Piwik ist eine freie Alternative zu Google Analytics und anderen Diensten, welche Statistiken über die Besucher von Websiten erstellen. In diesem Beitrag beschreibe ich wie Piwik unter Ubuntu Linux 16.04 Server mit nginx und MariaDB/MySQL installiert und konfiguriert werden kann.
WeiterlesenSchlagwort: Ubuntu Linux 16.04
nginx unter Ubuntu Linux 16.04 Server mit sicherer SSL Konfiguration, PHP und MariaDB oder MySQL installieren und konfigurieren
In diesem Beitrag beschreibe ich wie unter Ubuntu Linux 16.04 Server ein nginx Webserver mit sicherer SSL Konfiguration, PHP und MariaDB oder MySQL Unterstützung installiert und konfiguriert werden kann.
Installation
nginx
nginx ist in den offiziellen Paketquellen von Ubuntu 16.04 vorhanden und kann somit einfach über apt-get installiert werden.
$ sudo apt-get install nginx
PHP
PHP kann auch einfach über die offiziellen Paketquellen installiert werden.
$ sudo apt-get install php-fpm
MariaDB / MySQL
Wie ein MariaDB bzw. MySQL Server installiert und konfiguriert werden kann habe ich im Beitrag MySQL oder MariaDB unter Ubuntu Linux 16.04 installieren und konfigurieren beschrieben. Hier geht es darum PHP eine Verbindung zur Datenbank zu ermöglichen. Dazu kann einfach das entsprechende Paket aus den offiziellen Paketquellen installiert werden.
$ sudo apt-get install php-mysql
Konfiguration
PHP & MariaDB bzw. MySQL
PHP und MariaDB bzw. MySQL kann einfach zusammen konfiguriert werden. Für PHP muss die Datei /etc/php/7.0/fpm/php.ini angepasst werden. Dabei sollte folgende Zeile auskommentiert und der Wert auf 0 gesetzt werden.
[...] cgi.fix_pathinfo=0 [...]
Anschließend muss php-fpm noch neu geladen werden – dies aktiviert auch die MySQL Unterstützung.
$ sudo /etc/init.d/php7.0-fpm reload
[ ok ] Reloading php7.0-fpm configuration (via systemctl): php7.0-fpm.service.
Damit sollte PHP mit MariaDB bzw. MySQL Unterstützung funktionieren.
PHP testen
Nun sollte kurz getestet werden das PHP auch tatsächlich funktioniert. Dazu muss zunächst die Konfiguration der nginx Standardseite (/etc/nginx/sites-available/default) angepasst werden. Es müssen vor folgenden Zeilen die Kommentarzeichen entfernt werden.
location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass unix:/run/php/php7.0-fpm.sock; }
Anschließend muss noch die nginx Konfiguration neu geladen werden, damit die Änderungen wirksam werten. Vorher sollte getestet werden, dass die Konfiguration keine Fehler enthält.
$ sudo nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful $ sudo /etc/init.d/nginx reload [ ok ] Reloading nginx configuration (via systemctl): nginx.service.
Nun kann einfach eine Datei phpinfo.php mit nachfolgendem Inhalt im Verzeichnis der Standardwebsite (/var/www/html/) angelegt werden.
<?php phpinfo(); ?>
Abschließend kann die Datei einfach über den Webbrowser aufgerufen werden (z.B. über http://example.com/phpinfo.php). Die Ausgabe sollte folgendermaßen aussehen.
nginx
Nach der Installation muss nginx noch konfiguriert werden. Dies ist etwas aufwendiger als für PHP oder MySQL. Die Hauptkonfigurationsdatei ist /etc/nginx/nginx.conf. Die Konfiguration der einzelnen Seiten befindet sich im Verzeichnis /etc/nginx/sites-available/ und die Konfiguration der aktuell aktivierten Seiten im Verzeichnis /etc/nginx/sites-enabled/.
/etc/nginx/nginx.conf
Schauen wir uns zuerst die Hauptkonfigurationsdatei genauer an.
Zu Beginn werden generelle Parameter festgelegt.
- user definiert den Linux Benutzer unter dem nginx laufen soll. www-data ist der Standardnutzer unter dem Webserver unter Debian/Ubuntu laufen.
