https://wiki.freitagsrunde.org/api.php?action=feedcontributions&feedformat=atom&user=Freddy1404FreitagsrundenWiki - Benutzerbeiträge [de]2026-05-19T04:27:34ZBenutzerbeiträgeMediaWiki 1.31.16https://wiki.freitagsrunde.org/index.php?title=SSH&diff=25036SSH2022-04-28T16:22:16Z<p>Freddy1404: Update Server</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 28.04.2022). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.4 LTS || ubu20<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.4 LTS || ubu20<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.4 LTS || ubu20<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.4 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.4 LTS ||<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.4 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den Servern nicht möglich, daher benutzt folgende ssh-config Passwort oder Kerberos. In dem zweiten Teil der Config wird auch eine Abkürzung für die ubu18- und ubu20-Server angelegt, sodass nicht die gesamte Domain angegeben werden muss. Außerdem besteht (auskommentiert) die Möglichkeit, den Proxyjump über das sshgate automatisch zu erledigen zu lassen, was die Benutzung eines VPNs erspart.<br />
<br />
Host ubu18<br />
Hostname ubu18.eecsit.tu-berlin.de<br />
Host ubu20<br />
Hostname ubu20.eecsit.tu-berlin.de<br />
Host *.eecsit.tu-berlin.de *.hpc.tu-berlin.de unu18 ubu20<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
#ProxyJump sshgate.tu-berlin.de<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@ubu20.eecsit.tu-berlin.de:22/~</code> (Alternativ das sshgate, wobei ubu18 jedoch die Möglichkeit bietet unter z.B. Gnome mit Rechtsklick direkt ein funktionierendes Terminal mit allen Tools zu öffnen).<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@ubu18.tu-berlin.de <br />
<br />
==== Portforwarding mit SSH ====<br />
<br />
SSH ist in der Lage entweder einen entfernten Port zum lokalen Rechner zu forwarden (bspw. ein entferntes Jupyternotebook was dann lokal im Browser geöffnet werden kann) oder eine lokalen Port zu einem Server zu transportieren (bspw. angeschlossene FPGAs an den lokalen Rechner, lediglich mit dem sehr viel ressourcenfreundlicheren Xilinx Hardwaremanager, worauf mit dem entfernt laufenden Xilinx Vivado zugegriffen wird).<br />
<br />
Für ersteren Fall (erste Portnummer für lokal (der zu öffnende), zweite für remote (der bereits existierende Port)):<br />
ssh -L 8080:remote-server:8080 remote-server<br />
<br />
Für zweiteren Fall (erste Portnummer für remote (der zu öffnende), zweite für lokal (der bereits existierende Port)):<br />
ssh -R 3121:localhost:3121 remote-server<br />
<br />
Im zweiten Fall ist jedoch beachten, dass man für Ports <1024 root-Rechte benötigt.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24986SSH2022-02-04T22:39:08Z<p>Freddy1404: typo</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 05.02.2022). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den Servern nicht möglich, daher benutzt folgende ssh-config Passwort oder Kerberos. In dem zweiten Teil der Config wird auch eine Abkürzung für die ubu18- und ubu20-Server angelegt, sodass nicht die gesamte Domain angegeben werden muss. Außerdem besteht (auskommentiert) die Möglichkeit, den Proxyjump über das sshgate automatisch zu erledigen zu lassen, was die Benutzung eines VPNs erspart.<br />
<br />
Host ubu18<br />
Hostname ubu18.eecsit.tu-berlin.de<br />
Host ubu20<br />
Hostname ubu20.eecsit.tu-berlin.de<br />
Host *.eecsit.tu-berlin.de *.hpc.tu-berlin.de unu18 ubu20<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
#ProxyJump sshgate.tu-berlin.de<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@ubu20.eecsit.tu-berlin.de:22/~</code> (Alternativ das sshgate, wobei ubu18 jedoch die Möglichkeit bietet unter z.B. Gnome mit Rechtsklick direkt ein funktionierendes Terminal mit allen Tools zu öffnen).<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@ubu18.tu-berlin.de <br />
<br />
==== Portforwarding mit SSH ====<br />
<br />
SSH ist in der Lage entweder einen entfernten Port zum lokalen Rechner zu forwarden (bspw. ein entferntes Jupyternotebook was dann lokal im Browser geöffnet werden kann) oder eine lokalen Port zu einem Server zu transportieren (bspw. angeschlossene FPGAs an den lokalen Rechner, lediglich mit dem sehr viel ressourcenfreundlicheren Xilinx Hardwaremanager, worauf mit dem entfernt laufenden Xilinx Vivado zugegriffen wird).<br />
<br />
Für ersteren Fall (erste Portnummer für lokal (der zu öffnende), zweite für remote (der bereits existierende Port)):<br />
ssh -L 8080:remote-server:8080 remote-server<br />
<br />
Für zweiteren Fall (erste Portnummer für remote (der zu öffnende), zweite für lokal (der bereits existierende Port)):<br />
ssh -R 3121:localhost:3121 remote-server<br />
<br />
Im zweiten Fall ist jedoch beachten, dass man für Ports <1024 root-Rechte benötigt.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24985SSH2022-02-04T22:38:46Z<p>Freddy1404: Outdated info entfernt, Port forwarding weil nützlich mal hinzugefügt.</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 05.02.2022). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den Servern nicht möglich, daher benutzt folgende ssh-config Passwort oder Kerberos. In dem zweiten Teil der Config wird auch eine Abkürzung für die ubu18- und ubu20-Server angelegt, sodass nicht die gesamte Domain angegeben werden muss. Außerdem besteht (auskommentiert) die Möglichkeit, den Proxyjump über das sshgate automatisch zu erledigen zu lassen, was die Benutzung eines VPNs erspart.<br />
<br />
Host ubu18<br />
Hostname ubu18.eecsit.tu-berlin.de<br />
Host ubu20<br />
Hostname ubu20.eecsit.tu-berlin.de<br />
Host *.eecsit.tu-berlin.de *.hpc.tu-berlin.de unu18 ubu20<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
#ProxyJump sshgate.tu-berlin.de<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@ubu20.eecsit.tu-berlin.de:22/~</code> (Alternativ das sshgate, wobei ubu18 jedoch die Möglichkeit bietet unter z.B. Gnome mit Rechtsklick direkt ein funktionierendes Terminal mit allen Tools zu öffnen).<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@ubu18.tu-berlin.de <br />
<br />
==== Portforwarding mit SSH ====<br />
<br />
SSH ist in der Lage entweder einen entfernten Port zum lokalen Rechner zu forwarden (bspw. ein entferntes Jupyternotebook was dann lokal im Browser geöffnet werden kann) oder eine lokalen Port zu einem Server zu transportieren (bspw. angeschlossene FPGAs an den lokalen Rechner, lediglich mit dem sehr viel ressourcenfreundlicheren Xilinx Hardwaremanager, worauf mit dem entfernt laufenden Xilinx Vivado zugegriffen wird).<br />
<br />
Für ersteren Fall (erste Portnummer für lokal (der zu öffnende), zweite für remote (der bereits existierende Port)):<br />
ssh -L 8080:renote-server:8080 remote-server<br />
<br />
Für zweiteren Fall (erste Portnummer für remote (der zu öffnende), zweite für lokal (der bereits existierende Port)):<br />
ssh -R 3121:localhost:3121 remote-server<br />
<br />
Im zweiten Fall ist jedoch beachten, dass man für Ports <1024 root-Rechte benötigt.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24984SSH2022-02-04T22:28:07Z<p>Freddy1404: keine ahnung mehr, was ich hier aktualisiert habe</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 05.02.2022). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den Servern nicht möglich, daher benutzt folgende ssh-config Passwort oder Kerberos. In dem zweiten Teil der Config wird auch eine Abkürzung für die ubu18- und ubu20-Server angelegt, sodass nicht die gesamte Domain angegeben werden muss. Außerdem besteht (auskommentiert) die Möglichkeit, den Proxyjump über das sshgate automatisch zu erledigen zu lassen, was die Benutzung eines VPNs erspart.<br />
<br />
Host ubu18<br />
Hostname ubu18.eecsit.tu-berlin.de<br />
Host ubu20<br />
Hostname ubu20.eecsit.tu-berlin.de<br />
Host *.eecsit.tu-berlin.de *.hpc.tu-berlin.de unu18 ubu20<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
