Zugang zum ssh-Server der TUHH

Rechnername

Am Montag, den 17.10.2022 stellen wir den Betrieb dauerhaft auf den neuen SSH-Server um.

Aus technischen Gründen wird es auf dem neuen SSH-Server jedoch nicht mehr möglich sein, die Windows-Freigaben des zentralen Fileservers im RZ zu erreichen. Diese Zugänge bleiben übergangsweise über den alten SSH-Server erreichbar.

Der Name des neuen ssh-Servers lautet:

ssh.rz.tuhh.de

Die Daten des /home-Bereichs vom alten ssh-Server wurden am 7.9.2022 auf diesen Server migriert. Bitte spätere Änderungen selbst nachpflegen.

Hostkey & Fingerprint

Da dem Server das User- Passwort anvertraut wird, ist es wichtig, die Authentizität der ssh-Verbindungen zu überprüfen. Dazu werden sog. Hostkeys verwendet, die, einmal überprüft, auf dem ssh Client gespeichert werden. Ein Angreifer wird einen sog. Man-in-the-middle Angriff versuchen, die Verbindung also über seinen Server umzuleiten. Dies erkennt man daran, dass ein anderer Hostkey angezeigt wird oder sich der Hostkey scheinbar geändert hat, da der Angreifer den Key des TU-Servers nicht kennt.

Traditionell werden Hostkeys mit dem RSA Verschlüsselungsverfahren verwendet. Mit den Fortschritten in der Quantenkryptografie und dem steigenden Rechenbedarf bei größeren Schlüssellängen wird allerdings nach Alternativen gesucht.

Ein anderes Verfahren beruht auf ED25519, einem Verfahren, das von der Daniel J. Bernstein 2005 veröffentlicht wurde und sich zunehmender Beliebtheit erfreut.

Unser Server unterstützt beide Verfahren und hat daher 2 verschiedene Hostkeys. Je nachdem welchen ssh-client sie verwenden und wie Sie ihn konfiguriert haben, wird er das eine oder andere Verfahren verwenden. OpenSSH wie es in Windows 10 und den meisten Linux-Distributionen mitgeliefert wird, verwendet standardmäßig bereits bevorzugt ED25519.

Wenn Sie das erste Mal eine Verbindung per ssh zum Server aufbauen, prüfen Sie bitte unbedingt, ob Sie in den unten aufgelisteten Darstellungsarten den Fingerabdruck finden, bevor Sie ihn speichern!

Wenn Sie keine Übereinstimmung finden speichern Sie den Key auf keinen Fall, geben Sie nicht Ihr Passwort ein und beenden Sie die Verbindung. Suchen Sie statt dessen nach der Ursache für den falschen Hostkey. Gleiche gilt, falls sich der Hostkey plötzlich geändert hat.

Je nach verwendetem Programm wird der Fingerabruck anders berechnet und/oder angezeigt, hier in den üblichen Darstellungs-Varianten für unseren ED25519 und RSA Key:

ED25519

  • SHA256 base 64 encoded:
    SHA256:ZUOUv+cQ+A9GGg6wlddv0vruzepGdRHzUy5u0oWqGZc
  • Randomart:
    +--[ED25519 256]--+
    |         ooo   oo|
    |      . o.o .  ++|
    |       + .+o oo.=|
    |      . .oo.==+o+|
    |        So.=E*+..|
    |          o=Boo  |
    |          o. O   |
    |              =o |
    |             ==.o|
    +----[SHA256]-----+
  • SHA1 (unüblich, nur bei x2go verwendet):
    46:31:3b:2c:ec:de:77:4e:fd:6a:83:10:f4:94:7c:82:e9:33:6f:30
  • MD5 (veraltet):
    eb:38:f1:47:64:8c:47:1d:9f:d6:1c:1d:cb:5a:b9:cf
  • SHA-1 Bubble Babble:
    xicif-cuvod-saret-vatug-vozak-pebuc-betin-gyzum-depuf-fyref-byxux

RSA

  • SHA256 base 64 encoded:
    SHA256:GdVLU1jhDVmyykG7mFiRLPYxGh8aBmT6YAs14yxkpTM
  • Randomart:
    +---[RSA 4096]----+
    |  o.=.+. .oo.+*+.|
    | o = =  *.*o=o.= |
    |  E *  o.O.=ooo .|
    |   * +  o=o+.+   |
    |    . . S o +    |
    |                 |
    |                 |
    |                 |
    |                 |
    +----[SHA256]-----+
  • SHA1 (unüblich, nur bei x2go verwendet):
    20:a5:fc:a4:fa:83:89:fc:5b:0b:de:ae:66:cb:22:c3:4a:ae:77:6a
  • MD5 (veraltet):
    76:f3:f5:4c:41:f6:2a:c4:b2:16:88:e2:b6:dd:12:2d
  • SHA-1 Bubble Babble:
    xemap-hezyp-gevom-feduz-sekib-rolop-venes-rymys-fodop-vetyk-poxux