- worker_processes ist die Anzahl der nginx Prozesse. auto versucht den besten Wert automatisch zu finden.
- pid ist zur Kommunikation mit dem Betriebssystem und sollte auch bei dem Standardwert (\run\nginx.pid) belassen werden.
- woker_connections innerhalb von events definiert die maximale Anzahl von Verbindungen pro nginx Prozess (768 ist der Standardwert).
user www-data; worker_processes auto; pid /run/nginx.pid; events { worker_connections 768; # multi_accept on; } [...]
Der nächste Block (http) definiert die Parameter für die eigentlichen Verbindungen.
- Basiseinstellungen
- sendfile, tcp_nopush und tcp_nodelay erhöhen die Performance von nginx
- keepalive_timeout definiert die Zeit in Sekunden zu welcher eine Verbindung vom Webserver geschlossen wird. Danach muss eine neue TCP und TLS Verbindung aufgebaut werden.
- types_hash_max_size beschleunigt hashtable lookups
- server_tokens gibt an ob nginx seine Version als Antwort mitsenden soll oder nicht
- include /etc/nginx/mime.types lädt die mime Typen
- defaul_type setzt den zu verwendenden Standardtyp
- SSL (Die hier verwendeten Parameter orientieren sich an dem Beitrag Strong SSL Security on nginx)
- ssl_protocols erlaubt nur TLS in Version 1.0, 1.1 oder 1.2.
- ssl_ciphers erlaubt nur Algorithmen mit Perfect Forward Security. Das bedeutet, dass auch wenn später der Private Key kompromittiert wurde die alten Verbindungen nicht entschlüsselt werden können.
- ssl_prefer_server_ciphers sagt das die Algorithmenpreferenz des Servers und nicht des Clients verwendet werden soll.
- ssl_session_cache definiert, dass es einen 10 MB Cache gibt in welchem Verbindungsinformationen zwischengespeichert werden. Dies erlaubt es bei Wiederaufnahme einer Verbindung einige Schritte im Verbindungsaufbau zu sparen.
- ssl_dhparam verweist auf selbst generierte EECDH/EDH Parameter welche verwendet werden sollen. Sie sind länger als die Standardmäßig verwendeten Parameter. Wie diese generiert werden beschreibe ich weiter unten.
- ssl_stapling und ssl_stapling_verify sagt das der Server Informationen über die Gültigkeit des Zertifikates überprüfen und beim Verbindungsaufbau an den Client schicken soll.
- ssl_ecdh_curve spezifiziert die Kurve welche für ECDHE verwendet werden soll. Die hier angegebene Kurve verwendet längere Schlüssel als die standardmäßig verwendete.
- ssl_session_tickets deaktiviert Session Tickets, da diese Forward Security aushebeln können.
- Header
- add_header X-Content-Type-Options verbietet mime-sniff in Chrome und Internet Explorer
- add_header X-Frame-Options verbietet es die Website auf einer anderen Domain in einem frame oder iframe zu laden.
- Logging
- access_log legt fest in welcher Datei alle Zugriffe geloggt werden sollen
- error_log legt fest in welcher Datei alle Fehlermeldungen geloggt werden sollen
- Gzip
- gzip setzt ob gzip aktiviert werden soll oder nicht. Da all meine Webseiten nur per TLS erreichbar sind und gzip mit TLS ein Sicherheitsrisiko darstellt habe ich es deaktiviert.
- Vitual Host Konfigurationen
- Lädt zusätzliche Konfigurationsdateien aus dem Unterordner conf.d sowie die aktiven Seiten im Unterordner sites-enabled.
[...] http { ## # Basic Settings ## sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65; types_hash_max_size 2048; server_tokens off; include /etc/nginx/mime.types; default_type application/octet-stream; ## # SSL Settings ## ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_stapling on; ssl_stapling_verify on; ssl_ecdh_curve secp384r1; ssl_session_tickets off; ## # Header ## add_header X-Content-Type-Options nosniff; add_header X-Frame-Options "SAMEORIGIN"; ## # Logging Settings ## access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log; ## # Gzip Settings ## gzip off; ## # Virtual Host Configs ## include /etc/nginx/conf.d/*.conf; include /etc/nginx/sites-enabled/*; }
dhparam generieren
Da ich längere Parameter verwenden möchte als die Standardkonfiguration müssen die dhparam selber generiert werden. Dies kann wie nachfolgend beschrieben im Terminal erledigt werden – es kann einige Minuten dauern bis der Befehl zum Generieren erfolgreich ausgeführt wurde.