#ProxyJump sshgate.tu-berlin.de<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@ubu20.eecsit.tu-berlin.de:22/~</code> (Alternativ das sshgate, wobei ubu18 jedoch die Möglichkeit bietet unter z.B. Gnome mit Rechtsklick direkt ein funktionierendes Terminal mit allen Tools zu öffnen).<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24983SSH2022-02-04T22:25:08Z<p>Freddy1404: sftp Domain updated, added hint for sshgate</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 01.01.2022). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den Servern nicht möglich, daher benutzt folgende ssh-config Passwort oder Kerberos. In dem zweiten Teil der Config wird auch eine Abkürzung für die ubu18- und ubu20-Server angelegt, sodass nicht die gesamte Domain angegeben werden muss. Außerdem besteht (auskommentiert) die Möglichkeit, den Proxyjump über das sshgate automatisch zu erledigen zu lassen, was die Benutzung eines VPNs erspart.<br />
<br />
Host ubu18<br />
Hostname ubu18.eecsit.tu-berlin.de<br />
Host ubu20<br />
Hostname ubu20.eecsit.tu-berlin.de<br />
Host *.eecsit.tu-berlin.de *.hpc.tu-berlin.de unu18 ubu20<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns yes<br />
#ProxyJump sshgate.tu-berlin.de<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@ubu20.eecsit.tu-berlin.de:22/~</code> (Alternativ das sshgate, wobei ubu18 jedoch die Möglichkeit bietet unter z.B. Gnome mit Rechtsklick direkt ein funktionierendes Terminal mit allen Tools zu öffnen).<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24982SSH2022-02-04T22:24:24Z<p>Freddy1404: Updated config details for new servers only, removed outdated info</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 01.01.2022). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@ubu20.eecsit.tu-berlin.de:22/~</code> (Alternativ das sshgate, wobei ubu18 jedoch die Möglichkeit bietet unter z.B. Gnome mit Rechtsklick direkt ein funktionierendes Terminal mit allen Tools zu öffnen).<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24978SSH2022-01-01T19:21:40Z<p>Freddy1404: casa is ubu20 now, formatted table</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 01.01.2022). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24979SSH2022-01-01T17:56:18Z<p>Freddy1404: casa is ubu20 now</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 01.01.2022). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24976SSH2022-01-01T17:30:28Z<p>Freddy1404: Updated config details for new servers only, removed outdated info</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 04.01.2021). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || <br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns no<br />
<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den Servern nicht möglich, daher benutzt folgende ssh-config Passwort oder Kerberos. In dem zweiten Teil der Config wird auch eine Abkürzung für die ubu18- und ubu20-Server angelegt, sodass nicht die gesamte Domain angegeben werden muss. Außerdem besteht (auskommentiert) die Möglichkeit, den Proxyjump über das sshgate automatisch zu erledigen zu lassen, was die Benutzung eines VPNs erspart.<br />
<br />
Host *.eecsit.tu-berlin.de *.hpc.tu-berlin.de !sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns no<br />
#ProxyJump sshgate.tu-berlin.de<br />
Host ubu18<br />
Hostname ubu18.eecsit.tu-berlin.de<br />
Host ubu20<br />
Hostname ubu20.eecsit.tu-berlin.de<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24975SSH2022-01-01T17:30:00Z<p>Freddy1404: sftp Domain updated, added hint for sshgate</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 04.01.2021). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || <br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@ubu20.eecsit.tu-berlin.de:22/~</code> (Alternativ das sshgate, wobei ubu18 jedoch die Möglichkeit bietet unter z.B. Gnome mit Rechtsklick direkt ein funktionierendes Terminal mit allen Tools zu öffnen).<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24977SSH2022-01-01T17:27:57Z<p>Freddy1404: Updated config details for new servers only, removed outdated info</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 04.01.2021). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || <br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns no<br />
<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den Servern nicht möglich, daher benutzt folgende ssh-config Passwort oder Kerberos. In dem zweiten Teil der Config wird auch eine Abkürzung für die ubu18- und ubu20-Server angelegt, sodass nicht die gesamte Domain angegeben werden muss. Außerdem besteht (auskommentiert) die Möglichkeit, den Proxyjump über das sshgate automatisch zu erledigen zu lassen, was die Benutzung eines VPNs erspart.<br />
<br />
Host *.eecsit.tu-berlin.de *.hpc.tu-berlin.de !sshgate.tu-berlin.de<br />
PubKeyAuthentication no<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardX11 no<br />
ForwardAgent no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
GSSAPITrustDns no<br />
#ProxyJump sshgate.tu-berlin.de<br />
Host ubu18<br />
Hostname ubu18.eecsit.tu-berlin.de<br />
Host ubu20<br />
Hostname ubu20.eecsit.tu-berlin.de<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24961SSH2021-10-04T23:01:23Z<p>Freddy1404: </p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 04.01.2021). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || <br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24960SSH2021-10-04T23:01:06Z<p>Freddy1404: kelbassa-ware hinzugefügt</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 04.01.2021). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || <br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 || <br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24959SSH2021-10-04T22:51:36Z<p>Freddy1404: Tabelle aktualisiert</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 04.01.2021). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || <br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || No permission<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.6 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.3 LTS || ubu20<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24905SSH2021-01-18T10:49:53Z<p>Freddy1404: kelbassa-ubu works again</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 04.01.2021). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || <br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || No permission<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16, ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24903SSH2021-01-04T22:03:24Z<p>Freddy1404: Stand => today</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 04.01.2021). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || No permission<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || No permission<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16, ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24902SSH2021-01-04T22:02:18Z<p>Freddy1404: Removed kelbassa-x, Message after login:"This account is not available for this server. https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff"</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 27.10.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || No permission<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || ??? || ?,?? || ??G || ??? || ??? || No permission<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16, ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24890SSH2020-11-15T20:32:54Z<p>Freddy1404: x2go hinzugefügt</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 27.10.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ---<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.1 LTS || ---<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16, ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== Grafische Verbindung ====<br />
<br />
Für eine grafische Verbindung gibt es aktuell zwei Möglichkeiten über SSH (neben RDP und VNC): Das etwas ältere X11-Forwarding oder die etwas neuere Variante über x2go.<br />
<br />
===== X2go =====<br />
<br />
Hierzu wird der sog. [https://wiki.x2go.org/doku.php/doc:installation:x2goclient X2go-Client] benötigt, dieser lässt sich für jede Distribution idR. über den Paketmanager installieren (es gibt auch Versionen für Windows und Mac). Der Vorteil von X2go liegt bei der etwas einfacheren Verwendung, auch außerhalb des Uninetzes und einer schnelleren Verbindung der Oberflächen.<br />
<br />
X2go bietet sowohl die komplette Anzeige eines Desktops in einem Fenster, ähnlich RDP und VNC, als auch "seamless" angezeigte Fenster, also so ab diese lokal laufen würden.<br />
<br />
Im X2Go client einfach folgende Sitzungseinstellungen eintragen:<br />
- Sitzungsname: <frei wählen><br />
- Host: Bspw. ubu18.eecsit.tu-berlin.de, siehe obige Tabelle<br />
- Proxy-Server aktivieren<br />
