Tools für DBA‘s und Cloud-Nutzer:ssh – die Secure Shell11. August 2017

Robert Marz

11. August 2017 Robert Marz © its-people @RobbieDatabee 2

Robert Marz

Technical Architectmit datenbankzentrischem WeltbildKunde

Portfoliomanager DatenbankenBlogredakteurits-people

Themenverantwortlicher „Cloud“in der Datenbank CommunityDOAG

@RobbieDatabee blog.its-people.de Robert.Marz@its-people.de

11. August 2017 Robert Marz © its-people @RobbieDatabee 3

ssh – the secure shell

Verschlüsselt

Netzwerkprotokoll

Client: sshServer: sshd

Client-Server:

OpenSSH

Open Source

1.x : veraltet, unsicher2.x: aktuell

Versionen

11. August 2017 Robert Marz © its-people @RobbieDatabee 4

ssh – mächtige Tools

Defacto Standard für verschlüsselte Konsolenverbindungen• Ersatz für telnet, rlogin, rsh, etc.• Rechner zu Rechner• SSL verschlüsselt

Kann viel mehr:• Automatisches Login• Netzwerktunnel

(VPN im Eigenbau)• Dateitransfer• Remote-Filesystem• Tunnelketten

11. August 2017 Robert Marz © its-people @RobbieDatabee 5

Konfigurationsdateien

Clie

nt (s

sh)

config*

known_hosts*

Keys*

Private*

identity

id_dsa

id_rsa

…

Public*

identity.pub

id_dsa.pub

id_rsa.pub

…

sshrc

environment

Global in /etc, per User in ~/.sshSe

rver

(ssh

d)

sshd_config

authorized_keys*

sshrc

11. August 2017 Robert Marz © its-people @RobbieDatabee 6

Kennwort oder Schlüsselpaar?

- Merken- Kurz- Keylogger- „Wandern“+ Einfach

Kennwörter

+ Datei+ Komplex

+ Privater Teil nur lokal-„Komplizierter“

Schlüsselpaar

11. August 2017 Robert Marz © its-people @RobbieDatabee 7

Konfigurationsdateien: known_hostskn

own_

host

s (Cl

ient

) Merkliste bekannte ServerVertrauensstellung (Achtung!)

Kennwortübertragung im KlartextBekannte Exploits

11. August 2017 Robert Marz © its-people @RobbieDatabee 8

SSH Schlüssel

SSH Key Pair

asymetrisch

private

public

Kennwortersatz mehrere Formate Erzeugen

ssh-keygen

PuTTYgen

11. August 2017 Robert Marz © its-people @RobbieDatabee 9

Der Public Key

ssh-copy-idE-MailCloud Web-Oberfläche

Verteilen

identity.pubid_dsa.pubid_rsa.pubBeliebig

Dateiname (default)

11. August 2017 Robert Marz © its-people @RobbieDatabee 10

Der Private Key

identityid_dsaid_rsa

Dateiname (default)

ssh –i /pfad/zum/private/key

Beliebiger Dateiname

Privat und Geheim

Verlässt NIEMALS freiwillig den Rechner

Mit Kennwort verschlüsselbar MEIN Schatz!

11. August 2017 Robert Marz © its-people @RobbieDatabee 11

SSH Key FormateOffizieller StandardKomplett verschlüsseltRFC 4716

openssh

Eigenes FormatPublic Key unverschlüsseltMehrzeilig

Putty

Kommerzielle VarianteWenig verbreitetssh.com

Umwandlung mit Texteditor oder Tool

11. August 2017 Robert Marz © its-people @RobbieDatabee 12

Konfigurationsdateien: authorized_keysau

thor

ized_

keys

(Ser

ver) erlaubt

Zugriff

auf den Server

pro User

Optionen (Auszug)

command

Environment

From

no-pty

restrict (verbietet alles)

gezieltes erlauben möglich

# Comments allowed at start of linessh-rsa AAAAB3Nza...LiPk== user@example.net

from="*.sales.example.net,!pc.sales.example.net" ssh-rsa AAAAB2...19Q== john@example.net

command="dump /home",no-pty,no-port-forwardingssh-dss AAAAC3...51R== example.net

permitopen="192.0.2.1:80",permitopen="192.0.2.2:25" ssh-dss AAAAB5...21S==

tunnel="0",command="sh /etc/netstart tun0" ssh-rsa AAAA...== jane@example.net

restrict,command="uptime" ssh-rsaAAAA1C8...32Tv== user@example.net

restrict,pty,command="nethack" ssh-rsaAAAA1f8...IrrC5== user@example.net

11. August 2017 Robert Marz © its-people @RobbieDatabee 13

Netzwerk Tunnel

Parameter-L lport:zielrechner:dport-L 1521:127.0.0.1:1521

Mini VPN

SQL DeveloperSQLclMobaXterm

Tools

X11 ForwardingSOCKS5-Tunnel

https-ProxyParameter -D portnummer

Spielart:

11. August 2017 Robert Marz © its-people @RobbieDatabee 14

Sicherer Dateitransfer

• Secure Copy

scp

• Secure FTP

sftp

• Remote Sync

rsync -e ssh

• ssh user@remote.host "tar czpf - /some/important/data" \| tar xzpf - -C /new/root/directory

• tar cpf - /some/important/data | ssh user@destination-machine \"tar xpf - -C /some/directory/"

tar

11. August 2017 Robert Marz © its-people @RobbieDatabee 15

Das Remotefilesystem sshfs

Remote Filesystem

lokales Einbinden

Dauerhaft oder per Session

Integration in Clients • (z.B.Midnight

Commander)

11. August 2017 Robert Marz © its-people @RobbieDatabee 16

Der ssh-agent

EntschlüsseltIm RAMKey Kennwort nur einmal eingeben

Speichert Keys

für ClientsKeine Weitergabe des Schlüssels

Key-Operationen

ssh-agentssh-add

Linux:

PuTTY-Agent (pagent.exe)

Windows:

11. August 2017 Robert Marz © its-people @RobbieDatabee 17

conf

ig(C

lient

)Aliase (host) Shortcut für den ssh-Aufruf

Parameter Gruppiert nach Host‣ Wildcards möglich

Erster Treffer für Parameter gilt ‣ Von speziell zu allgemein

Beispiel Hostname

User

IdentityFile

LocalForward

Konfigurationsdateien: config

11. August 2017 Robert Marz © its-people @RobbieDatabee 18

Konfigurationsdateien: config - Beispiel

11. August 2017 Robert Marz © its-people @RobbieDatabee 19

SSH Implementierungen• Nativ

Unix / Linux

• Nativ

OSX (Mac)

• Clients, z.B.• PuTTY• MobaXterm• mRemoteNG• Bash/Linux für Windows 10• PowerShell/Win32-OpenSSH

von MS• Server, z.B.

• Bash/Linux für Windows 10• PowerShell/Win32-OpenSSH

von MS

Windows

11. August 2017 Robert Marz © its-people @RobbieDatabee 21

Fazit

Viel Spaß beim Ausprobieren!

Lokale ssh-config ist mächtig

Keys statt Password

SSH ist mehr als nur ssh

its-people GmbHFrankfurt Tel. 069 2475 2100Hamburg Tel. 040 2360 8808Köln Tel. 0221 1602 5204München Tel. 089 5484 2401

its-people ERP Beratungsgesellschaft mbHFrankfurt Tel. 069 2475 1980

www.its-people.de info@its-people.de

we make the differencewww.its-people.de

Herzlichen Dank für IhreAufmerksamkeit !

Fragen ?