$ cd /etc/ssl/certs
$ sudo openssl dhparam -out dhparam.pem 4096
Generating DH parameters, 4096 bit long safe prime, generator 2
This is going to take a long time
......................................................................+.................................................................................................................................................................................................................................................................................................................+.......................................................................................+........................+............................................................................................+........................+........................................................................................................................................................................................................................................................................................................................+...................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................+.........................................................................................................................................+..............................................................+....................................................................................................................................................+................................................................................................................................................................................................................................................................................................................................................................................................................................................................+...............................................................................................................................................+....
[...]
Konfiguration für eine neue Seite erstellen
Die Konfigurationsdateien der einzelnen Seiten befinden sich im Verzeichnis /etc/nginx/sites-available/. Ich verwende immer nachfolgendes Template als Basis für meine PHP-Seiten. Die Konfiguration leitet HTTP Verbindungen automatisch auf verschlüsselte HTTPS Verbindungen um. Parameter wie der Domainname, Pfad zum SSL-Zertifikat und das Verzeichnis müssen natürlich für jede Website angepasst werden.
Die Konfiguration besteht aus zwei server Blöcken. Einer für Port 80 (HTTP) und einer für Port 443 (HTTPS).
Die Konfiguration des ersten server Blocks (HTTP)
- listen gibt an auf welchen IP-Adressen und Ports die Website reagieren soll. 80 sagt aus, dass über alle verfügbaren IPv4 Adressen Verbindungen auf Port 80 akzeptiert werden sollen. [xxx:xxx:xxx::42]:80 sagt aus, dass die Website via IPv6 nur über die IP-Adresse xxx:xxx:xxx::42 und Port 80 erreichbar ist. Falls die Konfiguration als Standard verwendet werden soll, falls keine andere zur Anfrage passt, muss jeweils hinter der 80 noch default_server ergänzt werden.
- server_name gibt die Domain an, für welche die Konfiguration gilt.
- return leitet auf eine andere Website weiter. In diesem Fall mittels 301 (Dauerhaft Verschoben) auf die verschlüsselte Verbindung (HTTPS).
Die Konfiguration des zweiten Blocks (HTTPS). Die Pfade zum SSL Zertifikat bzw. dem zugehörigen privaten Schlüssel entsprechen denen, wenn Let’s Encrypt mit certbot verwendet wird. Wie dies Konfiguriert wird habe ich im Beitrag Let’s Encrypt SSL Zertifikate unter Ubuntu Linux 16.04 Server mittels nginx und webroot Plugin beziehen beschrieben.
- listen ist identisch wie für den ersten Block außer das der Block auf Port 443 hört und nicht 80.
- server_name gibt wie beim ersten Block die Domain an, für welche die Konfiguration gilt.
- ssl_certificate gibt den Pfad zum SSL Zertifikat der Website an.
- ssl_certificate_key gibt den Pfad zum Privaten Schlüssel des SSL Zertifikats der Website an.
- add_header Strict-Transport-Security sagt dem Client, dass er die Website nur über HTTPS aufrufen soll und dies auch für alle Subdomains gilt. An dieser Stelle muss man vorsichtig sein und prüfen ob dies auch wirklich für alle Subdomains gilt. Außerdem sagt max-age für wie lange diese Einstellung gilt. Innerhalb dieser Zeit leitet der Browser den Besucher automatisch auf HTTPS weiter. Das heißt es ist nicht einfach möglich HTTPS abzuschalten, sondern benötigt eine Vorlaufzeit. Der Wert 63072000 entspricht 2 Jahren. Zum Testen sollte ein niedriger Wert wie z.B. 300 (5 Minuten) verwendet werden, welcher langsam erhöht wird. Es kann auch beantragt werden diese Einstellung fest in die gängigsten Browser aufzunehmen. Details dazu gibt es auf der Website der HTST Preload List.