- Host: sshgate.tu-berlin.de<br />
- Gleiche Anmeldung wie für X2GO-Server<br />
- Gleiches Kennwort wie für X2GO-Server<br />
- Sitzungsart: Entweder bspw. "LXDE" für eine vollständige Sitzung mit Desktop, oder "Anwendung" und "xfce4-terminal" für ein Terminal, über das dann entsprechende Programme ("firefox", "gedit", usw.) gestartet werden können.<br />
<br />
In den restlichen Tabs muss idR. nichts verändert werden, bei "Ein-/Ausgabe" lässt sich bei Benutzen einer vollständigen Sitzung jedoch die Auflösung/Größe des Desktops und der Vollbildmodus ändern.<br />
<br />
===== X11-Forwarding =====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24858SSH2020-10-27T14:44:29Z<p>Freddy1404: Text aktualisierung</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 27.10.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ---<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.1 LTS || ---<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16, ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18, Ubuntu20), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== X11-Forwarding ====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24857SSH2020-10-27T14:43:24Z<p>Freddy1404: Server aktualisiert</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 27.10.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ---<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 20.04.1 LTS || ---<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.5 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16, ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 32G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu16<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' (neu, aktuell nur ''kelbassa-ware'' mit Ubuntu 18) wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== X11-Forwarding ====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24856SSH2020-10-27T14:30:23Z<p>Freddy1404: tilkowski aktualisiert</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 30.04.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ---<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu20<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 16G || Ubuntu || 20.04.1 LTS || ubu20<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.4 LTS || ubu16<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' (neu, aktuell nur ''kelbassa-ware'' mit Ubuntu 18) wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== X11-Forwarding ====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24805SSH2020-04-30T12:51:06Z<p>Freddy1404: Sammeldomain hinzugefügt, gata und gato als Offline unbekannt eingetragen</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 30.04.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ---<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu20<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || ubu16, Offline<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || ubu18<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.4 LTS || ubu16<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' (neu, aktuell nur ''kelbassa-ware'' mit Ubuntu 18) wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== X11-Forwarding ====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24804SSH2020-04-30T11:47:41Z<p>Freddy1404: /* Liste der Server im Netz der Fakultät IV (eecsIT) */</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 10.04.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS || Offline<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Offline<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' (neu, aktuell nur ''kelbassa-ware'' mit Ubuntu 18) wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== X11-Forwarding ====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24799SSH2020-04-09T23:13:09Z<p>Freddy1404: Link zu eecsit-Seite hinzugefügt</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das [https://www.eecs.tu-berlin.de/eecsit/v/dienste/externer_zugriff/ Fakultätsnetz] ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 10.04.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Online, jedoch ssh Timeout<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS || Online, jedoch ssh Timeout<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Online, jedoch ssh Timeout<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' (neu, aktuell nur ''kelbassa-ware'' mit Ubuntu 18) wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== X11-Forwarding ====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24798SSH2020-04-09T23:08:07Z<p>Freddy1404: Server nur noch aus dem Uninetz erreichbar, Struktur verbessert, Fehler verbessert, Tilkowski hinzugefügt</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
'''Achtung!''' Seit März 2020 kann nur noch innerhalb des Uninetzes auf die Server zugegriffen werden. Daher ist es nötig sich entweder vorher über [[SSH#sshgate|sshgate]] zu verbinden oder über [[VPN|VPN]] verbunden zu sein.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 10.04.2020). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Online, jedoch ssh Timeout<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS || Online, jedoch ssh Timeout<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Online, jedoch ssh Timeout<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.4 LTS || <br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.4 LTS ||<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' oder ''ubu20.eecsit.tu-berlin.de'' (neu, aktuell nur ''kelbassa-ware'' mit Ubuntu 18) wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind. <br />
<br />
==== sshgate ====<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von ZE Campusmanagement] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer einfachen Editoren und grundlegender Software kaum weiteres installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. SSH auf TU-Server / -Rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
==== X11-Forwarding ====<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, den eigenen Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzen. Dazu muss man auf dem eigenen Rechner eine X-Session mit nur einem Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll das Terminalfenster mit der gnome-session nicht schließen, solange die Verbindung besteht. Es können auch andere X-Sessions gestartet werden, mit den entsprechenden Befehlen wie z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
==== Passwortloser Login ====<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann stattdessen die Kerberos-Authentifizierung (bei ''ubu**.eecsit.tu-berlin.de''-Servern) oder Public-Key-Authentifizierung (bei allen anderen Servern) benutzen. <br />
<br />
===== Kerberos-Authentifizierung =====<br />
'''Hinweis:''' Für die Server mit tubit-Authentifizierung funktioniert die gewohnte Public-Key-Authentifizierung nicht so einfach, da hier das Homeverzeichnis per AFS von ZECM gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]]. Auch kann beispielsweise Gnome3 ein solches Ticket erzeugen.<br />
<br />
===== Public-Key-Authentifizierung =====<br />
Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook Kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per Kerberos authentifizieren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen Servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24670SSH2019-10-31T18:13:47Z<p>Freddy1404: </p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 11.10.2019). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Online, jedoch ssh Timeout<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind.<br />
<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von tubIT] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. ssh auf tu-rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]].<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24614SSH2019-10-11T09:26:41Z<p>Freddy1404: /* Liste der Server im Netz der Fakultät IV (eecsIT) */</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 11.10.2019). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ??? || ?,?? || ??G || Ubuntu || ??? || Online, jedoch ssh Timeout<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS || Online, jedoch ssh Timeout<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind.<br />
