshfs (universe Quellen) mkdir ~/mp3_server adduser Benutzername fuse Einbinden: sshfs /Pfad_auf_den_Client z.b.: sshfs C Servername:/home/user/mp3 ~/mp3_server

16 SSH Dateitransfer Ausbinden: fusermount u /Pfad_auf_den_Client z.b.: fusermount u ~/mp3_server timeout verhindern: sshfs -o ServerAliveInterval=15 Servername:/Pfad_auf_dem_Server/ /Pfad_auf_den_Client

17 Quellen Quellen: Bildquellen:

18 GnuPG 1. Was ist GnuPG? 2. Warum sollte man GnuPG verwenden? 3. Wie erstelle ich ein Schlüsselpaar? 4. Web of Trust - Echtheit der Schlüssel 5. Wie signiere / verschlüssele ich eine e.mail? 6. Resümee

19 GnuPG Was ist GnuPG? GnuPG = GNU + PG GNU = rekursive Akronym für GNU is not Unix PG = Privacy Guard - ein freies Kryptographiesystem - verwendet keine patentierten Algorithmen - verwendet OpenPGP-Standard nach RFC Ver- / Entschlüsseln von Daten - Erzeugen / Prüfen elektronischer Signaturen

20 GnuPG Warum sollte man GnuPG verwenden? - e.mails sind wie Postkarten -> von jeden lesbar und veränderbar - Passwörter / private Daten sind nicht sicher - Identität des Absenders ist nicht sichergestellt

21 GnuPG

22 GnuPG

23 GnuPG

24 GnuPG Wie erstelle ich ein Schlüsselpaar? GUI: (z.b. Gnu Privacy Assistant ) Terminal: user@host: gpg --gen-key * Beantworten der Abfragen zu: - des Algorithmus - der Schlüssellänge - der Gültigkeit - der persönlichen Daten - des Passwortes gpg -a --output name.asc --export <ID oder Name> name.asc --> öffentliche Schlüssel zum weitergeben Hinweis: Man sollte seinen richtigen und vollen Namen angeben Button: Export - öffentlicher Schlüssel wird exportiert

25 GnuPG Web of Trust - Echtheit der Schlüssel - gegenseitiges signieren der Schlüssel - je mehr Signaturen --> Echtheit der Person wahrscheinlicher - Zertifizierungsstellen (z.b. c't Zeitschrift ) --> Kontrolle des Personalausweises - Vergleich des digitalen Fingerabdrucks

26 GnuPG Wie signiere / verschlüssele ich eine e.mail? - öffentliche Schlüssel des Empfängers muss bekannt sein (Keyserver, per mail erhalten,...) - eigene öffentliche Schlüssel muss dem Empfänger bekannt sein - mail Programm mit GnuPG Unterstützung (Claws, Thunderbird, usw.)

27 GnuPG Wie signiere / verschlüssel ich eine e.mail? falsches/kein Passwort

28 GnuPG Wie signiere / verschlüssel ich eine e.mail? richtiges Passwort

29 GnuPG Nützliche Befehle gpg --list-secret-keys gpg --list-keys gpg --fingerprint <ID oder Name> gpg --gen-key gpg --import name.asc gpg -a --output name.asc --export <ID oder Name> gpg --edit-key <ID oder Name> gpg --gen-revoke gpg --delete-key <ID oder Name> gpg --send-keys <ID> gpg --recv-keys <ID> gpg --refresh-keys gpg --search-keys "Vorname Nachname" gpg --keyserver wwwkeys.eu.pgp.net - geheime Schlüssel anzeigen - öffentliche Schlüssel anzeigen - Fingerprint anzeigen - Schlüssel erzeugen - Schlüssel importieren - Schlüssel exportieren - Schlüssel bearbeiten - Schlüssel widerrufen - Schlüssel aus Schlüsselbund löschen - Schlüssel zum Server senden - Schlüssel vom Server holen - Schlüssel aktualisieren - Schlüssel finden - Keyserver festlegen

30 GnuPG Resümee: Wer e.mails ohne Signatur und Verschlüsselung versendet, der muss sich im klaren darüber sein, dass sie jeder lesen und verändern könnte. Jede unverschlüsselte e.mail sollte man immer erst einmal anzweifeln und für sich hinterfragen, ob der Inhalt stimmen könnte. Sicheren e.mail Verkehr gibt es nur durch Signatur und Verschlüsselung! Quellen:

31 Sicherheitskonzepte Lokale Sicherheit: Man kann seinen PC noch so gut absichern, sobald er jedoch für andere Personen direkt zugänglich ist, muss man weitere Maßnahmen zur Absicherung ergreifen.

32 Sicherheitskonzepte Bootreihenfolge Wer per Live-CD den Computer starten kann der gelangt im Normalfall an alle Daten der Festplatten! Abhilfe: - Bootreihenfolge im Bios ändern - Bootmenü im Bios abschalten (sofern möglich) - Bios mit Passwort schützen Problem: - Masterpasswörter beim BIOS - Bios-Reset Jumper

33 Sicherheitskonzepte GRUB Über den GRUB gelangt man in eine Rescue-Shell, in welcher man root-rechte besitzt. Des weiteren kann man GRUB ebenfalls Parameter übergeben um root-rechte zu erlangen. Abhilfe: - GRUB mit Passwort versehen - Recovery-Modus nicht auflisten Problem: - Umständliches Wiederherstellen des GRUB bei Kernelfehlern

34 Sicherheitskonzepte sudo - root Unter Ubuntu besitzt der root-user kein Passwort. Damit kann es unter Umständen passieren, das man an eine root-shell gelangt Abhilfe: - dem root-user ein Passwort geben Problem: - Ubuntu Konfiguration ist auf sudo ausgelegt

35 Sicherheitskonzepte System verschlüsseln Die sicherste Möglichkeit seine Daten zu schützen ist die Verschlüsselung der vorhandenen Partitionen. Damit ist es nahezu unmöglich ohne die richtigen Passwörter an sensible Daten zu gelangen Abhilfe: - Verschlüsselung mit TrueCrypt - Verschlüsselung mit LUKS Problem: - Schlüssel weg Daten weg - zu einfache Passwörter verwendet

36 Sicherheitskonzepte PC Gehäuse abschließen Wer unverschlüsselte Festplatten ausbauen kann, der gelangt auch ohne Passwörter an Daten! Abhilfe: - abschließbares Gehäuse kaufen - PC längere Zeit nicht unbeobachtet stehen lassen

37 Diskussion - Fragen Bei konkreten Problemen sofort nachfragen Linux-Stammtisch (Jeden 2. Mittwoch im Monat um Uhr) Dr. TUX die wöchtentliche Sprechstunde für Linux-Interessiert Sprechzeiten: Mittwoch von 15:00 bis 17:00 Uhr Ort: Database Competence Center (Gebäude F, Raum F0001)