- root gibt das Verzeichnis an, in dem die Website liegt.
- index gibt den Dateinamen der Datei an, welche angezeigt werden soll, falls ein Verzeichnis als URL angegeben wurde. Damit dies geschieht muss eine Datei mit diesem Namen in dem angefragten Verzeichnis vorhanden sein.
- location \ sagt, dass zuerst nach einer Datei mit dem angefragten Namen gesucht werden soll, anschließend ob ein Verzeichnis mit dem Namen existiert. Falls beides nicht existiert wird ein 404 Fehler zurückgegeben.
- location ~ \.php$ leitet PHP-Dateien an den Interpreter weiter.
- include snippets/certbot-webroot.conf lädt die Konfigurationsparameter zur Aktualisierung der Let’s Encrypt Zertifikate wie im Beitrag Let’s Encrypt SSL Zertifikate unter Ubuntu Linux 16.04 Server mittels nginx und webroot Plugin beziehen beschrieben.
server { listen 80; listen [xxx:xxx:xxx::42]:80; server_name example.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; listen [xxx:xxx:xxx::42]:443 ssl; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; add_header Strict-Transport-Security "max-age=63072000; includeSubdomains;"; root /var/www/com.example; index index.php; location / { # First attempt to serve request as file, then # as directory, then fall back to displaying a 404. try_files $uri $uri/ =404; } # pass the PHP scripts to FastCGI server location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass unix:/run/php/php7.0-fpm.sock; } # snippet for updating letsencrypt certificates include snippets/certbot-webroot.conf; }
Nun muss noch das Verzeichnis für die Webseitendaten erstellt werden.
$ sudo mkdir -p /var/www/com.example
Neue Seite aktivieren
Um die Konfiguration einer Seite im Verzeichnis /etc/nginx/sites-available/ zu aktivieren muss ein Symmetrischer Link zu dieser Datei im Verzeichnis /etc/nginx/sites-enabled angelegt werden.
$ sudo ln -s /etc/nginx/sites-available/com.example /etc/nginx/sites-enabled/
Konfiguration übernehmen
Nachdem die Konfiguration wie oben beschrieben geändert wurde muss sie nur noch von nginx neu geladen werden. Bevor sie geladen wird sollte allerdings noch geprüft werden, ob sie Fehler enthält.
$ sudo nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful $ sudo /etc/init.d/nginx reload [ ok ] Restarting nginx (via systemctl): nginx.service.
Nun kann noch die Seite des Qually Labs SSL Tests aufgerufen werden, welches die verwendete Sicherheitsverfahren und Algorithmen von Webservern prüft und bewertet. Wenn alles wie oben beschrieben konfiguriert wurde sollte die Bewertung A+ sein, was der Best möglichen Bewertung entspricht.
Let’s Encrypt SSL Zertifikate unter Ubuntu Linux 16.04 Server mittels nginx und webroot Plugin beziehen
Let’s Encrypt stellt kostenfreie SSL Zertifikate aus, welche von den gängigen Betriebssystemen und Browsern akzeptiert werden. Diese sind jeweils nur 90 Tage gültig und müssen daher regelmäßig erneuert werden. Damit dies nicht immer manuell geschehen muss gibt es Tools welche diesen Vorgang automatisieren. Das offizielle Tool dafür ist certbot. In diesem Beitrag beschreibe ich wie unter Ubuntu Linux 16.04 Server mit nginx, certbot und dem webroot Plugin Zertifikate für Webseiten angefragt und automatisch erneuert werden können.
WeiterlesenMySQL oder MariaDB Datenbank über das Terminal löschen
Falls man eine bestehende MySQL oder MariaDB Datenbank mit einem zugehörigen User löschen möchte und kein Grafisches Administraiontstool wie phpMyAdmin zur Verfügung steht kann dies auch ganz einfach über das Terminal erledigt werden.
Zuerst muss man sich ins Datenbanksystem einloggen. Dabei authentifiziert man sich über das Passwort des Datebankbenutzers root.