<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von tubIT] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. ssh auf tu-rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]].<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24613SSH2019-10-11T09:26:02Z<p>Freddy1404: Added turbador, kelbassa-ware and gata. Updated Ubuntu version. Added comment field</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 11.10.2019). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release !! Kommentar<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ?? * Intel Xeon E5-2690 v4 || ?,?? || ??G || Ubuntu || ??? || Online, jedoch ssh Timeout<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS || Online, jedoch ssh Timeout<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.3 LTS || <br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,60 || 15G || Ubuntu || 18.04.3 LTS ||<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind.<br />
<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von tubIT] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. ssh auf tu-rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]].<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24441SSH2018-12-01T16:08:36Z<p>Freddy1404: /* Liste der Server im Netz der Fakultät IV (eecsIT) */</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 01.12.2018). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind.<br />
<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von tubIT] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. ssh auf tu-rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]].<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24440SSH2018-12-01T16:08:18Z<p>Freddy1404: /* Liste der Server im Netz der Fakultät IV (eecsIT) */</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 26.05.2018). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,60 || 31G || Ubuntu || 18.04.1 LTS<br />
|-<br />
|}<br />
<br />
Über ''ubu18.eecsit.tu-berlin.de'' wird auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu18), falls mehrere verschiedene vorhanden sind.<br />
<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von tubIT] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. ssh auf tu-rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdatei für ssh anlegen, siehe dazu auch das Beispiel im Absatz [[SSH#SSH-Optionen_speichern]].<br />
<br />
==== Lange Prozesse z.B. über Nacht ====<br />
Manchmal ist es nötig, Prozesse über längere Zeit auf den Servern auszuführen, bspw. Simulationen oder lange Berechnungen ohne den eigenen PC anzulassen, bzw. ständig eingeloggt zu sein. Dies ist allgemein nur eingeschränkt möglich, da die Server aktuell jeden Tag um 06:00 neugestartet werden. <br />
<br />
Ein zweites, jedoch umgängliches Problem ist, dass die Server nach dem Ausloggen die Verbindung zum [[Tubit-AFS]] getrennt wird, wodurch keine Lese- und Schreibvorgänge auf diesem mehr möglich sind. Darin enthalten sind das '''Homeverzeichnis''' des Benutzers und evtl. '''bereitgestellte Programme''' der Modulorganisatoren. <br />
<br />
Nachfolgend ein Weg, zumindest Prozesse bis zum nächsten Neustart des Servers auszuführen:<br />
* Per SSH sich einloggen ([[SSH#Arbeiten_auf_den_Rechnern_in_der_Uni]])<br />
* Folgende Befehle nacheinander ausführen (''sessionname'' kann ein beliebig gewählter Name sein):<br />
$ pagsh<br />
$ KRB5CCNAME=FILE:`mktemp -p /tmp krb5cc_screen_XXXXXX`<br />
$ kinit -l 1d <br />
$ aklog<br />
$ screen -S sessionname<br />
* Nach dem screen-Befehl öffnet sich in dem Fenster eine "leere" Shell. In dieser kann nun der lange Prozess gestartet werden. Empfehlenswert ist es, diesen mit ''&'' am Ende zu starten (sowie den Output in eine Logdatei, also ''command > log.txt 2>&1 &''), sodass dieser im Hintergrund gestartet wird. Es wird eine sog. '''PID''' ausgegeben, diese sollte sich gemerkt / aufgeschrieben werden, falls ein vorzeitiges Beenden des Prozesses (mit ''kill'') nötig sein sollte. Anschließend lässt sich folgender Befehl ausführen, der eine Erneuerung des Kerberos-Tickets (was nur 10h gültig ist) alle 5h bewirkt:<br />
$ while true; do sleep 18000; krenew; aklog; done;<br />
* Nachdem nun alle Prozesse laufen, [''STRG+A''], dann [''d''] drücken, um die screen-session in den Hintergrund zu schieben<br />
* Zweimal nacheinander "exit" eingeben (einmal um pagsh zu verlassen, das zweite Mal um die ssh-Verbindung zu schließen). Nun ist die SSH-Verbindung geschlossen, der Prozess wird jedoch weiterlaufen und Zugriff auf das AFS bleibt bestehen.<br />
* Um nun sich erneut mit der screen-session zu verbinden folgenden Befehl ausführen (nachdem sich mit dem Server verbunden wurde):<br />
$ screen -d -r sessionname<br />
* Nach getaner Arbeit lassen sich nun noch die Spuren (Kerberostickets) verwischen / löschen mit (in der screen-session ausführen)<br />
$ kdestroy<br />
$ unlog<br />
$ exit<br />
$ exit<br />
$ exit<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=Einf%C3%BChrungswoche_2018&diff=24273Einführungswoche 20182018-10-08T09:21:16Z<p>Freddy1404: Rechnereinführung am 12.10 ist für alle Studiengänge</p>
<hr />
<div>'''[[#Programme (english)|English version below!]]'''<br />
<br />
<!-- Kommentare nicht aktuell --><br />
<!--=== Raumänderungen / Changes in Rooms ===--><br />
<!--* Mi 16:30 bis 18 Uhr DK0TU im H 9118 alle halbe Stunde --><br />
<!--* Wed 16:30 to 18 o'clock DK0TU at H 9118 every half hour--><br />
<br />
Die Einführungswoche 2018 findet vom 8. bis 12. Oktober statt. Bitte beachtet, dass sich Räume noch ändern können und guckt kurz vorher noch mal rein.<br /><br />
Eine kurze Liste mit Dingen, die man brauchen oder nicht brauchen kann findest du im Beitrag [[StarterPaket | Starter-Paket]].<br /><br />
Wenn du nicht an allen Tagen kommen kannst, solltest du versuchen, wenigstens am Dienstag zu kommen.<br />
<br />
The orientation week 2018 takes place from 8th to 12th october. Please bear in mind that rooms might change and check again shorter to the date.<br /><br />
If you can't make it to all of the events you should try to come at least on tuesday.<br />
<br />
=== Programm === <br />
Das Programm ist auch [http://www.eecs.tu-berlin.de/menue/studium_und_lehre/start_ins_studium/semesterbeginn/ewoche/alle_tage/ auf den Fakultätswebseiten] verfügbar.<br />
==== Donnerstag, 04.10.2018 und Freitag, 05.10.2018 ====<br />
Einführung für ausländische Studierende: [https://www.ziik.tu-berlin.de/menue/ziik/veranstaltungen/2018/veranstaltungen_fuer_auslaendische_neuimmatrikulierte_der_fakultaet_iv/ Programm] --><br />
<br />
==== Montag, 08.10.2018 ====<br />
Am Montag geht es los mit der Einführungswoche der TU Berlin. <br />
* Raum ist HE 101, welcher sich im Mathe-Gebäude befindet.<br />
* Ab 11 Uhr (s.t.) findet die Begrüßung durch das Dekanat statt. Dort werden auch die Erstitüten verteilt, welche das gesammelte Infomaterial enthalten.<br />
<br />
==== Dienstag, 09.10.2018 ====<br />
Ab Dienstag geht es dann mit dem fakultätsspezifischen Programm weiter.<br />
* Vortrag ''How TU Studium''<br />
** 10 bis 12 Uhr<br />
** Bachelor Elektrotechnik: H 1058<br />
** Bachelor Informatik: MA 004<br />
** Bachelor Medieninformatik: MA 004<br />
** Bachelor Medientechnik: MA 005<br />
** Bachelor Technische Informatik: MA 005<br />
** Bachelor Wirtschaftsinformatik: H 1058<br />
* Einführung in die Studiengänge mit anschließenden Kleingruppentutorien<br />
** Dabei werden auch die Stundenpläne und Studiengangsführer verteilt<br />
** 12 bis 15 Uhr<br />
** Bachelor Elektrotechnik: MA 005<br />
** Bachelor Informatik: MA 001<br />
** Bachelor Medieninformatik: MAR 0.011<br />
** Bachelor Medientechnik: H 0107<br />
** Bachelor Technische Informatik: EW 201<br />
** Bachelor Wirtschaftsinformatik: H 1058<br />
* Einführung in die Masterstudiengänge mit anschließenden Kleingruppentutorien<br />
** 14 bis 17 Uhr<br />
** Master Computer Science (Informatik): H 2013<br />
** Master Computer Engineering (Technische Informatik): BH-N 334<br />
** Master Information Systems Management (Wirtschaftsinformatik): BH-N 128<br />
** Master Elektrotechnik: HFT-TA 101<br />
** Master Automotive Systems: H 0107<br />
** Master Medieninformatik: MAR 4.062<br />
** Master Computational Neuroscience: Am Montag, 15. Oktober von 10 bis 12 Uhr im Bernstein Center for Computational Neuroscience<br />
* Masterstammtisch<br />
** 20 Uhr im Café Hardenberg<br />
<br />
==== Mittwoch, 10.10.2018 ====<br />
* Ersti-Frühstück für Studentinnen* im Raum MAR 0.011<br />
