root-Zugang per SSH

Warnung

Für den normalen Gebrauch wird kein direkter Zugang oder SSH-Zugang als root benötigt. Für alle Veränderungen die Sie per root am Server vornehmen sind Sie selbst verantwortlich. Sollte der Server danach nicht mehr ordnungsgemäß funktionieren, so ist dies nicht mehr von unserem Supportrahmen abgedeckt. Alle Eingaben auf der Konsole werden in entsprechenden Logdateien protokolliert.

Der SSH-Login mit root-Benutzerkonto und Passwort ist auf Ihrem IServ im Normalfall aus Sicherheitsgründen deaktiviert. Sie können den Login temporär aus dem LAN aktivieren. Dazu rufen Sie iservcfg auf der Konsole auf. Diese Option wird nach 24 Stunden automatisch deaktiviert.

Diese Anleitung bezieht sich auf die Verwendung von Windows und den Einsatz der folgenden Programme:

PuTTY und PuTTYgen von https://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

WinSCP von https://winscp.net/eng/download.php.

Notepad++ von https://notepad-plus-plus.org/download.

Laden Sie diese bitte auf Ihren Computer herunter und installieren sie entsprechend.

Schlüssel erstellen

  • Das Programm PuTTYgen starten.

  • Unten im Kasten Parameters den Schlüsseltyp ED25519 auswählen.

  • Generate anklicken.

  • Maus zufällig im grauen Feld bewegen bis der grüne Fortschrittsbalken voll ist.

  • Bei Key comment die eigene E-Mail-Adresse eintragen (z. B. vorname.nachname@iserv.eu).

  • Bei Key passphrase und Confirm passphrase ein langes und sicheres Passwort eingeben.

  • Das erzeugte Schlüsselpaar mit Save private key und Save public Key in einem Ordner speichern, auf den nur der eigene Benutzer Zugriff hat. Der private Schlüssel sollte nicht auf einem Server gespeichert werden. Im Verlustfall kann mit wenig Aufwand ein neuer erstellt werden. Vergeben Sie für den öffentlichen Schlüssel einen Namen wie public.key.

  • Speichern Sie den öffentlichen Schlüssel im OpenSSH-Format (ssh-ed25519 ... vorname.nachname@iserv.eu) im Kasten unter der Überschrift „Public Key for pasting into OpenSSH authorized_keys file“ in eine separates Textdokument ab.

Schlüssel kopieren

Der öffentliche Schlüssel im OpenSSH-Format muss auf den Server unter /root/.ssh/ in die Datei authorized_keys eingefügt werden. In der Datei können schon öffentliche Schlüssel vorhanden sein. Überschreiben Sie die Datei auf keinen Fall, sondern fügen den Key dem Inhalt unten hinzu. Gehen Sie dabei wie folgt vor:

Wenn Sie den root-Zugang temporär aus dem LAN erlaubt und für das root-Konto per Bootmenü ein root-Passwort festgelegt haben, dann können Sie jetzt mit Hilfe von WinSCP den Schlüssel auf dem Server eintragen. Alternativ können Sie auch den Schlüssel in Ihr Homeverzeichnis auf dem IServ kopieren und dann physisch am Server über die Konsole den SSH-Schlüssel an die richtige Stelle kopieren. Haben Sie Ihren SSH-Schlüssel im OpenSSH-Format in die Datei ssh.pub abgespeichert, so genügt es auf dem Server als root folgenden Befehl auszuführen: cat /home/vorname.nachname/Files/ssh.pub >> /root/.ssh/authorized_keys.

Ansonsten öffnen Sie nun WinSCP.

Wählen Sie dann im Menü Sitzung -> Verbindungsziele -> Verbindungsziel-Verwaltung aus.

  • Sofern nicht markiert, markieren Sie in dem neuen Fenster auf der linken Seite Neues Verbindungsziel.

  • Tragen Sie bei Rechnername: die Adresse ihres Portalservers ein.

  • Tragen Sie bei Benutzername: root und bei Kennwort das zugehörige Passwort ein.

  • Klicken Sie dann auf Anmelden.

WinSCP baut nun eine Verbindung zu Ihrem Server auf. Sobald dies erfolgreich war, haben Sie im Hauptfenster von WinSCP auf der linken Seite das Dateisystem ihres lokalen Rechners und auf der rechten Seite das Dateisystem des Servers. Auf der rechten Seite navigieren Sie in das Verzeichnis /root. Dort angekommen drücken Sie oben auf den Pfad /root. Ein neues Fenster erscheint. Ersetzen Sie dort den Pfad mit /root/.ssh und bestätigen Sie den Dialog. Hier bearbeiten Sie nun die Datei mit dem Namen authorized_keys und fügen den öffentlichen Schlüssel im OpenSSH-Format ganz unten an die Datei an. Sollte die Datei authorized_keys nicht exestieren, so können Sie diese leer anlegen.

Schlüssel laden

  • Das Programm Pageant starten.

  • Das Programm wird rechts unten im Icon-Tray neben der Systemuhr angezeigt. Ggf. auf das kleine Dreieck klicken, um alle Symbole anzuzeigen. Das Icon muss doppelt angeklickt werden.

  • Mit Add Key das eben abgespeicherte Schlüsselpaar laden. Dazu wird das oben vergebene Passwort abgefragt.

  • Das Fenster mit Close schließen.

Da der Schlüssel bei jedem Neustart des Rechners erneut geladen werden muss empfiehlt es sich, Pageant per Autostart beim Starten des Rechners direkt mit starten zu lassen. Ab Windows 7 können Sie dies folgendermaßen einrichten:

Drücken Sie Windows + r und geben dann shell:startup ein. Damit wird der Autostartordner geöffnet. Kopieren Sie nun eine Verknüpfung zu Pageant in diesen Ordner. Klicken Sie die erzeugte Verknüpfung mit der rechten Maustaste an und wählen Eigenschaften aus. Tragen Sie nun in der Zeile Ziel zusätzlich den zuvor erstellten Private Key samt Pfad ein. Als Beispiel: c:\Users\vorname.nachname\private.ppk wobei Sie `vorname.nachname durch den entsprechenden Benutzernamen ersetzen. Sind im Pfad Leerzeichen enthalten müssen Sie den Eintrag mit „“ umschließen. Schließen Sie das Fenster dann mit einem Klick auf OK. Hiermit haben Sie Pageant als Autostart angelegt und der Key wird direkt mitgeladen. Beim Starten des Rechners fordert Pageant Sie auf, Ihr zuvor selbst erstelltes Passwort einzugeben.

Fernwartung

  • Pageant starten und Key laden, sofern Sie Pageant nicht wie oben beschrieben als Autostart eingerichtet haben.

  • Das Programm PuTTY starten.

  • Links unter Category Session auswählen und dann folgende Daten eintragen:

    • Unter Hostname (or IP address) die Adresse des Portalservers eintragen.

    • Port 22 unverändert lassen.

    • Bei Connection type SSH auswählen sofern nicht markiert.

  • Links unter Category Connection -> Data auswählen und unter Auto-login username root eintragen.

  • Wieder zurück zu Session wechseln, bei Saved Sessions in das Textfeld einen beliebigen Namen eintragen und auf Save klicken. Beim nächsten mal kann dann diese Verbindung per Klick auf Load geladen werden. Jetzt unten auf Open klicken.