Red Hat Enterprise Linux 3: Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 19. SSH-Protokoll | Nach vorne |
Eine sichere Befehlszeilenschnittstelle stellt nur eine der vielen Arten und Weisen dar, wie SSH verwendet werden kann. Mit einer angemessenen Bandbreite können X11-Sitzungen über einen SSH-Kanal verwaltet werden. Mithilfe von TCP/IP-Forwarding können bisher unsichere Port-Verbindungen zwischen Systemen auf spezifische SSH-Kanäle gemappt werden.
Eine X11-Sitzung über eine bestehende SSH-Verbindung zu öffnen ist so einfach wie das Ausführen eines X-Programms, während Sie bereits einen X-Client auf Ihrem Host ausführen. Wird ein X-Programm von einem Secure Shell Prompt ausgeführt, erstellen der SSH-Client und -Server einen neuen, verschlüsselten Kanal in der aktuellen SSH-Verbindung, und die Daten des X-Programms werden über diesen Kanal auf Ihren Client-Rechner gesendet.
Sie können sich sicherlich vorstellen, wie nützlich X11-Forwarding sein kann. Sie können hiermit zum Beispiel eine sichere, interaktive Sitzung mithilfe von up2date auf dem Server erstellen. Verbinden Sie sich hierzu über ssh mit dem Server und geben Sie Folgendes ein:
up2date & |
Sie werden nun aufgefordert, das root-Passwort für den Server einzugeben. Anschließend erscheint Red Hat Update Agent, und Sie können Ihre Pakete auf dem Server aktualisieren, als ob Sie direkt vor Ihrem Rechner sitzen würden.
Mit SSH können Sie unsichere TCP/IP Protokolle via Port Forwarding sichern. Bei dieser Technik wird der SSH-Server zu einer verschlüsselten Verbindung zum SSH-Client.
Beim Port Forwarding wird ein lokaler Port auf einem Client zu einem remote Port auf dem Server gemappt. Mit SSH können Sie jeden Port des Servers auf jeden Port des Clients übertragen; die Portnummern müssen hierfür nicht übereinstimmen.
Um einen TCP/IP Port Forwarding Kanal zu erstellen, der nach Verbindungen im lokalen Host sucht, verwenden Sie folgenden Befehl:
ssh -L local-port:remote-hostname:remote-port username@hostname |
![]() | Anmerkung |
---|---|
Für das Einrichten des Port-Forwarding auf Ports unterhalb 1024 Zylindern müssen Sie als root angemeldet sein. |
Wenn Sie zum Beispiel Ihre E-Mails auf einem Server mit dem Namen mail.example.com mithilfe von POP3 über eine verschlüsselte Verbindung abrufen möchten, verwenden Sie folgenden Befehl:
ssh -L 1100:mail.example.com:110 mail.example.com |
Nachdem der Port Forwarding Channel zwischen dem Client und dem Mailserver eingerichtet wurde, können Sie einen POP3-Mail-Client anweisen, Port 1100 auf dem localhost für das Abrufen neuer E-Mails zu verwenden. Alle an Port 1100 gesendeten Anforderungen werden auf diese Weise sicher an den Server mail.example.com weitergeleitet.
Wenn mail.example.com keinen SSH-Serverdaemon ausführt, Sie sich jedoch an einem anderen Rechner im gleichen Netzwerk anmelden können, können Sie dennoch SSH verwenden, um einen Teil der Verbindung zu sichern. Hierzu ist ein anderer Befehl notwendig:
ssh -L 1100:mail.example.com:110 other.example.com |
In diesem Beispiel werden POP3-Anfragen von Port 1100 des Client-Rechners über die SSH-Verbindung auf Port 22 an den SSH-Server other.example.com weitergeleitet. Anschließend verbindet sich other.example.com mit Port 110 auf mail.example.com, so dass Sie neue E-Mails abrufen können. Beachten Sie, dass bei Verwendung dieser Methode nur die Verbindung zwischen dem Client-System und dem other.example.com-SSH-Server sicher ist.
Dies kann sehr nützlich sein, wenn Sie Informationen sicher über Netzwerk-Firewalls übertragen möchten. Wenn die Firewall so konfiguriert ist, dass SSH-Kommunikationen über den Standardport (22) erfolgen, die Übertragung über andere Ports jedoch gesperrt ist, ist eine Verbindung zwischen zwei Rechnern mit gesperrten Ports weiterhin möglich, indem die Meldungen über eine festgesetzte SSH-Verbindung zwischen diesen Rechnern übermittelt werden.
![]() | Anmerkung |
---|---|
Die Verwendung von Port Forwarding für das Weiterleiten von Verbindungen ermöglicht es jedem Benutzer des Client-Servers, sich mit diesem Service zu verbinden. Wird das Client-System kompromittiert, hat ein Angreifer auch Zugang zum Forwarding Service. Systemadministratoren, die um das Port Forwarding besorgt sind, können diese Funktionalität auf dem Server deaktivieren, indem sie einen No Parameter für die Zeile AllowTcpForwarding in der Datei /etc/ssh/sshd_config angeben und den sshd-Service neu starten. |
Zurück | Zum Anfang | Nach vorne |
OpenSSH-Konfigurationsdateien | Nach oben | Anfordern von SSH für Fernverbindungen |