** 8:30 bis 10:00 <br />
** mit der [https://www.eecs.tu-berlin.de/frauenbeauftragte/v_menue/frauenbeauftragte/ Frauenbeauftragten der Fakultät IV]<br />
* Studieren und mehr<br />
** 10 bis 12 Uhr in den Räumen MA 001 und H 0104<br />
** Was kann man außer Studieren sonst noch machen.<br />
* Lötworkshop „Löten & Kennenlernen“ (12 Teilnehmerinnen*)<br />
** 14 bis 18 Uhr<br />
** Angebot der Frauenbeauftragten der Fakultät IV, [https://www.eecs.tu-berlin.de/frauenbeauftragte/v_menue/frauenbeauftragte/aktuelles/ weitere Infos]<br />
** E-N 201, '''vorherige Anmeldung erforderlich''' (siehe Link)<br />
* Kickerturnierplanung<br />
** 17 bis 19 Uhr<br />
** MAR 0.007<br />
** Das Kickerturnier findet am 23. November statt.<br />
<br />
==== Donnerstag, 11.10.2018 ==== <br />
* Frühstück<br />
** 10 Uhr bis 13 Uhr im Foyer des MAR-Gebäudes (Erdgeschoss)<br />
** mit Brötchen, Kaffee und Infocampus<br />
* Unirallye<br />
** 13 bis 16 Uhr auf dem Campus Charlottenburg<br />
* Lötworkshop „Löten & Kennenlernen“ (12 Teilnehmerinnen*)<br />
** 14 bis 18 Uhr<br />
** Angebot der Frauenbeauftragten der Fakultät IV, Fortsetzung vom Mittwoch <br />
* Vorstellung des [http://www.loetlabor.de Lötlabors], der Amateurfunkgruppe [http://www.dk0tu.de DK0TU] (alle 30 Minuten) und der Vereinigung [https://digitale-freiheit.jetzt/ Digitale Freiheit] <br />
** 16 bis 18 Uhr<br />
** Lötlabor: EN 444/445<br />
** DK0TU: Hauptgebäude - Foyer<br />
** Digitale Freiheit: AStA-Plenarium im TK-Gebäude<br />
* Ersti-Party Orga-Treffen<br />
** 18 bis 20 Uhr im MAR 0.007<br />
** Organisation einer Party von Erstsemestern für Erstsemester am 19.10.2018<br />
<br />
==== Freitag, 12.10.2018 ====<br />
* Programmieren mit C: ein Workshop für Einsteigerinnen (25 Teilnehmerinnen*)<br />
** 9 bis 12 Uhr<br />
** Angebot der Frauenbeauftragten der Fakultät IV, [https://www.eecs.tu-berlin.de/frauenbeauftragte/v_menue/frauenbeauftragte/aktuelles/ weitere Infos]<br />
** MAR 6.057, '''vorherige Anmeldung erforderlich''' (siehe Link)<br />
* Rechnereinführung für <del>ET und WiInf</del> alle Studiengänge der Fak. IV<br />
** 10 bis 12 Uhr im TEL 106 links und rechts (großer Rechnerraum)<br />
* Freitagsrunde für alle<br />
** 14 bis 18 Uhr<br />
** MAR 0.016<br />
** Gebt uns euer Feedback zur E-Woche :)<br />
<br />
==== Montag, 15.10.2018 ====<br />
* Einführungsveranstaltung Masterstudiengang Computational Neurosceince<br />
** 10 bis 12 Uhr im Bernstein Center for Computational Neuroscience (BCCN), Haus 6, Hörsaal 9, Philippstr. 13, 10115 Berlin <br />
<br />
Nach der eigentlichen E-Woche gibt es noch weitere Veranstaltungen.<br />
Diese werden dann hier angekündigt.<br />
<br />
* Ersti-Party (19.10.2018)<br />
* LIP aka Linux Install Party (02.11.2018)<br />
* Kickerturnier (23.11.2018)<br />
<br />
=== Programme (english) === <br />
<br />
You can also find this [http://www.eecs.tu-berlin.de/menue/studium_und_lehre/start_ins_studium/semesterbeginn/ewoche/alle_tage/ programme on the university website].<br />
<br />
==== Thursday, 04.10.2018 and Friday, 05.10.2018 ====<br />
Introduction for international students: [https://www.ziik.tu-berlin.de/menue/ziik/veranstaltungen/2018/veranstaltungen_fuer_auslaendische_neuimmatrikulierte_der_fakultaet_iv/ Schedule]<br />
<br />
==== Monday, 08.10.2018 ====<br />
The orientation week starts on monday. <br />
* Faculty IV introduction - welcome adress by the dean of studies [in German]<br />
** 11 to 12 o'clock at the HE 101 (Mathe-Building)<br />
** followed by the distribution of the firstsemester paper bags with collected information leaflets<br />
<br />
==== Tuesday, 09.10.2018 ====<br />
The faculty programme starts on tuesday. <br />
* How TU Studium<br />
** 10 to 12 o'clock<br />
** Bachelor Elektrotechnik: H 1058<br />
** Bachelor Informatik: MA 004<br />
** Bachelor Medieninformatik: MA 004<br />
** Bachelor Medientechnik: MA 005<br />
** Bachelor Technische Informatik: MA 005<br />
** Bachelor Wirtschaftsinformatik: H 1058<br />
* Introduction to the bachelor degrees followed by small group tutorials<br />
** 12 to 15 o'clock<br />
** Bachelor Elektrotechnik: MA 005<br />
** Bachelor Informatik: MA 001<br />
** Bachelor Medieninformatik: MAR 0.011<br />
** Bachelor Medientechnik: H 0107<br />
** Bachelor Technische Informatik: EW 201<br />
** Bachelor Wirtschaftsinformatik: H 1058<br />
* Introduction into the master degrees followed by small group tutorials<br />
** 14 to 17 o'clock<br />
** Master Computer Science (Informatik): H 2013<br />
** Master Computer Engineering (Technische Informatik): BH-N 334<br />
** Master Information Systems Management (Wirtschaftsinformatik): BH-N 128<br />
** Master Elektrotechnik: HFT-TA 101<br />
** Master Automotive Systems: H 0107<br />
** Master Medieninformatik: MAR 4.062<br />
** Master Computational Neuroscience: Monday, 15. October from 10 to 12 o'clock at the Bernstein Center for Computational Neuroscience<br />
* Masters social evening<br />
** 20 o'clock at the Cafè Hardenberg<br />
<br />
==== Wednesday, 10.10.2018 ====<br />
* Breakfast for female* students<br />
** 8:30 to 10 o'clock at MAR 0.011<br />
* Studieren und mehr [in German]<br />
** 10 to 12 o'clock at H 0104 and MA 001<br />
** What can you do at TU Berlin besides studying.<br />
* Solderingworkshop „Löten & Kennenlernen“ for women (12 participants)<br />
** 14 to 18 o'clock<br />
** Offering from the womens representative of Faculty IV, [https://www.eecs.tu-berlin.de/frauenbeauftragte/v_menue/frauenbeauftragte/aktuelles/ further information]<br />
** E-N 201, '''prior registration required''' (see link)<br />
* Presentation of the [http://www.loetlabor.de Lötlabor] student lab, the amateur radio operators student group [http://www.dk0tu.de DK0TU] (every 30 minutes) and the community [https://digitale-freiheit.jetzt/ Digitale Freiheit]<br />
** 16 to 18 o'clock<br />
** Loetlabor: EN 444/445<br />
** DK0TU: Hauptgebäude (main building) - foyer<br />
* Table Football Tournament Organizational Meeting<br />
** 17 to 19 o'clock at MAR 0.007<br />
** The tournament is taking place friday, the xxth of november<br />
<br />
==== Thursday, 11.10.2018 ==== <br />
* Breakfast<br />
** 10 to 13 o'clock on the MAR groundfloor<br />
* Unirallye<br />
** 13 to 18 o'clock on the campus<br />
* Solderingworkshop „Löten & Kennenlernen“ for women (12 participants)<br />
** 14 to 18 o'clock<br />
** Offering from the womens representative of Faculty IV, continued from Wednesday<br />
* First-Semester-Party-Organization Meeting<br />
** 18 to 20 o'clock at MAR 0.007<br />
** first semesters organize a party for first semesters. The party is one week later on the 19.10.2017.<br />
<br />
==== Friday, 12.10.2018 ====<br />
* Programmieren mit C: ein Workshop für Einsteigerinnen (Coding with C, a workshop for beginners, for women)(25 participants)<br />
** 9 bis 12 Uhr<br />
** Offering from the womens representative of Faculty IV, [https://www.eecs.tu-berlin.de/frauenbeauftragte/v_menue/frauenbeauftragte/aktuelles/ further information]<br />
** MAR 6.057, '''prior registration required''' (siehe Link)<br />
* Introduction to the IT systems and services for <del>electrical engineering and information systems managment students</del> all students of Faculty IV<br />
** 10 to 12 o'clock at TEL 106 left and right<br />
* Freitagsrunde for everybody<br />
** 14 to 18 o'clock at MAR 0.016<br />
<br />
==== Monday, 15.10.2018 ====<br />
* Introduction course for the masters programme Computational Neurosceince<br />
** 10 to 12 o'clock at the Bernstein Center for Computational Neuroscience (BCCN), House 6, Hall 9, Philippstr. 13, 10115 Berlin <br />
<br />
<br />
There are more events after the orientation week.<br />
<br />
* Campus Party (19.10.2018)<br />
* LIP: Linux Install Party (02.11.2018)<br />
* table football tournament (23.11.2018)<br />
<br />
<br />
[[Kategorie: Einführungswoche]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24152SSH2018-05-26T00:52:11Z<p>Freddy1404: kelbassa added, text formatting, sshgate update</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 26.05.2018). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! GhZ / Kern !! RAM !! OS !! Release<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || 2,6 || 15G || Ubuntu || 16.04.4 LTS<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || 2,4 || 15G || Ubuntu || 16.04.4 LTS<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || 2,4 || 15G || Ubuntu || 16.04.4 LTS<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || 2,4 || 15G || Ubuntu || 16.04.4 LTS<br />
