Archiv der Kategorie: Sicherheit

Dateien mit scp und Key, aber ohne Passphrase übertragen

Man kann scp ganz wunderbar dazu benutzen, um Dateien auf einen anderen Rechner zu übertragen. Allerdings muss man i.d.R. jedes mal das Passwort des Zielbenutzers angeben. Das ist für automatisierte Prozesse ziemlich unpraktisch.
Nun kann man aber auch einen SSH-Key ohne Passphrase erzeugen und diesen auf dem Zielrechner in der authorized_keys des entsprechenden Nutzers hinterlegen. Dann kann zwar nur derjenige User, der im Besitz des privaten Schlüssels ist, ohne Passwort/Passphrase auf diesen Rechner zugreifen, aber ganz so sicher ist das nicht. Allerdings kann man SSH-Keys auch mit einem sog. „forced Command“ verknüpfen, so dass mit diesem Key nur das definierte Kommando ausgeführt wird, unabhängig davon, was auf der Kommandozeile angegeben wurde. Dies geschieht in der authorized_keys auf dem Zielrechner, in dem man in der Zeile mit den entspr. Key vor diesem das gewünschte Kommando angibt, i.d.R. mit weiteren nützlichen Parametern:

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="mache_nur_was_ich_will" ssh-rsa AAAAB3NzaC…

Aber wie muss das Kommando auf der Zielseite bei scp nun aussehen? Das lässt sich herausfinden, in dem man ein normalen scp-Befehl mit den Debug-Parameter -v absetzt. In der Ausgabe findet man u.a. dann so was wie (wenn nicht: siehe unten):

debug1: Sending command: scp -v -t myfile.txt

Hier taucht der undokumentierte scp-Parameter -t auf, der auch nur vom Programm auf der Zielseite verwendet wird. Wenn wir also das folgenden in der authorized_keys angeben, können wir mit den entspr. Key Dateien in das Verzeichnis /var/local/Backups kopieren – mehr nicht!

no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="scp -t /var/local/Backups/" ssh-rsa AAAAB3NzaC…

Aber das funktioniert nicht …

Es kann passieren, dass die Verbindung zwar aufgebaut wird, danach aber nichts mehr passiert. Die Verbindung „hängt“, es findet keine Datenübertagung statt.

Die Ursache ist, dass scp ab Version 9.0 standardmäßig das SFTP-Protokoll benutzen. Man erkennt es daran, dass in der oben erwähnten Debug-Ausgabe nicht das erwartete scp -v -t … steht, sondern:

debug1: Sending subsystem: sftp

Man muss scp auf der aufrufenden Seite also mit dem Parameter –O (großes O) dazu zwingen, das SCP-Protokoll zu verwenden.

Siehe auch: https://serverfault.com/a/88864

Passwörter sicher in Webanwendungen speichern

2 Antworten

Im Artikel Cracker-Bremse auf heise.de ist sehr gut erklärt, wie man es in eigenen Webanwendungen anstellt, die Passwörter der User sicher zu speichern. Inklusive Hintergründe und Einführung in Phpass (auf Seite 4).

OpenVPNPortable

Schreibe eine Antwort

OpenVPN für den USB-Stick

Ich habe gerade entdeckt, dass es auch ein Tool gibt, um OpenVPN auf einem USB-Stick zu installieren und zu Starten. Auf Sourceforge findet sich OpenVPNPortable, zzt. in der Version 1.5.2.

Man führt die EXE aus, ein Wizzard installiert dann OpenVPN 2.1_rc7 für Windows, OpenVPN-GUI 1.0.3 und weitere notwendigen Dateien auf dem Stick. Lediglich die Keys und Zertifikate muss man selbst noch in das Unterverzeichnis data/config kopieren. Das diese mit einer Passphrase geschützt sind, sollte selbstverständlich sein. In diesem Verzeichnis muss auch noch eine entspr. *.ovpn Konfig-Datei erstellt werden, das OpenVPN-GUI findet diese dann selbstständig. In dieser Datei muss übrigens kein Pfad für die Keys und Zertifikate angegeben werden, da diese in dem Verzeichnis gesucht werden, in dem auch die Konfig-Datei liegt.

Wird dann die installierte Anwendung gestartet, so wird zunächst das TAP-Interface installiert, wozu zwingend Administrator-Rechte notwendig sind. Ggf. muss Das Programm über runas gestartet werden. Bei der Beendigung des Tools wird man gefragt, ob man das Interface wieder deinstallieren möchte.

Nach dem das Tool gestartet ist, findet sich in der Taskleiste wie gewohnt das OpenVPN-GUI-Icon, über das man die Verbindung(en) aufbauen und trennen kann.

KDE mit Keychain

Schreibe eine Antwort

Damit man nicht immer ständig die Passphrase für seinen SSH-Key eingeben muss ist keychain das passende Werkzeug. Normalerweise wird der entsprechende Aufruf in die bashrc o.ä. eingetragen. Bei grafischen Oberflächen ist das jedoch nicht die erste Wahl.

Bei KDE speichert man besser ein kleines Shellscript im persönlichen Autostart-Verzeichnis ~/.kde/Autostart

#!/bin/sh
keychain --quiet ~/.ssh/id_dsa
source ~/.keychain/${HOSTNAME}-sh

Wenn dieses Script ausführbar ist, wird der Anwender beim nächsten Start von KDE per Dialog nach der Passphrase gefragt. Dazu darf natürlich kein entspr. Eintrag in der .bashrc oder .profile vorhanden sein, da dieser sonst unserem kleinen Script eventuell zuvor kommt.

M	D	M	D	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

romeofox

Tipps & Tricks zu Linux, Webentwicklung und mehr.