Date: Sun, 15 May 2016 22:43:53 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48817 - head/de_DE.ISO8859-1/books/handbook/security Message-ID: <201605152243.u4FMhrO8017829@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Sun May 15 22:43:52 2016 New Revision: 48817 URL: https://svnweb.freebsd.org/changeset/doc/48817 Log: Update to r44520: Editorial review of first 1/2 of OpenSSH chapter. Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 14:42:05 2016 (r48816) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 22:43:52 2016 (r48817) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44444 + basiert auf: r44520 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -2591,25 +2591,23 @@ racoon_enable="yes"</programlisting> <para><application>OpenSSH</application> stellt Werkzeuge bereit, um sicher auf entfernte Maschinen zuzugreifen. Zusätzlich - können TCP/IP-Verbindungen sicher durch <acronym>SSH</acronym> - weitergeleitet (getunnelt) werden. Mit <acronym>SSH</acronym> - werden alle Verbindungen verschlüsselt, dadurch wird verhindert, - dass die Verbindung zum Beispiel abgehört oder übernommen - (<foreignphrase>Hijacking</foreignphrase>) werden kann.</para> - - <para><application>OpenSSH</application> wird vom OpenBSD-Projekt - gepflegt und wird in der Voreinstellung von &os; installiert. - <application>OpenSSH</application> ist mit den - <acronym>SSH</acronym>-Protokollen der Versionen 1 und 2 - kompatibel.</para> - - <para>Wenn Daten unverschlüsselt über das Netzwerk gesendet - werden, besteht die Gefahr, dass Benutzer/Passwort - Kombinationen oder alle Daten an beliebiger Stelle zwischen - dem Client und dem Server abgehört werden. Mit - <application>OpenSSH</application> stehen eine Reihe von - Authentifizierungs- und Verschlüsselungsmethoden zur - Verfügung, um das zu verhindern.</para> + können <acronym>TCP/IP</acronym>-Verbindungen sicher durch + <acronym>SSH</acronym> getunnelt oder weitergeleitet werden. + <application>OpenSSH</application> verschlüsselt alle + Verbindungen. Dadurch wird beispielsweise verhindert, dass die + Verbindung abgehört oder übernommen + (<foreignphrase>Hijacking</foreignphrase>) werden kann. Weitere + Informationen zu <application>OpenSSH</application> finden Sie + auf <link xlink:href="http://www.openssh.com/">; + http://www.openssh.com/</link>.</para>; + + <para>Dieser Abschnitt enthält einen Überblick über die + integrierten Client-Werkzeuge, mit denen Sie sicher auf + entfernte Systeme zugreifen können, oder mit denen Sie sicher + Dateien austauschen können. Der Abschnitt beschreibt auch die + Konfiguration eines <acronym>SSH</acronym>-Servers auf einem + &os;-System. Weitere Informationen finden Sie in den hier + erwähnten Manualpages.</para> <sect2> <title>Die SSH Client-Werkzeuge benutzen</title> @@ -2619,36 +2617,44 @@ racoon_enable="yes"</programlisting> <secondary>Client</secondary> </indexterm> - <para>Benutzen Sie &man.ssh.1; um sich mit einem System zu - verbinden, auf dem &man.sshd.8; läuft. Verwenden Sie dazu - den Benutzernamen und den Namen des Rechners, mit dem Sie - sich verbinden möchten:</para> + <para>Benutzen Sie <command>ssh</command> zusammen mit einem + Benutzernamen und einer <acronym>IP</acronym>-Adresse oder dem + Hostnamen, um sich an einem <acronym>SSH</acronym>-Server + anzumelden. Ist dies das erste Mal, dass eine Verbindung mit + dem angegebenen Server hergestellt wird, wird der Benutzer + aufgefordert, zuerst den Fingerabdruck des Servers zu + prüfen:</para> <screen>&prompt.root; <userinput>ssh <replaceable>user@example.com</replaceable></userinput> -Host key not found from the list of known hosts. +The authenticity of host 'example.com (10.0.0.1)' can't be established. +ECDSA key fingerprint is 25:cc:73:b5:b3:96:75:3d:56:19:49:d2:5c:1f:91:3b. Are