|-<br />
|}<br />
<br />
Über ''ubu16.eecsit.tu-berlin.de'' und ''ubu18.eecsit.tu-berlin.de'' wird (durch round robin DNS) auf einen der obigen Server umgeleitet, der mit der entsprechenden Ubuntu-Version läuft (Ubuntu16, Ubuntu18).<br />
<br />
Desweiteren wird mit ''sshgate.tu-berlin.de'' [http://www.tubit.tu-berlin.de/?id=53313 von tubIT] Zugriff auf einen RHEL-Server angeboten. Auf diesem System ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen (z.B. ssh auf tu-rechner, etc).<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdetei für ssh anlegen, siehe dazu ach das Beispiel im folgenden Absatz.<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=24151SSH2018-05-24T20:37:28Z<p>Freddy1404: Tabelle aktualisiert, nicht mehr erreichbare Server gelöscht, Text leicht aktualisiert</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 24.05.2018). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! Threads !! GhZ / Kern !! RAM !! OS !! Release<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E5-2690 v4 || || 2,6 || 31G || Ubuntu || 18.04 LTS<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E5-2690 v4 || || 2,6 || 15G || Ubuntu || 16.04.4 LTS<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04.4 LTS<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04.4 LTS<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04.4 LTS<br />
|-<br />
|}<br />
<br />
Über ubu16.eecsit.tu-berlin.de und ubu18.eecsit.tu-berlin.de wird (nach Last?) auf einen der obigen Server umgeleitet, die mit der entsprechenden Ubuntu-Version laufen (Ubuntu16, Ubuntu18).<br />
<br />
Desweiteren wird mit sshgate.tu-berlin.de [http://www.tubit.tu-berlin.de/?id=53313 von tubIT] Zugriff auf zwei Solarisrechner angeboten. Auf diesen Systemen ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen. (z.B. ssh auf tu-rechner, etc)<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdetei für ssh anlegen, siehe dazu ach das Beispiel im folgenden Absatz.<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=23877SSH2017-10-10T23:40:52Z<p>Freddy1404: Stand hinzugefügt</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden (Aktueller Stand: 11.10.2017). Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! Threads !! GhZ / Kern !! RAM !! OS !! Release<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 14.04<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|}<br />
<br />
Über ubu14.eecsit.tu-berlin.de und ubu16.eecsit.tu-berlin.de wird (nach Last?) auf Server umgeleitet, die entsprechende Ubuntu-Versionen haben (Ubuntu14, Ubuntu16).<br />
<br />
Desweiteren wird mit sshgate.tu-berlin.de [http://www.tubit.tu-berlin.de/menue/dienste/internet/ssh_zugang/ von tubIT] Zugriff auf zwei Solarisrechner angeboten. Auf diesen Systemen ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen. (z.B. ssh auf tu-rechner, etc)<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdetei für ssh anlegen, siehe dazu ach das Beispiel im folgenden Absatz.<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=23876SSH2017-10-10T23:38:29Z<p>Freddy1404: borrasca umsortiert</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden. Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! Threads !! GhZ / Kern !! RAM !! OS !! Release<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 14.04<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|}<br />
<br />
Über ubu14.eecsit.tu-berlin.de und ubu16.eecsit.tu-berlin.de wird (nach Last?) auf Server umgeleitet, die entsprechende Ubuntu-Versionen haben (Ubuntu14, Ubuntu16).<br />
<br />
Desweiteren wird mit sshgate.tu-berlin.de [http://www.tubit.tu-berlin.de/menue/dienste/internet/ssh_zugang/ von tubIT] Zugriff auf zwei Solarisrechner angeboten. Auf diesen Systemen ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen. (z.B. ssh auf tu-rechner, etc)<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdetei für ssh anlegen, siehe dazu ach das Beispiel im folgenden Absatz.<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=23875SSH2017-10-10T23:03:12Z<p>Freddy1404: RAM hinzugefügt, Liste gecheckt, ubu14&16 hinzugefügt</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im Netz der Fakultät IV ([http://www.eecs.tu-berlin.de/eecsit eecsIT]) ===<br />
<br />
Achtung, diese Liste kann nur schwer aktuell gehalten werden. Falls ihr Abweichungen entdeckt, aktualisiert sie doch bitte.<br />
<br />
Auf folgenden Rechnern des eecsIT können sich Studierende mit ihrem tubIT-Account einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! Kerne !! Threads !! GhZ / Kern !! RAM !! OS !! Release<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 31G || Ubuntu || 14.04<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 14.04<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || 32 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || 16 * Intel Xeon E7- 4870 || || 2,4 || 15G || Ubuntu || 16.04<br />
|-<br />
|}<br />
<br />
Über ubu14.eecsit.tu-berlin.de und ubu16.eecsit.tu-berlin.de wird (nach Last?) auf Server umgeleitet, die entsprechende Ubuntu-Versionen haben (Ubuntu14, Ubuntu16).<br />
<br />
Desweiteren wird mit sshgate.tu-berlin.de [http://www.tubit.tu-berlin.de/menue/dienste/internet/ssh_zugang/ von tubIT] Zugriff auf zwei Solarisrechner angeboten. Auf diesen Systemen ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen. (z.B. ssh auf tu-rechner, etc)<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdetei für ssh anlegen, siehe dazu ach das Beispiel im folgenden Absatz.<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=Diskussion:SSH&diff=23466Diskussion:SSH2016-10-17T20:42:05Z<p>Freddy1404: Neuer Abschnitt /* Liste der Server */</p>
<hr />
<div>Koennte der Mensch, der die @-Zeichen umgestellt hat, bitte den Grund<br />
erklaeren? Laut ssh-/scp-Manpages werden die naemlich genau dann benoetigt,<br />
wenn man sowohl den Benutzer- als auch den Rechnernamen in der<br />
foo@bar-Syntax angibt. Da man fast immer mindestens den Rechnernamen<br />
angeben will, ist das @-Zeichen also nur dann noetig, wenn man auch einen<br />
Benutzernamen angibt, daher die Schreibweise in der<br />
[https://wiki.freitagsrunde.org/index.php?title=SSH&oldid=5722 alten Version]. --[[Benutzer:Estar|estar]] 13:58, 7. Jul 2005 (CEST)<br />
<br />
== Windows Terminal Server ==<br />
siehe [[Windows Terminal Server]]<br />
<br />
== Vorschlag: SSH-Beispiele umstellen auf Tubit-Account-Kompatibilität ==<br />
Ich würde die konkreten Beispiele, wo fiesta und bolero verwendet wird demnächst mal umstellen auf Hosts, bei denen ein Login per Tubit möglich ist, da seit 2008 eh keine IRB-Accounts mehr an Verteilt werden und so die Erfolgswahrscheinlichkeit für Neulinge die die Beispiele direkt testen höher ist.--[[Benutzer:Stefan|Stefan]] 02:35, 24. Feb. 2010 (CET)<br />
<br />
: Find ich cool - würde aber vorschlagen dazu oben nen neuen Block einzufügen - also nicht nur 'umstellen' sondern hinzufügen :) Komm doch mal Freitag vorbei... Ich geb Dir 'ne Mate aus! --[[Benutzer:Mutax|Florian]] 12:17, 24. Feb. 2010 (CET)<br />
<br />
== Sicheres X11Forwarding ==<br />
Das mit der angeblich sichereren Option shh -Y steht hier zwei mal genau falsch herum drin. Deswegen aender ich das jetzt. Sicherer ist -X! -Y ist fuer trusted X11Forwarding in diesem Fall wird dem Server vertraut. -X dagegen schraenkt Zugriffe ein. Quellen: manpages und [http://dailypackage.fedorabook.com/index.php?/archives/48-Wednesday-Why-Trusted-and-Untrusted-X11-Forwarding-with-SSH.html Trusted-and-Untrusted-X11-Forwarding-with-SSH] --[[Benutzer:Phil|Phil]] 03:18, 29. Aug. 2011 (CEST)<br />
<br />
== Erreichbarkeit ==<br />
quepasa und torero sind nicht erreichbar? oder stell ich mich zu bloed an? --[[Benutzer:JonWon|JonWon]] 15:21, 21. Okt. 2011 (CEST)<br />
<br />
== cpu info auf den Solaris Rechnern ==<br />
<br />
Damit ich nicht vergesse, wie man unter Solaris die Anzahl der Prozessoren und Threads herausfinden kann.<br />
<br />
Anzahl der Prozessoren:<br />
kstat cpu_info | grep core_id | uniq | wc -l<br />
<br />
Anzahl der Threads:<br />
kstat cpu_info | grep core_id | wc -l<br />
<br />
== Liste der Server ==<br />
<br />
Hallo, <br />
<br />
ich habe mal die Ubuntu-Versionen aktualisert, sowie die Kerne und die Liste mal alphabetisch und nach Ubuntu-Version sortiert. Ebenso den emmerich-ubu.eecsit.tu-berlin.de hinzugefügt. <br />
