Fragen zu ssh und sshd

Hallo Freunde der Liste,

ich hab wieder einmal eine reine Verständnisfrage an Euch.
Neulich hab ich auf meinem Debiansystem ein distupgrade (potato2.2)
vorgenommen und dabei wurde ssh upgegradet wie ich sehen konnte; nun:
1) grundsätzlich mal eine Frage zu ssh (openssh) : muss ich mich eigentlich
um irgendwas kümmern wenn ich mich über kppp mit meinem provider einlogge;
sprich ist ssh automatisch aktiviert oder muss ich da irgendwas eigens
starten ??? oder aber wird ssh automatsch gestartet sobald ich ins netz gehe ?

ich hab versuch mich irgendwie schlau zu machen und habe gefunden dass es
scheinbar ein key generiert werden muss und dass es eine /home/XY/.ssh
directory geben soll aber ich hab werder das eine gemacht noch eine solche
dir gefunden (auch nicht eine versteckte).

2) wurde durch das upgrade ein weiterer user angelegt der mir entgegenlacht
wenn ich mich anmelden will , nämlich SSHD, was soll ich damit ? bzw. wozu
dient der und übrigens; komm ich da auch mit keinem Passwort irgendwie rein.
oder ist das nur für jene gedacht die von aussen auf mich zugreifen wollen ??

hat jemand Zeit und die Muse mir meine Fragen zu beantworten ?
heute ist das Wetter eh net so schön :slight_smile: und Montiggl und Kalterersee sein
eh überfüllt :-))

danke im voraus
uli

Hi Uli,

ich hab wieder einmal eine reine Verständnisfrage an Euch.
Neulich hab ich auf meinem Debiansystem ein distupgrade (potato2.2)
vorgenommen und dabei wurde ssh upgegradet wie ich sehen konnte; nun:

1) grundsätzlich mal eine Frage zu ssh (openssh) : muss ich mich eigentlich
um irgendwas kümmern wenn ich mich über kppp mit meinem provider einlogge;
sprich ist ssh automatisch aktiviert oder muss ich da irgendwas eigens
starten ??? oder aber wird ssh automatsch gestartet sobald ich ins netz gehe ?

ich hab versuch mich irgendwie schlau zu machen und habe gefunden dass es
scheinbar ein key generiert werden muss und dass es eine /home/XY/.ssh
directory geben soll aber ich hab werder das eine gemacht noch eine solche
dir gefunden (auch nicht eine versteckte).

2) wurde durch das upgrade ein weiterer user angelegt der mir entgegenlacht
wenn ich mich anmelden will , nämlich SSHD, was soll ich damit ? bzw. wozu
dient der und übrigens; komm ich da auch mit keinem Passwort irgendwie rein.
oder ist das nur für jene gedacht die von aussen auf mich zugreifen wollen ??

OpenSSH hat 2 Bestandteile:

- den SSH Client brauchst Du um eine Shell (= Befehlszeilen Umgebung) auf
einem entfernten Server zu oeffnen. Dazu brauchst Du nur

                   ssh login(a)server.example.net

an der Befehlszeile einzugeben. Dannach kannst Du Befehle
direkt auf server.example.net ausfuehren.
Extra Konfiguration ist nicht erforderlich.

ssh erzeugt tatsaechlich automatisch ein /home/XY/.ssh Verzeichnis, wenn
Du es zum ersten Mal verwendest. Dort werden die oeffentlichen Schluessel
der Server bewahrt.

- den SSH Service (unter Unices "daemon" genannt) brauchst Du
um anderen Rechnern zu erlauben auf Deinem Rechner auf ebendiese Weise
zuzugreifen. In 99% der Faelle wirst Du das fuer Deinen heimischen Rechner
nicht brauchen und auch nicht wollen.

Das entsprechende Programm heisst sshd (d fuer "daemon") und wird unter
Debian (als root) mit

                   /etc/rc.d/init.d/sshd start
oder
                   /etc/rc.d/init.d/sshd stop

gestartet bzw. gestoppt.

