Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- Mehr als eine Secure Shell

20.5. Mehr als eine Secure Shell

Eine sichere Befehlszeilenschnittstelle stellt nur eine der vielen Arten und Weisen dar, wie SSH verwendet werden kann. Mit einer angemessenen Bandbreite k�nnen X11-Sitzungen �ber einen SSH-Kanal verwaltet werden. Mithilfe von TCP/IP-Forwarding k�nnen bisher unsichere Port-Verbindungen zwischen Systemen auf spezifische SSH-Kan�le gemappt werden.

20.5.1. X11 Forwarding

Eine X11-Sitzung �ber eine bestehende SSH-Verbindung zu �ffnen ist so einfach wie das Ausf�hren eines X-Programms, w�hrend Sie bereits einen X-Client auf Ihrem Host ausf�hren. Wird ein X-Programm von einem Secure Shell Prompt ausgef�hrt, erstellen der SSH-Client und -Server einen neuen, verschl�sselten Kanal in der aktuellen SSH-Verbindung, und die Daten des X-Programms werden �ber diesen Kanal auf Ihren Client-Rechner gesendet.

Sie k�nnen sich sicherlich vorstellen, wie n�tzlich X11-Forwarding sein kann. Sie k�nnen hiermit zum Beispiel eine sichere, interaktive Sitzung mithilfe von up2date auf dem Server erstellen. Verbinden Sie sich hierzu �ber ssh mit dem Server und geben Sie Folgendes ein:

up2date &

Nachdem Sie nun das root-Passwort f�r den Server eingegeben haben, erscheint Red Hat Update Agent und erm�glicht nun dem Remote-Benutzer das Remote-System auf sichere Art zu aktualisieren.

20.5.2. Port Forwarding

Mit SSH k�nnen Sie unsichere TCP/IP Protokolle via Port Forwarding sichern. Bei dieser Technik wird der SSH-Server zu einer verschl�sselten Verbindung zum SSH-Client.

Beim Port Forwarding wird ein lokaler Port auf einem Client zu einem remoten Port auf dem Server gemappt. Mit SSH k�nnen Sie jeden Port des Servers auf jeden Port des Clients �bertragen; die Portnummern m�ssen hierf�r nicht �bereinstimmen.

Um einen TCP/IP Port Forwarding Kanal zu erstellen, der nach Verbindungen im lokalen Host sucht, verwenden Sie folgenden Befehl:

ssh -L local-port:remote-hostname:remote-port username@hostname

AnmerkungAnmerkung
 

F�r das Einrichten des Port-Forwarding auf Ports unterhalb 1024 Zylindern m�ssen Sie als root angemeldet sein.

Wenn Sie zum Beispiel Ihre E-Mails auf einem Server mit dem Namen mail.example.com mithilfe von POP3 �ber eine verschl�sselte Verbindung abrufen m�chten, verwenden Sie folgenden Befehl:

ssh -L 1100:mail.example.com:110 mail.example.com

Nachdem der Port Forwarding Channel zwischen dem Client-Rechner und dem Mailserver eingerichtet wurde, k�nnen Sie einen POP3-Mail-Client anweisen, Port 1100 auf dem Localhost f�r das Abrufen neuer E-Mails zu verwenden. Alle an Port 1100 gesendeten Anfragen werden auf diese Weise sicher an den Server mail.example.com weitergeleitet.

Wenn mail.example.com keinen SSH-Serverdaemon ausf�hrt, Sie sich jedoch an einem anderen Rechner im gleichen Netzwerk anmelden k�nnen, k�nnen Sie dennoch SSH verwenden, um einen Teil der Verbindung zu sichern. Hierzu ist ein anderer Befehl notwendig:

ssh -L 1100:mail.example.com:110 other.example.com

In diesem Beispiel werden POP3-Anfragen von Port 1100 des Client-Rechners �ber die SSH-Verbindung auf Port 22 an den SSH-Server other.example.com weitergeleitet. Anschlie�end verbindet sich other.example.com mit Port 110 auf mail.example.com, so dass Sie neue E-Mails abrufen k�nnen. Beachten Sie, dass bei Verwendung dieser Methode lediglich die Verbindung zwischen dem Client-System und dem other.example.com-SSH-Server sicher ist.

Dies kann sehr n�tzlich sein, wenn Sie Informationen sicher �ber Netzwerk-Firewalls �bertragen m�chten. Wenn die Firewall so konfiguriert ist, dass SSH-Kommunikationen �ber den Standardport (22) erfolgen, die �bertragung �ber andere Ports jedoch gesperrt ist, ist eine Verbindung zwischen zwei Rechnern mit gesperrten Ports weiterhin m�glich, indem die Meldungen �ber eine festgesetzte SSH-Verbindung zwischen diesen Rechnern �bermittelt werden.

AnmerkungAnmerkung
 

Die Verwendung von Port Forwarding f�r das Weiterleiten von Verbindungen erm�glicht es jedem Benutzer des Client-Servers, sich mit diesem Service zu verbinden. Wird das Client-System kompromittiert, hat ein Angreifer auch Zugang zum Forwarding Service.

Systemadministratoren, die um das Port Forwarding besorgt sind, k�nnen diese Funktionalit�t auf dem Server deaktivieren, indem sie einen No Parameter f�r die Zeile AllowTcpForwarding in der Datei /etc/ssh/sshd_config angeben und den sshd-Service neu starten.

 
 
  Published under the terms of the GNU General Public License Design by Interspire