<br />
Ich war nur leicht verwundert, dass die Liste bereits in dem Format n * Prozessor war, da dies meist ja nur Kerne sind und keine eigenständigen Prozessoren. Die Anzahl an Sockets schwangt zwischen zwei und vier, es gibt ebenso Server denen vier Kerne / Socket zugewiesen waren, mal 16 Kerne / Socket. Ist diese Info wichtig (Anzahl Sockets, Anzahl Kerne) oder könnte sie eigentlich auch rausgelassen werden?</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=23465SSH2016-10-17T20:38:13Z<p>Freddy1404: falsche Kernezahl</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im CS-Netz ===<br />
<br />
Achtung, die Liste hier ist nicht mehr aktuell. Insbesondere stimmt die Kern/Thread Anzahl oft nicht mehr.<br />
<br />
Auf folgenden Rechnern des IRB können sich Studenten einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! tubit-Account !! CS-Account !! Kerne !! Threads !! GhZ / Kern !! OS !! Release<br />
|-<br />
|fiesta.cs.tu-berlin.de || nein || ja || 16*UltraSparc T2 || 128 || 1,4 || SunOS ||<br />
|-<br />
|bolero.cs.tu-berlin.de || nein || ja || 8*UltraSPARC-III+ || 8 || 0,9 || SunOS ||<br />
|- <br />
|caramba.cs.tu-berlin.de || nein || ja || || || || SunOS ||<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|}<br />
<br />
Desweiteren wird mit sshgate.tu-berlin.de [http://www.tubit.tu-berlin.de/menue/dienste/internet/ssh_zugang/ von tubIT] Zugriff auf zwei Solarisrechner angeboten. Auf diesen Systemen ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen. (z.B. ssh auf tu-rechner, etc)<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdetei für ssh anlegen, siehe dazu ach das Beispiel im folgenden Absatz.<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404https://wiki.freitagsrunde.org/index.php?title=SSH&diff=23464SSH2016-10-17T20:31:00Z<p>Freddy1404: /* Liste der Server im CS-Netz, Ubuntu versionen aktualisiert, Kerne aktualisiert */</p>
<hr />
<div>'''SSH''' steht für '''Secure Shell''' und bezeichnet ein Netzwerkprotokoll, mit dem man sich auf entfernten Rechnern einloggen kann, um dort Programme auszuführen. Außerdem ist es möglich, über SSH auch Dateien zu kopieren (per '''scp''' oder '''sftp''') oder andere Protokolle zu tunneln.<br />
<br />
SSH ist ein Ersatz für das '''Telnet'''-Protokoll, mit dem man sich ebenfalls auf anderen Rechnern einloggen kann und für '''FTP''', das auch noch heute häufig für den Datentransfer verwendet wird. Telnet und FTP arbeiten im Gegensatz zu SSH jedoch unverschlüsselt, somit ist es einfach, die übertragenen Daten und somit auch die Passwörter von anderen Benutzern mitzulesen.<br />
<br />
== Programme ==<br />
<br />
Bei allen [[Unix]]/[[Linux]]-Systemen sind SSH-Clients vorhanden und werden meist auch schon standardmäßig mitinstalliert (Kommandos: <code>ssh</code>, <code>scp</code>, <code>sftp</code>). Für [[Windows]]-Systeme gibt es ebenfalls einige SSH-Clients, am häufigsten wird wohl [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] verwendet.<br />
<br />
Ein SFTP und SCP-Client zum Kopieren von Dateien über das Netzwerk ist ebenfalls bei [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] vorhanden. [http://winscp.sourceforge.net/eng/ WinSCP] ist ein weiterer SCP/SFTP-Client für [[Windows]].<br />
<br />
Wo nicht anders angegeben, bezieht sich die weitere Beschreibung auf die OpenSSH-Implementierung. Diese gehört in modernen Linuxdistributionen und im Fakultätsnetz zur Standardausrüstung.<br />
<br />
== SSH für den Zugriff auf das Fakultätsnetz ==<br />
<br />
Per SSH könnt ihr auch bequem von zu Hause aus auf das Fakultätsnetz zugreifen und auf den Workstations oder Servern in der Uni Kommandos ausführen oder Dateien aus oder in den eigenen Bereich kopieren.<br />
<br />
=== Liste der Server im CS-Netz ===<br />
<br />
Achtung, die Liste hier ist nicht mehr aktuell. Insbesondere stimmt die Kern/Thread Anzahl oft nicht mehr.<br />
<br />
Auf folgenden Rechnern des IRB können sich Studenten einloggen:<br />
<br />
{| class="wikitable"<br />
|- class="hintergrundfarbe5"<br />
! Rechnername !! tubit-Account !! CS-Account !! Kerne !! Threads !! GhZ / Kern !! OS !! Release<br />
|-<br />
|fiesta.cs.tu-berlin.de || nein || ja || 16*UltraSparc T2 || 128 || 1,4 || SunOS ||<br />
|-<br />
|bolero.cs.tu-berlin.de || nein || ja || 8*UltraSPARC-III+ || 8 || 0,9 || SunOS ||<br />
|- <br />
|caramba.cs.tu-berlin.de || nein || ja || || || || SunOS ||<br />
|-<br />
|borrasca-ubu.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|casa-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|cascada-ubu.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|emmerich-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|gato-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|gata-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|kelbassa-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 14.04<br />
|-<br />
|furor-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|kelbassa-ware.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|kurrat-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|tilkowski-ubu.eecsit.tu-berlin.de || ja || nein || 32 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|toro-ubu.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|turbador-ubu.eecsit.tu-berlin.de || ja || nein || 16 * Intel Xeon E7- 4870 || || 2,4 || Ubuntu || 16.04<br />
|-<br />
|}<br />
<br />
Desweiteren wird mit sshgate.tu-berlin.de [http://www.tubit.tu-berlin.de/menue/dienste/internet/ssh_zugang/ von tubIT] Zugriff auf zwei Solarisrechner angeboten. Auf diesen Systemen ist außer Vim kaum weitere Software installiert. Jedoch kann es z. B. benutzt werden, um via sshfs einfach Zugriff auf die AFS-Daten zu erhalten, ACLs zu pflegen oder auf TU-interne Dienste zuzugreifen. (z.B. ssh auf tu-rechner, etc)<br />
<br />
=== Arbeiten auf den Rechnern in der Uni ===<br />
Das Einloggen funktioniert vom Prinzip her so:<br />
ssh ''benutzername''@''rechnername''<br />
oder wenn man sich mit dem Benutzernamen einloggen will, den man gerade verwendet:<br />
ssh ''rechnername''<br />
<br />
Das Ergebnis ist im Allgemeneinen eine Shell auf dem angegebenen Rechner mit den Rechten des angegebenen Benutzers.<br />
<br />
Als Rechnernamen könnt Ihr alle in der Tabelle oben angegebenen Rechner im Fakultätsnetz verwenden, Ihr müsst nur darauf achten, welche Art von Account ihr besitzt. Alle seit 2009 erstellten Accounts sind in der Regel reine tubit-Accounts.<br />
<br />
Windows-SSH-Clients verfügen meist über eine [https://secure.wikimedia.org/wikipedia/de/wiki/Grafische_Benutzeroberfl%C3%A4che GUI], über die ihr den gewünschten Rechner, Euren Benutzernamen und das Passwort eingeben könnt.<br />
<br />
Wenn ihr auf einem Unix/Linux-Rechner (oder auch unter Windows, wenn Ihr einen X-Server installiert habt) arbeitet, besteht auch die Möglichkeit, grafische Programme auf Rechnern in der Uni zu starten und die Ausgabe auf den heimischen Rechner umzuleiten, dies wird als X11-Forwarding bezeichnet.<br />
<br />
Um X11-Forwarding zu aktivieren, muss beim Aufruf der Parameter <code>-X</code> mit angegeben werden. Falls es zu Problemen mit Anwendungen kommt, kann die unsichere Variante <code>-Y</code> verwendet werden. Allerdings werden dadurch serverseitige Befehle, welche die Sicherheit gefährden können, nicht gefiltert. Es empfiehlt sich vor allem bei langsamen Internetzugängen (Modem, ISDN, ADSL), die Verbindung zu komprimieren (<code>-C</code>):<br />
ssh -X -C ''benutzer''@''rechnername''<br />
ssh -Y -C ''benutzer''@''rechnername''<br />
<br />
Es empfiehlt sich, aus Sicherheitsgründen immer zuerst das Forwarding mittels -X zu aktivieren - da bei -Y der Zugriff von den Unirechnern auf den Heimischen X-Desktop möglich ist.<br />
<br />
Es besteht auch die Möglichkeit, eigenes Arbeitsplatz nur als X-Terminal zum Uni-Rechnern zu nutzten. Dazu muss man auf eigenen Rechner eine X-Session nur mit Terminalfenster öffnen. Bei GDM geht das, wenn man als Session "Failsafe Terminal" wählt. Dann verbindet sich man mit X-Forwarding zum Uni-Rechner und feuert <code>gnome-session</code> ab. So wird Java Desktop System erzeugt. Man soll den Terminalfenster mit gnome-session nicht schließen, bis man sich nicht ausloggen will. Es können auch andere X-Sessions gestartet werden, wenn man die entsprechende Kommandos kennt, <br />
z.B. <code>twm, icewm, fvwm</code>. Die Verbindung sollte dann allerdings etwas besser sein, da größere Datenmengen übertragen werden.<br />