Die Generierung des oeffentlichen und privaten Schluessels erfolgt
automatisch beim ersten Start (oder gar schon bei der Installation)
auch dafuer ist keine extra Konfiguration erforderlich.

sshd laeuft - seit kurzem - unter dem Benutzer sshd. Daher wurde dieser
Benutzer bei Dir angelegt. Dies um die Anzahl der Prozesse die als
root (= Superuser) laufen klein zu halten und damit moegliche
Angriffspunkte im System abzubauen.

Dieser Benutzer hat kein Password, kann sich also nicht am System
anmelden und stellt somit auch kein Sicherheitsproblem dar
(im Gegenteil: er erhoeht die Sicherheit weil sshd nicht mehr
als root laufen muss).

Hi Chris,

OpenSSH hat 2 Bestandteile:

- den SSH Client brauchst Du um eine Shell (= Befehlszeilen Umgebung) auf
einem entfernten Server zu oeffnen. Dazu brauchst Du nur

                  ssh login(a)server.example.net

an der Befehlszeile einzugeben. Dannach kannst Du Befehle
direkt auf server.example.net ausfuehren.
Extra Konfiguration ist nicht erforderlich.

ssh erzeugt tatsaechlich automatisch ein /home/XY/.ssh Verzeichnis, wenn
Du es zum ersten Mal verwendest. Dort werden die oeffentlichen Schluessel
der Server bewahrt.

- den SSH Service (unter Unices "daemon" genannt) brauchst Du
um anderen Rechnern zu erlauben auf Deinem Rechner auf ebendiese Weise
zuzugreifen. In 99% der Faelle wirst Du das fuer Deinen heimischen Rechner
nicht brauchen und auch nicht wollen.

Das entsprechende Programm heisst sshd (d fuer "daemon") und wird unter
Debian (als root) mit

                  /etc/rc.d/init.d/sshd start
oder
                  /etc/rc.d/init.d/sshd stop

gestartet bzw. gestoppt.

Die Generierung des oeffentlichen und privaten Schluessels erfolgt
automatisch beim ersten Start (oder gar schon bei der Installation)
auch dafuer ist keine extra Konfiguration erforderlich.

sshd laeuft - seit kurzem - unter dem Benutzer sshd. Daher wurde dieser
Benutzer bei Dir angelegt. Dies um die Anzahl der Prozesse die als
root (= Superuser) laufen klein zu halten und damit moegliche
Angriffspunkte im System abzubauen.

Dieser Benutzer hat kein Password, kann sich also nicht am System
anmelden und stellt somit auch kein Sicherheitsproblem dar
(im Gegenteil: er erhoeht die Sicherheit weil sshd nicht mehr
als root laufen muss).

+++

Alle diese Dingen haben nichts direkt mit kppp zu tun. Kppp ist
ledlich eine von vielen Methoden um Deinen Rechner mit anderen
(in diesem Fall ueber's Modem und Internet) zu verbinden.

Zunächstmal Danke für die Erklärungen,

komischerweise hab ich auf meinem Rechner kein solches verzeichnis /home/XY/.ssh
obwohl ich anhand der laufenden Prozesse gesehen habe dass sowohl sshd als
auch ssh-agent läuft.
Noch ist mir auch nicht ganz klar geworden, ob in meinem Fall, wenn ich
mich mit dem Modem mit kppp einwähle nun eine sichere oder unsichere Verbindung
herstelle, sprich läuft ssh dazwischen oder nicht ?
Wenn ich mir die Prozesse ansehe dann sehe ich dass nachdem ich KDE2 starte
auch ssh-agent gestartet wird. Hat das irgendeine Bedeutung ?? Stellt nun
kppp eine sichere Verbindung her über ssh oder eben nicht ? wenn nicht dann
wäre es doch sinnvoller die Internetverbindung über ein Konsolenprogramm
vorzunehen wie "PON" ? oder bringt das auch nix ??

gruss und Danke
Uli

Hi Uli,

ich glaube Du hast Dich da mit ssh irgendwie verrennt.

komischerweise hab ich auf meinem Rechner kein solches verzeichnis /home/XY/.ssh
obwohl ich anhand der laufenden Prozesse gesehen habe dass sowohl sshd als
auch ssh-agent läuft.