Wenn Sie keine Übereinstimmung finden speichern Sie den Key auf keinen Fall, geben Sie nicht Ihr Passwort ein und beenden Sie die Verbindung. Suchen Sie statt dessen nach der Ursache für den falschen Hostkey.

Nur wenn der Fingerprint übereinstimmt, können Sie sicher sein, dass Sie Ihr Passwort dem richtigen Server übergeben. Das gilt entsprechend auch, wenn Sie bei einer späteren Verbindung eine Warnung erhalten, dass sich der öffentliche Schlüssel (public key) des Servers geändert hat.
Andernfalls reicht es schon, wenn Sie sich im Domainnamen vertippen, um sich mit einem falschen Server zu verbinden. Die Tippfehler-Domains *.tuhhh.de oder *.tu-hh.de sind dafür ein Beispiel.

Nutzungsmöglichkeiten des Servers

Einloggen auf anderen Rechnern der TU

Der Server kann genutzt werden, um sich auf Rechnern einzuloggen, die nur von innerhalb der TU erreichbar sind. Dazu verwenden Sie bitte die Funktion ProxyJump Ihres ssh-Client.

Beispiel:

> ssh -J ssh.rz.tuhh.de l05p33.rz.tu-harburg.de

Mit diesem Befehl loggt man sich von seinem eigenen Rechner über den ssh-Server auf einem Pool-Rechner ein.

Filetransfer

Auf dem Server sind die verschiedenen NFS-Bereiche des RZ gemountet. Im Homebereich finden sich Softlink in die jeweiligen Verzeichnisse. Der link "linux" etwa zeigt auf den Home-Bereiche des Linux-Pools.

Per 'sftp' können Dateien dann auf andere Rechner kopiert werden.

Tunneln von SOCKS- und TCP- Verbindungen

Wer, aus welchen Gründen auch immer, kein VPN verwenden möchte, kann den Server zum Tunneln von http- und https Verbindungen seines Web- Browsers an die TU benutzen. Näheres steht in den Hinweisen zur config-Datei, (DynamicForward und proxy.pac) s.u.

Ausgehende Verbindungen zum Internet sind nicht möglich.

Hinweise und Besonderheiten bei der Konfiguration

Der ssh-Server ist aus dem Internet erreichbar und dadurch einem wahren Sturm von Passwort-Rateversuchen ausgesetzt. Um diese möglichst zu erschweren und auszubremsen werden verschiedene Methoden eingesetzt. Das kann dazu führen, dass auch legitime Nutzer keine Verbindung erhalten, wenn sie innerhalb eines Zeitfensters zu oft neue Verbindungen aufbauen.

Versuchen sie, möglichst nur eine Verbindung aufzubauen und mittels der Funktion "sharing of multiple sessions over a single network connection" alle weiteren Verbindungen über diese abzuwickeln. Näheres entnehmen Sie bitte den Hinweisen zur config- Datei.

Homebereich und Disk-Quote

Jeder Account hat auf dem ssh-Server einen eigenen Homebereich.

Dieser lokale Homebereich ist nur sehr klein!

Bitte legen Sie deshalb keine Daten dort ab, der lokale Bereich dient nur zum Speichern kleiner Konfigurationsdateien wie .bash_profile, .bash_history, oder .ssh/config.

In diesem Homebereich werden beim Einloggen automatisch Softlinks erzeugt, die auf die NFS-Verzeichnisse verweisen, auf die man Zugriff hat. In diesen Verzeichnissen kann man dann seine Daten ablegen oder von dort abholen.

Einloggen ohne Passwort

Das Einloggen ohne Passwort per Public/Private Key ist nicht möglich. Wohl aber das passwortlose Einloggen per Kerberos-basiertem GSSAPI. Dazu wird ein gültiges, forwardbares Kerberos-Ticket auf dem Rechner benötigt, von dem aus man sich auf dem SSH-Server Einloggen möchte.

Weiter Informationen zum Thema GSSAPI an der TU findet man hier.