<br />
Wer keine Lust hat, bei jedem Login ein Passwort einzugeben, kann statt dessen Public-Key-Authentifizierung benutzen. Dazu erstellt man, sofern noch nicht geschehen, zu Hause einen öffentlichen und einen privaten Schlüssel für SSH, zum Beispiel mit<br />
ssh-keygen -t rsa<br />
und leerer Passphrase, kopiert dann die soeben erstellte Datei id_rsa.pub ('''nicht''' id_rsa - die ist geheim!) mit scp ins Homeverzeichnis im Fakultätsnetz. Verbindet euch danach per SSH dorthin und führt dort<br />
cat id_rsa.pub >> .ssh/authorized_keys<br />
aus. Die kopierte Datei kann danach entfernt werden. (Vorsicht: $HOME/.ssh/id_rsa* '''nicht''' löschen.)<br />
<br />
==== Authentifizierung ohne Passwort auf den neuen Servern ====<br />
'''Hinweis:''' Für die neuen Server mit tubit-Authentifizierung funktioniert dies leider nicht so einfach, da hier das Homeverzeichnis per AFS von tubit gemounted wird und dazu ein Kerberos-Ticket notwendig ist. Du musst Kerberos/[[AFS]] installieren, ein Ticket per<br />
kinit -f "user"@TU-BERLIN.DE<br />
erzeugen und dann ein paar SSH-Configs setzen:<br />
ssh "user"@"hostname" -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes<br />
Dann sollte der Login ohne Passwortabfrage klappen.<br />
<br />
Um diesen Sermon nicht jedesmal neu eingeben zu müssen, kann man sich eine Konfigurationsdetei für ssh anlegen, siehe dazu ach das Beispiel im folgenden Absatz.<br />
<br />
=== SSH-Optionen speichern ===<br />
<br />
in der Datei ~/.ssh/config kann man seine Defaults abspeichern. Hier kommt es jetzt sehr darauf an, was man machen möchte.<br />
<br />
Wenn man auf seinem Notebook kerberos installiert hat, und mittels des kinit-Kommandos ein Kerberos Ticket geholt hat, kann man sich an den Servern per kerberos authentifiziren, die GSSAPI-Optionen werden dazu für das AFS benötigt:<br />
<br />
Host sshgate.tu-berlin.de, sshgate<br />
Hostname sshgate.tu-berlin.de<br />
User <TUBIT-LOGIN OHNE @-Teil><br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication no<br />
PubKeyAuthentication no<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
Durch die Verwendung von AFS ist das Anmelden mit ssh-keys auf den neuen servern nicht mehr möglich, folgende ssh-config benutzt keys für die alten Server und Passwort oder Kerberos für die neuen inklusive dem sshgate von tubit.<br />
<br />
Host bolero.cs.tu-berlin.de fiesta.cs.tu-berlin.de bird.cs.tu-berlin.de caramba.cs.tu-berlin.de cartero.cs.tu-berlin.de bruja.cs.tu-berlin.de brujo.cs.tu-berlin.de pepita.cs.tu-berlin.de pepino.cs.tu-berlin.de condesa.cs.tu-berlin.de bonito.cs.tu-berlin.de caro.cs.tu-berlin.de <br />
PubKeyAuthentication yes<br />
PasswordAuthentication no<br />
User mutax<br />
IdentityFile ~/.ssh/keys/id_rsa3<br />
ForwardAgent no<br />
ForwardX11 no<br />
<br />
Host sshgate.tu-berlin.de hombre.cs.tu-berlin.de pronto.cs.tu-berlin.de bazar.cs.tu-berlin.de siesta.cs.tu-berlin.de quepasa.cs.tu-berlin.de sombrero.cs.tu-berlin.de tienda.cs.tu-berlin.de manana.cs.tu-berlin.de trueno.cs.tu-berlin.de kiosco.cs.tu-berlin.de furor.cs.tu-berlin.de cascada.cs.tu-berlin.de turbador.cs.tu-berlin.de racha.cs.tu-berlin.de torero.cs.tu-berlin.de<br />
PubKeyAuthentication no<br />
User mutax<br />
ForwardAgent no<br />
ForwardX11 no<br />
PasswordAuthentication yes<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
<br />
<br />
Da man den SSH-Servern nicht 100% vertrauen sollte, werden in mit Config keine ssh-agent-Anfragen an den lokalen Agenten weitergeleitet und auch kein X-Forwarding erlaubt. Das kann man auf der Kommandozeile im konkreten Fall alles überschreiben, aber die Defaults sollen 'sicher' sein.<br />
<br />
=== Kopieren von Dateien ===<br />
Mit Hilfe von '''scp''' oder '''sftp''' könnt Ihr auch Dateien von der Uni nach Hause kopieren oder umgekehrt. Für Windows und auch Unix/Linux gibt es dafür grafische Programme, die ähnlich wie gewöhnliche FTP-Clients aussehen und funktionieren. Viele FTP-Programme beherrschen mittlerweile auch SFTP, darunter auch [http://filezilla.sourceforge.net/ FileZilla], [http://gftp.seul.org/ gFTP] etc.<br />
<br />
GNOME und KDE bieten außerdem die Möglichkeit, direkt auf SSH-Accounts mittels der Dateiverwaltung (Nautilus/Konqueror) zuzugreifen. Der URL dazu lautet: <code>sftp://BENUTZERNAME@user.cs.tu-berlin.de:22/~</code>.<br />
<br />
Mit Hilfe von [[WikiPedia:Filesystem_in_Userspace|FUSE]] kann man die Daten eines anderen Rechners auch per ssh/sftp mounten, das heißt ins lokale Dateisystem einhängen.<br />
<br />
Auf der Konsole unter Unix/Linux funktioniert das Kopieren von Dateien so (Kopieren von entferntem auf lokalen Rechner):<br />
scp ''benutzername''@''rechnername'':''Quelle'' ''Ziel''<br />
oder umgekehrt (von lokalem Rechner auf entfernten):<br />
scp ''Quelle'' ''benutzername''@''rechnername'':''Ziel''<br />
Es gilt im Wesentlichen die Semantik von <code>[[Die wichtigsten Unix-Befehle#cp|cp]]</code>.<br />
<br />
Natürlich ist es auch möglich mehrere Dateien oder ganze Verzeichnisse einschließlich Unterverzeichnissen ([[Rekursion|rekursiv]]) oder Dateien zwischen verschiedenen entfernten Rechnern zu kopieren. Weitere Informationen dazu erhält man über die [[Manpage]] zu scp (<code>man scp</code>).<br />
<br />
=== Tunnel mit SSH ===<br />
SSH kann auch allgemein eine Verbindung zu einem entfernten Rechner herstellen und als Tunnel agieren, also Daten zwischen eigenem und entferntem Rechner transportieren. Dazu zwei Beispiele.<br />
<br />
==== Zugriff auf <code>news.cs.tu-berlin.de</code> von zu Hause ====<br />
Der Newsserver erlaubt den Schreibzugriff nur für Rechner im Fakultätsnetz. Mit einem Tunnel kann man das simulieren:<br />
ssh -L localhost:20119:news.cs.tu-berlin.de:119 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
Dabei ist 20119 die Portnummer auf dem eigenen Rechner, zu der die Verbindung weitergeleitet wird, <code>fiesta.cs.tu-berlin.de</code> der Rechner, von dem aus sie hergestellt wird und ''foo'' der eigene Benutzername im Fakultätsnetz.<br />
<br />
'''Seit dem 30.12.2005 gibt es den Rechner "news.cs.tu-berlin.de" nicht mehr (abgeschaltet).<br />
Die TU verweist auf den Newsserver des DFN "News.CIS.DFN.DE"'''<br />
Nutzerordnung unter: http://news.cis.dfn.de/dnn/<br />
<br />
==== Zugriff auf <code>mailhost.cs.tu-berlin.de</code> von zu Hause ====<br />
<br />
Dies wird in einem eigenen Artikel beschrieben: [[Email]]<br />
<br />
==== Zugriff auf Webseiten mit IP-Adressen-Zugriffsbeschränkung ====<br />
Dank der Unibibliothek kann man von Unirechnern aus Inhalte aus dem WWW abrufen, an die man sonst nicht so leicht herankommt. Für Informatiker und/oder E-Techniker ist zum Beispiel der Zugriff auf die [http://ieeexplore.ieee.org/ IEEE-Normen] interessant; weitere Information gibt es auf der [http://www.ub.tu-berlin.de/ Homepage der Bibliothek]. Um darauf von zu Hause zuzugreifen, richtet man zum Beispiel mit<br />
ssh -L localhost:28080:www.cs.tu-berlin.de:81 -l ''foo'' -T fiesta.cs.tu-berlin.de<br />
einen Tunnel zwischen dem Proxyserver im Fakultätsnetz (siehe http://irb.cs.tu-berlin.de/dienste/www/proxy.html für Portnummern) und Port 28080 auf dem eigenen Rechner über fiesta.cs.tu-berlin.de ein und stellt im Lieblingsbrowser <code>localhost</code> und Port 28080 als Proxyserver ein. ''foo'' ist dabei wieder der Benutzername.<br />
<br />
==== SSH als SOCKS-Proxy ====<br />
<br />
Seit einiger Zeit ist der ssh-Client auch in der Lage, als socks-Proxy zu fungieren.<br />
<br />
Dazu starte man ihn mit der Option -D8080 und gebe als SOCKS-Proxy localhost und port 8080 an. Die Felder zu HTTP/FTP-Proxy in der Konfiguration des Lieblingsbrowsers bleiben dabei leer:<br />
<br />
ssh -D 8080 login@bolero.cs.tu-berlin.de <br />
<br />
<br />
Ein Nachteil von SSH-Tunnels ist, dass sie im Vergleich zu direkten Verbindungen einen Ressourcenoverhead hinzufügen. Deshalb sollten sie genau dann benutzt werden, wenn die zusätzliche Funktionalität tatsächlich benötigt wird.<br />
<br />
== Weblinks ==<br />
* http://www.openssh.com/<br />
* http://www.ssh.com/<br />
* http://www.chiark.greenend.org.uk/~sgtatham/putty/<br />
* http://www.cygwin.com/ - Eine Sammlung auf Windows portierter Unix-typischer freier Software, inklusive X-Server und ssh.<br />
<br />
[[Kategorie: Fachbegriffe der Informatik]]<br />
[[Kategorie: Fakultäts-ABC]]<br />
[[Kategorie: Überleben im Fakultätsnetz]]</div>Freddy1404