you sure you want to continue connecting (yes/no)? <userinput>yes</userinput> -Host 'example.com' added to the list of known hosts. -user@example.com's password: <userinput>*******</userinput></screen> +Permanently added 'example.com' (ECDSA) to the list of known hosts. +Password for user@example.com: <userinput><replaceable>user_password</replaceable></userinput></screen> <para><acronym>SSH</acronym> speichert einen Fingerabdruck des - Serverschlüssels. Die Aufforderung, <literal>yes</literal> - einzugeben, erscheint nur bei der ersten Verbindung zu einem - Server. Weitere Verbindungen zu dem Server werden gegen den - gespeicherten Fingerabdruck des Schlüssels geprüft und - der Client gibt eine Warnung aus, wenn sich der empfangene - Fingerabdruck von dem gespeicherten unterscheidet. Die - Fingerabdrücke werden in - <filename>~/.ssh/known_hosts</filename> gespeichert.</para> + Serverschlüssels um die Echtheit des Servers zu überprüfen, + wenn der Client eine Verbindung herstellt. Wenn der Benutzer + den Fingerabdruck mit <literal>yes</literal> bestätigt, wird + eine Kopie des Schlüssels in + <filename>.ssh/known_hosts</filename> im Heimatverzeichnis des + Benutzers gespeichert. Zukünftige Verbindungen zu dem Server + werden gegen den gespeicherten Fingerabdruck des Schlüssels + geprüft und der Client gibt eine Warnung aus, wenn sich der + empfangene Fingerabdruck von dem gespeicherten unterscheidet. + Wenn dies passiert, sollte zunächst geprüft werden, ob sich + der Schlüssel geändert hat, bevor die Verbindung hergestellt + wird.</para> <para>In der Voreinstellung akzeptieren aktuelle Versionen von - &man.sshd.8; nur <acronym>SSH</acronym> v2 Verbindungen. - Wenn möglich, wird der Client versuchen Version 2 zu - verwenden, ist dies nicht möglich, fällt er auf Version 1 - zurück. Der Client kann gezwungen werden, nur eine der beiden - Versionen zu verwenden, indem die Option <option>-1</option> - oder <option>-2</option> übergeben wird. Die Unterstützung - für Version 1 ist nur noch aus Kompatibilitätsgründen zu - älteren Versionen enthalten.</para> + <application>OpenSSH</application>; nur + <acronym>SSH</acronym>v2 Verbindungen. Wenn möglich, wird der + Client versuchen Version 2 zu verwenden, ist dies nicht + möglich, fällt er auf Version 1 zurück. Der Client kann + gezwungen werden, nur eine der beiden Versionen zu verwenden, + indem die Option <option>-1</option> oder <option>-2</option> + übergeben wird. Weitere Optionen sind in &man.ssh.1; + beschrieben.</para> <indexterm> <primary>OpenSSH</primary> @@ -2657,65 +2663,64 @@ user@example.com's password: <userinput> <indexterm><primary>&man.scp.1;</primary></indexterm> <para>Mit &man.scp.1; lassen sich Dateien in einer sicheren - Weise auf entfernte Maschinen übertragen.</para> + Weise auf entfernte Maschinen übertragen. Dieses Beispiel + kopiert die Datei <filename>COPYRIGHT</filename> von einem + entfernten System in eine Datei mit dem gleichen Namen auf + das lokale System:</para> <screen>&prompt.root; <userinput> scp <replaceable>user@example.com:/COPYRIGHT COPYRIGHT</replaceable></userinput> -user@example.com's password: +Password for user@example.com: <userinput><replaceable>*******</replaceable></userinput> COPYRIGHT 100% |*****************************| 4735 00:00 &prompt.root;</screen> - <para>Da der Fingerabdruck schon im vorigen Beispiel abgespeichert - wurde, wird er bei der Verwendung von <command>scp</command> in - diesem Beispiel überprüft. Da die Fingerabdrücke - übereinstimmen, wird keine Warnung ausgegeben.