Anleitung für "ipput"

1. Verzeichnis

   "ipput" sollte im Verzeichnis "/root/bin" abgelegt werden, dann (als "root")

   	chown root:root /root/bin/ipput
   	chmod 700 /root/bin/ipput

2. Daten

   "root" muss jetzt mit dem Editor seiner Wahl (z.B. "midnight commander" mc) die Zugangsdaten eintragen:

   # Hier die richtige ftp-Adresse des Providers 
   # und die passenden Zugangsdaten eingeben 
   #
   # REMOTESYS=PROVIDER
   REMOTESYS=
   # Dort=ZIELVERZEICHNIS
   Dort=
   # User=USER
   User=
   # Passwort=PASSWORT
   Passwort=
   #
   # deswegen darf das Skript nicht von jedermann gelesen werden können
   Hier=/tmp
   Datei=index.html
   Ftp=lftp
   #Ftp=sftp
   # Ftp=ftp
   # Ftp=pftp
   #

   Die rot markierten Zeilen sind auszufüllen, im grün markierten Bereich ist eines der Verfahren auszuwählen.
   Grundsätzlich: was nach "#" steht, gilt als Kommentar.

   Zielverzeichnis Dort

   • Homeverzeichnis bei einem Provider (http://provider.de/~hullen)
     Das Zielverzeichnis beginnt nach dem Namen des Homeverzeichnisses
   • eigene Domäne (http://hullen.de)
     Das Zielverzeichnis beginnt nach dem Domänennamen

3. Verbindungsart

   • lftp
   • sftp
   • ftp

4. Probelauf

   	bash -x /root/bin/ipput

   muss insgesamt ohne Störungen durchlaufen.

   Wenn es irgendwo beim FTP-Zugang hakt: probieren Sie (mit den tatsächlichen Daten) den Ablauf aus, der am Ende des Skripts eingetragen ist.

   Es kann sein, dass Ihr Provider nur "sftp" oder nur "passives FTP" erlaubt; ich pflege dann der Reihe nach verschiedene Verfahren durchzuprobieren.
   "puretec" beispielsweise erlaubt nur "sftp".

5. Cronjob

   Am einfachsten lässt sich das Programm per Cron-Job regelmässig ausführen

   	crontab -e -u root

   Eingabe:

   	-12 * * * * 	/root/bin/ipput

   Dann wird stündlich in der 12. Minute der Job ausgeführt, und das Minus-Zeichen am Zeilenanfang sorgt dafür, dass i.a. keine Meldungen in "/var/log/messages" erscheinen.

6. Einbau in "inet-on"

   Statt des Cronjobs funktioniert natürlich auch die Anleitung von Thomas Litsch, sie erfordert allerdings mehr Eingriffe.

7. "sftp" mit automatischer Einwahl

   Statt einer eigenen Anleitung:

   Empfaenger  : /fido/ger/linux
   Absender    : jjj at gmx.de  (Jan Kandziora)
   Betreff     : Re: Verbinden zu einem fernen Rechner ohne Passwort
   Datum       : Fr 24.12.04, 21:08  (erhalten: 24.12.04, 21:33)
   ----------------------------------------------------------------------
   Michael Heuer schrieb:
   
   > Hallo zusammen
   > 
   > Ich versuche mich zu meinem Server per ssh zu verbinden, jedoch ohne
   > Passworteingabe. Stattdessen will ich eine Authentifizierung über
   > Schlüssel.
   >
   Die einfachste Methode ist:
   
   1. Schlüssel erzeugen mit "ssh-keygen -tdsa". Er landet automatisch in der
   richtigen Datei.
   2. ssh-agent starten mit "eval $(ssh-agent)"
   3. "ssh-add" benutzen, um dem Agent die Identität hinzuzufügen. Passphrase
   des Schlüssels wird verlangt.
   4. "ssh-copy-id user@host" benutzen, um den Public-Key auf den entfernten
   Host zu kopieren. Hier wird letztmalig nach dem User-Passwort auf dem
   entfernten Host gefragt.
   5. "ssh user@host" funktioniert jetzt auch ohne User-Passwort.
   -- 
   Jan
   

   Weitere Anleitungen:
   • Lars Rupp
     sehr ausführlich, für Linux und für "putty"
   • Wikipedia
   • http://www.debian.org.ru/devel/passwordlessssh.de.html
   • http://www.math.tu-berlin.de/Rechnerbetrieb/Forschungsbereich/Dienste/keygen.html
   • http://projectdream.org/publications/ssh.html
   • Medienzentrum Oberberg
   • Steffen Barth
   • ausf. Anleitung für "putty"
   • http://www.linux-fuer-alle.de/doc_show.php?docid=233&catid=15
   • http://page.mi.fu-berlin.de/~kutz/sshkey.html
   • http://www.informatik.hu-berlin.de/~vitt/doc/ssh/

8. "ssh"-Einwahl für "root" verbieten

   Es gibt Idioten, die (z.B. von fernöstlichen oder südamerikanischen Rechnern aus) fortgesetzt versuchen, in Ihren Rechner einzudringen. Auch "ssh" schreckt sie nicht. Wenn Sie ein wenig mehr Sicherheit haben wollen, dann sollten Sie den "ssh"-Dämon so einstellen, dass sich auch darüber niemand als "root" einloggen kann.

   Bei "OpenSSH 3.8.1p1" (und neuer) funktioniert insgesamt sehr zuverlässig:

   • in "/etc/ssh/sshd_config"

     	PermitRootLogin without-password

   • Dann

     	/etc/init.d/ssh stop
     	/etc/init.d/ssh start

   • Dann kann sich natürlich auch im LAN niemand als "root" per SSH mit Passworteingabe über die Tastatur einloggen

   Per "telnet" sollte das sowieso abgeblockt sein - jedenfalls für Zugriffe von draussen