Ohne Worte
« Dezember 2004 | Main | April 2005 »
12.01.05
05.01.05
Verschlüsselte Fernbedienung: Der SSH-Tunnel
In der eigenen Wohnung den einen Rechner als Fernbedienung zu benutzen, ist sicherlich kein Sicherheitsrisiko. Wenn jedoch der Datenaustausch über das Internet stattfindet, ist Vorsicht geboten. Um auszuschließen, daß Neugierige den Informationsaustausch mitlesen können, hat Mac OS X in den Tiefen des Betriebssystems die Secure Shell eingebaut. Sie ermöglicht die Verschlüsselung der ausgetauschten Pakete.
Um dies zu bedienen, ist eine regelmäßige Benutzung der Kommandozeile, also des Terminals, notwendig. Damit wird der abgesichterte Tunnel aufgemacht, in dem die Daten dann unbehelligt reisen können.
Das volle Potenzial von ssh füllt Bücher. Das alles muss aber nicht jeder lesen. Für den Anfang ist es mit ein paar gemerkten Zauberformeln getan.
Das System
Ein kleiner Klick tut es schon: im Kontrollfeld "Sharing" unter "Dienste" die entfernte Anmeldung anwählen. Damit verlassen wir die graphische Benutzeroberfläche. Es geht weiter mit dem Terminal, zu finden unter den Dienstprogrammen.
Das Terminal ist das, was den Mac-Usern zu Classic-Zeiten kalte Schauer über den Rücken jagte. Es steht eine kleine Notiz da, die einen bei Darwin willkommen heisst. Ansonsten ist wirklich nichts zu klicken da, nur die Tastatur will funktionieren.
Die Anmeldung auf einem fremden Rechner läuft vergleichbar der Email-Adresse:
ssh younghart@server.mug-bs.de
oder
ssh younghart@123.4.5.6
Ist die Form, in der die Anmeldung vor sich geht. Der Teil vor dem @ ist der Benutzername, mit dem man sich am anderen Rechner normalerweise anmeldet. Der zweite Teil ist dann der Domain-Name, oder die IP-Adresse. Danach kommt die Frage nach dem Passwort, und als nächstes findet man sich im Home-Verzeichnis wieder. Beim ersten Anmelden per ssh auf einem Rechner kommt zuerst noch die Frage, ob man dem Rechner traut, ihn in die Liste der vertrauenswürdigen Computer (in die Datei .ssh/known_hosts) aufnehmen will. Das muss nur einmal beantwortet werden.
Mit
ls
lässt sich deren Inhalt anzeigen. In Textform. Ziel ist jedoch, den gesamten Bildschirminhalt über die nun aufgebaute Leitung zu schicken. Also wieder raus mit
logout
Den Güterverkehr durch den Tunnel leiten
Für die Benutzung von VNC muss am Client-Rechner (der Fernbedienung) im Terminal vor jeder Verbindung im Terminal eine Zeile eingegeben werden:
ssh -L [local port]:127.0.0.1:[remote port] [user]@[Server]
oder, um in meinem Beispiel zu bleiben:
ssh -L 15902:127.0.0.1:5902 younghart@server.mug-bs.de
Die IP-Adresse ist das Computer-Äquivalent von "hier". So heisst jeder Rechner intern. Dieser Befehl meldet eine sichere Verbindung bei dem Server an und sagt gleich noch Bescheid, dass die Daten vom Port 5902 auf dem Server über die gesicherte Verbindung zum Port 15902 auf dem lokalen Rechner weitergeleitet werden sollen. Das Programm VNCviewer holt sie dann bei der Portadresse, die am Anfang steht, wieder ab.
Also muss im VNCviewer im Verbindungsdialog auch etwas anderes angegeben werden: Die neue IP-Adresse, die er anspricht, ist 127.0.0.1, und der Port ist die fünfstellige Nummer (hier: 15902).
Wenn die Fernbedienung beendet ist und so schnell nicht wieder aufgenommen wird, kann die Verbindung im Terminal durch
logout
beendet werden - oder einfach das Terminalfenster geschlossen. Nicht jedoch vorher! Damit wird die Grundlage der sicheren Verbindung beendet, und der VNCviewer bricht ebenfalls die Verbindung ab.
Dateitransfer
Dasselbe lässt sich auch zur Verschlüsselung von Standard-Dateiaustausch verwenden, die Grundform ist wieder die selbe:
ssh -L [local port]:127.0.0.1:[remote port] [user]@[server]
Der Dateiaustausch unter Apple läuft unter Port 548, also:
ssh -L 54854:127.0.0.1:548 younghart@123.4.5.6
Bitte wieder User und IP-Adresse nach eigenen Bedürfnissen ändern. Dann im Finder mit Apfel-K ein "mit Server verbinden..."-Fenster aufmachen und dort
afp://127.0.0.1:54854
eingeben. Damit ist der Dateiaustausch ebenfalls sicher chiffriert.
Dieser Text basiert auf einem englischen Tutorial. Bei mehr Interesse an SSH empfiehlt sich das Mac Dev Center, das in 1, 2, 3, 4 Teilen in die Fähigkeiten der Secure Shell einführt.