$ mysql -p > Enter password: Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 51 Server version: 10.0.29-MariaDB-0ubuntu0.16.04.1 Ubuntu 16.04 Copyright (c) 2000, 2016, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
Zuerst lassen wir uns alle Benutzer anzeigen.
> MariaDB [(none)]> SELECT User,Host FROM mysql.user; +--------------+-----------+ | User | Host | +--------------+-----------+ | myseconduser | localhost | | myuser | localhost | | root | localhost | +--------------+-----------+ 3 rows in set (0.00 sec)
Wir möchten den Benutzer myuser löschen, da er zur Datenbank gehört die wir löschen möchten.
> MariaDB [(none)]> DROP USER 'myuser'@'localhost'; Query OK, 0 rows affected (0.00 sec)
Nun überprüfen wir, ob der Benutzer wirklich gelöscht wurde indem wir uns nochmals alle Benutzer anzeigen lassen.
> MariaDB [(none)]> SELECT User,Host FROM mysql.user; +--------------+-----------+ | User | Host | +--------------+-----------+ | myseconduser | localhost | | root | localhost | +--------------+-----------+ 2 rows in set (0.00 sec)
Der Benutzer wird nicht mehr gelistet und ist daher erfolgreich gelöscht worden.
Nun lassen wir uns alle Datenbanken ausgeben.
> MariaDB [(none)]> SHOW DATABASES; +--------------------+ | Database | +--------------------+ | information_schema | | mydatabase | | myseconddatabase | | mysql | | performance_schema | +--------------------+ 5 rows in set (0.00 sec)
Wir möchten die Datenbank mydatabase löschen.
> MariaDB [(none)]> DROP DATABASE mydatabase; Query OK, 0 rows affected (0.00 sec)
Nun überprüfen wir, ob die Datenbank wirklich gelöscht wurde.
> MariaDB [(none)]> SHOW DATABASES; +--------------------+ | Database | +--------------------+ | information_schema | | myseconddatabase | | mysql | | performance_schema | +--------------------+ 4 rows in set (0.00 sec)
Da die Datenbank nicht mehr gelistet wird wurde sie erfolgreich gelöscht.
Abschließend kann die Konsole des Datenbanksystems verlassen werden.
> MariaDB [(none)]> quit Bye
MySQL oder MariaDB Datenbank über das Terminal erstellen
Falls man eine neue MySQL oder MariaDB Datenbank mit einem zugehörigen User erstellen möchte und kein Grafisches Administraiontstool wie phpMyAdmin zur Verfügung steht kann dies auch ganz einfach über das Terminal erledigt werden.
Zuerst muss man sich ins Datenbanksystem einloggen. Dabei authentifiziert man sich über das Passwort des Datebankbenutzers root.
$ sudo mysql -p > Enter password: Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 51 Server version: 10.0.29-MariaDB-0ubuntu0.16.04.1 Ubuntu 16.04 Copyright (c) 2000, 2016, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
Jetzt kann dir neue Datenbank (mydatabase) erstellt werden
> MariaDB [(none)]> create database mydatabase; Query OK, 1 row affected (0.00 sec)
Jetzt lassen wir uns alle Datenbanken ausgeben – Hier sollte die gerade erstellte bereits auftauchen.
> MariaDB [(none)]> SHOW DATABASES; +--------------------+ | Database | +--------------------+ | information_schema | | mydatabase | | mysql | | performance_schema | +--------------------+ 4 rows in set (0.00 sec)
Als nächstes muss ein dazugehöriger Benutzer (myuser) angelegt und ihm die Rechte an der Datenbank gegeben werden. Als Passwort sollte auch hier ein sicheres gewählt werden. Ich erstelle immer für jede Datenbank einen neuen Benutzer mit einem individuellen Passwort. So können die Auswirkungen begrenzt werden, falls jemand drittes Zugriff auf einen Benutzer mit Passwort bekommt.
> MariaDB [(none)]> grant all privileges on mydatabase.* to 'myuser'@'localhost' identified by "mySecurePassword"; Query OK, 0 rows affected (0.00 sec)
Auch hier sollte der Benutzer bereits angezeigt werden, wenn wir uns alle Benutzer ausgeben lassen.
