Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer:...
Transcript of Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer:...
![Page 1: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/1.jpg)
Tools für DBA‘s und Cloud-Nutzer:ssh – die Secure Shell11. August 2017
Robert Marz
![Page 2: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/2.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 2
Robert Marz
Technical Architectmit datenbankzentrischem WeltbildKunde
Portfoliomanager DatenbankenBlogredakteurits-people
Themenverantwortlicher „Cloud“in der Datenbank CommunityDOAG
@RobbieDatabee blog.its-people.de [email protected]
![Page 3: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/3.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 3
ssh – the secure shell
Verschlüsselt
Netzwerkprotokoll
Client: sshServer: sshd
Client-Server:
OpenSSH
Open Source
1.x : veraltet, unsicher2.x: aktuell
Versionen
![Page 4: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/4.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 4
ssh – mächtige Tools
Defacto Standard für verschlüsselte Konsolenverbindungen• Ersatz für telnet, rlogin, rsh, etc.• Rechner zu Rechner• SSL verschlüsselt
Kann viel mehr:• Automatisches Login• Netzwerktunnel
(VPN im Eigenbau)• Dateitransfer• Remote-Filesystem• Tunnelketten
![Page 5: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/5.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 5
Konfigurationsdateien
Clie
nt (s
sh)
config*
known_hosts*
Keys*
Private*
identity
id_dsa
id_rsa
…
Public*
identity.pub
id_dsa.pub
id_rsa.pub
…
sshrc
environment
Global in /etc, per User in ~/.sshSe
rver
(ssh
d)
sshd_config
authorized_keys*
sshrc
![Page 6: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/6.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 6
Kennwort oder Schlüsselpaar?
- Merken- Kurz- Keylogger- „Wandern“+ Einfach
Kennwörter
+ Datei+ Komplex
+ Privater Teil nur lokal-„Komplizierter“
Schlüsselpaar
![Page 7: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/7.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 7
Konfigurationsdateien: known_hostskn
own_
host
s (Cl
ient
) Merkliste bekannte ServerVertrauensstellung (Achtung!)
Kennwortübertragung im KlartextBekannte Exploits
![Page 8: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/8.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 8
SSH Schlüssel
SSH Key Pair
asymetrisch
private
public
Kennwortersatz mehrere Formate Erzeugen
ssh-keygen
PuTTYgen
![Page 9: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/9.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 9
Der Public Key
ssh-copy-idE-MailCloud Web-Oberfläche
Verteilen
identity.pubid_dsa.pubid_rsa.pubBeliebig
Dateiname (default)
![Page 10: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/10.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 10
Der Private Key
identityid_dsaid_rsa
Dateiname (default)
ssh –i /pfad/zum/private/key
Beliebiger Dateiname
Privat und Geheim
Verlässt NIEMALS freiwillig den Rechner
Mit Kennwort verschlüsselbar MEIN Schatz!
![Page 11: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/11.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 11
SSH Key FormateOffizieller StandardKomplett verschlüsseltRFC 4716
openssh
Eigenes FormatPublic Key unverschlüsseltMehrzeilig
Putty
Kommerzielle VarianteWenig verbreitetssh.com
Umwandlung mit Texteditor oder Tool
![Page 12: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/12.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 12
Konfigurationsdateien: authorized_keysau
thor
ized_
keys
(Ser
ver) erlaubt
Zugriff
auf den Server
pro User
Optionen (Auszug)
command
Environment
From
no-pty
restrict (verbietet alles)
gezieltes erlauben möglich
# Comments allowed at start of linessh-rsa AAAAB3Nza...LiPk== [email protected]
from="*.sales.example.net,!pc.sales.example.net" ssh-rsa AAAAB2...19Q== [email protected]
command="dump /home",no-pty,no-port-forwardingssh-dss AAAAC3...51R== example.net
permitopen="192.0.2.1:80",permitopen="192.0.2.2:25" ssh-dss AAAAB5...21S==
tunnel="0",command="sh /etc/netstart tun0" ssh-rsa AAAA...== [email protected]
restrict,command="uptime" ssh-rsaAAAA1C8...32Tv== [email protected]
restrict,pty,command="nethack" ssh-rsaAAAA1f8...IrrC5== [email protected]
![Page 13: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/13.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 13
Netzwerk Tunnel
Parameter-L lport:zielrechner:dport-L 1521:127.0.0.1:1521
Mini VPN
SQL DeveloperSQLclMobaXterm
Tools
X11 ForwardingSOCKS5-Tunnel
https-ProxyParameter -D portnummer
Spielart:
![Page 14: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/14.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 14
Sicherer Dateitransfer
• Secure Copy
scp
• Secure FTP
sftp
• Remote Sync
rsync -e ssh
• ssh [email protected] "tar czpf - /some/important/data" \| tar xzpf - -C /new/root/directory
• tar cpf - /some/important/data | ssh user@destination-machine \"tar xpf - -C /some/directory/"
tar
![Page 15: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/15.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 15
Das Remotefilesystem sshfs
Remote Filesystem
lokales Einbinden
Dauerhaft oder per Session
Integration in Clients • (z.B.Midnight
Commander)
![Page 16: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/16.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 16
Der ssh-agent
EntschlüsseltIm RAMKey Kennwort nur einmal eingeben
Speichert Keys
für ClientsKeine Weitergabe des Schlüssels
Key-Operationen
ssh-agentssh-add
Linux:
PuTTY-Agent (pagent.exe)
Windows:
![Page 17: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/17.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 17
conf
ig(C
lient
)Aliase (host) Shortcut für den ssh-Aufruf
Parameter Gruppiert nach Host‣ Wildcards möglich
Erster Treffer für Parameter gilt ‣ Von speziell zu allgemein
Beispiel Hostname
User
IdentityFile
LocalForward
Konfigurationsdateien: config
![Page 18: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/18.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 18
Konfigurationsdateien: config - Beispiel
![Page 19: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/19.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 19
SSH Implementierungen• Nativ
Unix / Linux
• Nativ
OSX (Mac)
• Clients, z.B.• PuTTY• MobaXterm• mRemoteNG• Bash/Linux für Windows 10• PowerShell/Win32-OpenSSH
von MS• Server, z.B.
• Bash/Linux für Windows 10• PowerShell/Win32-OpenSSH
von MS
Windows
![Page 20: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/20.jpg)
11. August 2017 Robert Marz © its-people @RobbieDatabee 21
Fazit
Viel Spaß beim Ausprobieren!
Lokale ssh-config ist mächtig
Keys statt Password
SSH ist mehr als nur ssh
![Page 21: Tools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell fileTools für DBA‘sund Cloud-Nutzer: ssh – die Secure Shell. 11. August 2017. Robert Marz](https://reader030.fdocuments.net/reader030/viewer/2022040621/5d0d1c9188c993ed388b542d/html5/thumbnails/21.jpg)
its-people GmbHFrankfurt Tel. 069 2475 2100Hamburg Tel. 040 2360 8808Köln Tel. 0221 1602 5204München Tel. 089 5484 2401
its-people ERP Beratungsgesellschaft mbHFrankfurt Tel. 069 2475 1980
www.its-people.de [email protected]
we make the differencewww.its-people.de
Herzlichen Dank für IhreAufmerksamkeit !
Fragen ?