/home/XY/.ssh wird angelegt wenn der Benutzer XY sich zum erstenmal
erfolgreich _mit_ _ssh_ auf einem entfernten Server einlogt.
Das hast Du vermutlich noch nie gemacht - als Durchschnittsbenutzer
hast Du vermutlich nirgendwo ein sogenanntes Shellaccount das dazu
noetig waere.

Noch ist mir auch nicht ganz klar geworden, ob in meinem Fall, wenn ich
mich mit dem Modem mit kppp einwähle nun eine sichere oder unsichere Verbindung
herstelle, sprich läuft ssh dazwischen oder nicht ?

Nochmals: ssh hat mit kppp direkt nichts zu tun.

PPP verbindet Deinen Rechner nur mit dem gateway Deines Providers -
fertig. ssh beeinflusst diese Verbindung in keinster Weise.

ssh ist eine Moeglichkeit eine shell auf einem entfernten Rechner
zu oeffnen - nicht mehr.

Wenn ich mir die Prozesse ansehe dann sehe ich dass nachdem ich KDE2 starte
auch ssh-agent gestartet wird. Hat das irgendeine Bedeutung ??

Ja, aber keine die in diesem Kontext fuer Dich interessant waere.

Stellt nun
kppp eine sichere Verbindung her über ssh oder eben nicht ?

Nein.

wenn nicht dann
wäre es doch sinnvoller die Internetverbindung über ein Konsolenprogramm
vorzunehen wie "PON" ? oder bringt das auch nix ??

Nein, das aendert nichts - beide (pon und kppp benutzen ppp).

Hallo Chris,

ich glaube Du hast Dich da mit ssh irgendwie verrennt.

verrennt nicht direkt aber ich wollte nur Klarheit :-))
Ach immer diese Anfänger :-))

komischerweise hab ich auf meinem Rechner kein solches verzeichnis /home/XY/.ssh
obwohl ich anhand der laufenden Prozesse gesehen habe dass sowohl sshd

als

auch ssh-agent läuft.

/home/XY/.ssh wird angelegt wenn der Benutzer XY sich zum erstenmal
erfolgreich _mit_ _ssh_ auf einem entfernten Server einlogt.
Das hast Du vermutlich noch nie gemacht - als Durchschnittsbenutzer
hast Du vermutlich nirgendwo ein sogenanntes Shellaccount das dazu
noetig waere.

In der Tat das habe ich noch nie.

Noch ist mir auch nicht ganz klar geworden, ob in meinem Fall, wenn ich
mich mit dem Modem mit kppp einwähle nun eine sichere oder unsichere

Verbindung

herstelle, sprich läuft ssh dazwischen oder nicht ?

Nochmals: ssh hat mit kppp direkt nichts zu tun.

ok nun verstanden

PPP verbindet Deinen Rechner nur mit dem gateway Deines Providers -
fertig. ssh beeinflusst diese Verbindung in keinster Weise.

ssh ist eine Moeglichkeit eine shell auf einem entfernten Rechner
zu oeffnen - nicht mehr.

Wenn ich mir die Prozesse ansehe dann sehe ich dass nachdem ich KDE2

starte

auch ssh-agent gestartet wird. Hat das irgendeine Bedeutung ??

Ja, aber keine die in diesem Kontext fuer Dich interessant waere.

Stellt nun
kppp eine sichere Verbindung her über ssh oder eben nicht ?

Nein.

wenn nicht dann
wäre es doch sinnvoller die Internetverbindung über ein Konsolenprogramm
vorzunehen wie "PON" ? oder bringt das auch nix ??

Nein, das aendert nichts - beide (pon und kppp benutzen ppp).

+++

Eine sichere (gemeint ist abhoersichere) Verbindung erreichtst Du indem

Du

https anstatt http benutzt oder ssh anstatt telnet oder eben secureX
anstatt X. Dabei muessen jeweils beide Rechner diese Protokolle auch
unterstuezen!

kppp ist eine Schicht darunter. Ein securePPP haette keinen (sehr wenig)
Sinn. Du haettest eine abhoersichere Verbindung nur bis zum ersten
Hop, dannach nicht mehr.

Also nochmals besten Dank :slight_smile:

servus
uli

Ach immer diese Anfänger :-))

Dafuer ist die Liste ja da.
Wir sind alle irgendwo Anfanger :wink:

bye, Chris.