> MariaDB [(none)]> SELECT User,Host FROM mysql.user; +--------+-----------+ | User | Host | +--------+-----------+ | myuser | localhost | | root | localhost | +--------+-----------+ 2 rows in set (0.00 sec)
Nun müssen noch die Rechte geschrieben werden.
> MariaDB [(none)]> flush privileges; Query OK, 0 rows affected (0.01 sec)
Abschließend kann die Konsole des Datenbanksystems verlassen werden.
> MariaDB [(none)]> quit Bye
Jetzt kann mit dem neu erstellten Benutzer auf die angelegte Datenbank zugegriffen werden.
MySQL oder MariaDB unter Ubuntu Linux 16.04 installieren und konfigurieren
HINWEIS: Eine Aktualisierte Version dieses Beitrages für Ubuntu 20.04 ist >hier< verfügbar
Ich verwende aktuell MariaDB als Datenbanksystem, was aus einem Fork von MySQL entstanden und weiterhin dazu kompatible ist. Es besitzt aber einige zusätzlichen Features. Ich möchte hier nichts über die Vor- und Nachteile zu PostgreSQL oder MySQL schreiben. Jede dieser Datenbanksysteme hat seine Daseinsberechtigung und jeder muss selbst entscheiden welches er einsetzt und ich habe mich aktuell für MariaDB entschieden. Die folgende Anleitung beschreibt wie MariaDB installiert und konfiguriert werden kann. Die Anleitung sollte auch 1:1 mit MySQL funktionieren.
WeiterlesenHostname eines Ubuntu Linux 16.04 Servers ändern
HINWEIS: Eine Aktualisierte Version dieses Beitrages für Ubuntu 20.04 Server ist >hier< verfügbar
Der Hostname eines Computers dient dazu ihn zu identifizieren. Er kann meist bei der Installation festgelegt werden. Wird allerdings ein fertiges Image auf den Server gespielt ist oft einen Standardhostname wie Beispielsweise Ubuntu-1604-xenial-64-minimal gesetzt. Der erste Teil dieses Hostnamens (bis zum ersten Punkt) wird auch immer im Terminal hinter dem username@ angezeigt. Um den Computer besser zuordnen zu können kann der Hostname geändert werden. In diesem Artikel erkläre ich wie dies gemacht werden kann.
WeiterlesenNützliche Tools für Ubuntu Linux 16.04 Server
HINWEIS: Eine Aktualisierte Version dieses Beitrages für Ubuntu 20.04 Server ist >hier< verfügbar
Bevor ich damit starte einen neuen Ubuntu Server richtig zu nutzen installiere ich immer erst folgende Tools, welche mir die normale Arbeit enorm erleichtern.
WeiterlesenSichere SSH Konfiguration
In diesem Beitrag erläutere ich meine SSH Konfiguration für Server und Clients. Ich erkläre außerdem wie man sie einrichtet. Sie schränkt die erlaubten kryptographischen Algorithmen auf als sicher geltende ein. Meine Auswahl der Algorithmen basiert auf dem Artikel Secure Secure Shell.
Ich beschreibe zuerst die verschiedenen verwendeten Optionen und wie man sie Konfiguriert. Am Ende habe ich nochmal die kompletten Konfigurationsdateien zum einfachen kopieren eingefügt.
Bei der Konfiguration muss extrem vorsichtig vorgegangen werden, da man sich u.U. auch komplett vom Server aussperren kann. Ich übernehme dafür keine Haftung.
WeiterlesenSSH Authentifizierung mittels Public-Keys
Authentifizierung über Public Keys ist die Bezeichnung dafür, dass für das Anmelden an einem SSH Server kein Passwort, sondern ein Kryptographischer Schlüssel verwendet wird, welcher lokal auf dem PC gespeichert ist. Die dazu verwendeten Schlüssel bestehen aus zwei Teilen, einem öffentlichen und einem privaten Teil. Der öffentliche Teil ist kein Geheimnis und wird z.B. auch auf dem Server abgelegt. An Angreifer, welcher in Besitz dieses öffentlichen Teils des Schlüssels gelangt, kann nichts damit anstellen. Der private Teil hingegen muss immer sicher gespeichert und darf nicht weitergegeben werden. Mit ihm ist es möglich sich am Server anzumelden.
Weiterlesen