</para> - - <para>Die Argumente, die &man.scp.1; übergeben werden, gleichen - denen von &man.cp.1; in der Beziehung, dass die ersten - Argumente die zu kopierenden Dateien sind und das letzte - Argument den Bestimmungsort angibt. Da die Dateien über das - Netzwerk kopiert werden, können ein oder mehrere Argumente die - Form <option>user@host:<path_to_remote_file></option> + <para>Da der Fingerabdruck für diesen Rechner bereits bestätigt + wurde, wird er automatisch überprüft, bevor der Benutzer zur + Eingabe des Passworts aufgefordert wird.</para> + + <para>Die Argumente, die <command>scp</command> übergeben + werden, gleichen denen von <command>cp</command> in der + Beziehung, dass die ersten Argumente die zu kopierenden + Dateien sind und das letzte Argument den Bestimmungsort + angibt. Da die Dateien über das Netzwerk kopiert werden, + können ein oder mehrere Argumente die Form + <option>user@host:<path_to_remote_file></option> besitzen.</para> <sect3 xml:id="security-ssh-keygen"> <title>Schlüsselbasierte Authentifizierung</title> - <para>Mit &man.ssh-keygen.1; können <acronym>DSA</acronym>- oder - <acronym>RSA</acronym>-Schlüssel für einen Benutzer erzeugt - werden, die anstelle von Passwörtern verwendet werden - können:</para> + <para>Ein Client kann bei der Verbindung auch Schlüssel + anstelle von Passwörtern verwenden. Mit + <command>ssh-keygen</command> können <acronym>DSA</acronym>- + oder <acronym>RSA</acronym>-Schlüssel erzeugt werden. Geben + Sie das entsprechende Protokoll an, wenn Sie einen + öffentlichen und einen privaten Schlüssel erzeugen. Folgen + Sie anschließend den Anweisungen des Programms. Es wird + empfohlen, die Schlüssel mit einer einprägsamen, aber schwer + zu erratenen Passphrase zu schützen.</para> <screen>&prompt.user; <userinput>ssh-keygen -t <replaceable>dsa</replaceable></userinput> Generating public/private dsa key pair. Enter file in which to save the key (/home/user/.ssh/id_dsa): Created directory '/home/user/.ssh'. -Enter passphrase (empty for no passphrase): -Enter same passphrase again: +Enter passphrase (empty for no passphrase): <userinput><replaceable>type some passphrase here which can contain spaces</replaceable></userinput> +Enter same passphrase again: <userinput><replaceable>type some passphrase here which can contain spaces</replaceable></userinput> Your identification has been saved in /home/user/.ssh/id_dsa. Your public key has been saved in /home/user/.ssh/id_dsa.pub. The key fingerprint is: bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com</screen> - <para>&man.ssh-keygen.1; erzeugt einen öffentlichen und einen - privaten Schlüssel für die Authentifizierung. Der private - Schlüssel wird in <filename>~/.ssh/id_dsa</filename> oder - <filename>~/.ssh/id_rsa</filename> gespeichert, während - sich der öffentliche Schlüssel in - <filename>~/.ssh/id_dsa.pub</filename> oder - <filename>~/.ssh/id_rsa.pub</filename> befindet, je nachdem, - ob es sich um einen <acronym>DSA</acronym>- oder einen - <acronym>RSA</acronym>-Schlüssel handelt. - Der öffentliche Schlüssel muss sowohl für - <acronym>RSA</acronym>- als auch für - <acronym>DSA</acronym>-Schlüssel in - <filename>~/.ssh/authorized_keys</filename> auf dem entfernten - Rechner aufgenommen werden, damit der Schlüssel - funktioniert.</para> - - <para>Damit werden Verbindungen zu der entfernten Maschine über - <acronym>SSH</acronym>-Schlüsseln anstelle von Passwörtern - authentifiziert.</para> + <para>Abhängig vom verwendeten Protokoll wird der private + Schlüssel in <filename>~/.ssh/id_dsa</filename> (oder + <filename>~/.ssh/id_rsa</filename>) und der öffentliche + Schlüssel in <filename>~/.ssh/id_dsa.pub</filename> (oder + <filename>~/.ssh/id_rsa.pub</filename>) gespeichert. Der + <emphasis>öffentliche</emphasis> Schlüssel muss zuerst auf + den entfernten Rechner nach + <filename>~/.ssh/authorized_keys</filename> kopiert werden, + damit die schlüsselbasierte Authentifizierung + funktioniert.</para> <warning> <para>Viele Benutzer denken, dass die Verwendung von @@ -2736,12 +2741,10 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8 <acronym>IP</acronym>-Adresse anmelden darf.</para> </warning> - <warning> <para>Die Optionen und Dateinamen sind abhängig von der <application>OpenSSH</application>-Version. Die für das System gültigen Optionen finden Sie in &man.ssh-keygen.1;.</para> - </warning> <para>Wenn bei der Erzeugung des Schlüssels eine Passphrase angegeben wurde, wird der Benutzer bei jeder Anmeldung am @@ -2751,44 +2754,45 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8 laden, damit die Passphrase nicht jedes Mal eingegeben werden muss.</para> - <para>&man.ssh-agent.1; übernimmt die Authentifizierung - von ihm geladener privater Schlüssel. - &man.ssh-agent.1; sollte nur dazu verwendet werden, ein - anderes Programm zu starten, beispielsweise eine Shell oder - einen Window-Manager.</para> - - <para>Um &man.ssh-agent.1; in einer Shell zu verwenden, muss - es mit einer Shell als Argument aufgerufen werden. Zudem muss - die zu verwaltende Identität mit &man.ssh-add.1; sowie deren - Passphrase für den privaten Schlüssel übergeben werden. - Nachdem dies erledigt ist, kann sich ein Benutzer über - &man.ssh.1; auf jedem Rechner anmelden, der einen - entsprechenden öffentlichen Schlüssel besitzt. Dazu ein - Beispiel:</para> + <para><command>ssh-agent</command> übernimmt die + Authentifizierung mit den geladenen privaten Schlüsseln. + <command>ssh-agent</command> sollte nur dazu verwendet werden, + ein anderes Programm zu starten, beispielsweise eine Shell + oder einen Window-Manager.</para> + + <para>Um <command>ssh-agent</command> in einer Shell zu + verwenden, muss es mit einer Shell als Argument aufgerufen + werden. Zudem muss die zu verwaltende Identität mit + <command>ssh-add</command> sowie deren Passphrase für den + privaten Schlüssel übergeben werden. Nachdem dies erledigt + ist, kann sich ein Benutzer mit <command>ssh</command> auf + jedem Rechner anmelden, der einen entsprechenden öffentlichen + Schlüssel besitzt. Dazu ein Beispiel:</para> <screen>&prompt.user; ssh-agent <replaceable>csh</replaceable> &prompt.user; ssh-add -Enter passphrase for /home/user/.ssh/id_dsa: -Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) +Enter passphrase for /usr/home/user/.ssh/id_dsa: <userinput><replaceable>type passphrase here</replaceable></userinput> +Identity added: /usr/home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) &prompt.user;</screen> - <para>Um &man.ssh-agent.1; unter - <application>&xorg;</application> zu verwenden, muss - &man.ssh-agent.1; in <filename>~/.xinitrc</filename> + <para>Um <command>ssh-agent</command> unter + <application>&xorg;</application> zu verwenden, muss ein + Eintrag für das Programm in <filename>~/.xinitrc</filename> aufgenommen werden. Dadurch können alle unter <application>&xorg;</application> gestarteten Programme die - Dienste von &man.ssh-agent.1; nutzen. + Dienste von <command>ssh-agent</command> nutzen. <filename>~/.xinitrc</filename> könnte etwa so aussehen:</para> <programlisting>exec ssh-agent <replaceable>startxfce4</replaceable></programlisting> <para>Dadurch wird bei jedem Start von - <application>&xorg;</application> zuerst &man.ssh-agent.1; - aufgerufen, das wiederum <application>XFCE</application> - startet. Nachdem diese Änderung durchgeführt wurde, muss + <application>&xorg;</application> zuerst + <command>ssh-agent</command> aufgerufen, das wiederum + <application>XFCE</application> startet. Nachdem diese + Änderung durchgeführt wurde, muss <application>&xorg;</application> neu gestartet werden. - Danach können Sie mit &man.ssh-add.1; die + Danach können Sie mit <command>ssh-add</command> die <acronym>SSH</acronym>-Schlüssel laden.</para> </sect3>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605152243.u4FMhrO8017829>