…
PasswordAuthentication no
…
PubkeyAuthentication no
…
# und am Ende der Datei
# Universitaet intern
Match Address 130.75.0.0/16,10.0.0.0/8
PasswordAuthentication yes
PubkeyAuthentication yes
# Alle
Match All
PubkeyAuthentication yes
Fernzugriff
Der Fernzugriff auf Systeme im LUH-Netz wird u.a. über das Telearbeitskonzept geregelt. Aufgrund der aktuellen Corona-Situation und der Home-Office-Regelung gelten besondere Regelungen und es werden Zugriffe auf Systeme im LUH-Netz freigeschaltet, die Mitarbeitenden das mobile Arbeiten von Zuhause ermöglichen. Es ist zu betonen, dass dies eine temporäre Sonderform des "mobilen Arbeitens" beschreibt, kein Regelbetrieb ist und von der "Telearbeit" abzugrenzen ist.
Bei Fragen wenden Sie sich an ihren zuständigen Systemadministrierenden / IT-Beauftragten oder an support@luis.uni-hannover.de. Weitere Informationen finden sich hier:
FERNZUGRIFF AUF WINDOWS MIT REMOTE-DESKTOP (RDP)
Die Server- und Client-Komponente von Remote-Desktop ist Bestandteil von Windows, für andere Betriebssysteme kann freerdp verwendet werden.
Hinweise zur Konfiguration finden sich in der Dokumentation der Telearbeit. Für den Zugriff aus dem VPN der Universität muss Remote-Desktop tcp/3389 in den Netzschutz-Firewalls erlaubt werden (falls vorhanden).
SSH (SECURE SHELL)
Insbesondere die Möglichkeit des Tunnels, Einsatz als SOCKS5 Proxy und automatische Verbinden auf andere Geräte machen den Einsatz von OpenSSH attraktiv. Für den Fernzugriff ist es empfohlen den Login von Extern auf dem Dienst auf die Verwendung von PubKeys zu beschränken. OpenSSH ist auch unter Windows verfügbar. Alternative Clients für Windows
- PuTTY: Ist ein freies SSH-Terminal-Programm mit GUI für die Konfiguration. Dateitransfer ist auch möglich, jedoch nur per Kommandozeile ohne GUI.
- WinSCP: GUI-Client für Dateitransfer via scp/ssh; passt gut zu PuTTY, da es auf den Putty-SSH-Agent (bei Verwendung von ssh-Public-/Private-Keys) zugreifen kann.
- FileZilla: Dateitransfer-Programm, das neben ftp und ftps (ftp über ssl) auch sftp (ssh-Dateitransfer) unterstützt.
/etc/ssh/sshd_config
Zum Einschränken des passwortbasierten Logins verbietet man diesen generell und erlaubt anschließend für vertraute Netze in der /etc/ssh/sshd_config.
PubKey
Zur Verwendung von SSH mit PubKeys müssen Schlüssel erstellt und auf die Zielsysteme eingebracht werden. Der Kommentar dient der Identifikation des Schlüssels in der ~/.ssh/authorized_keys auf dem Zielsystem.
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_zb -C "ein kommentar"
Generating public/private rsa key pair. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in ~/.ssh/id_rsa_zb Your public key has been saved in ~/.ssh/id_rsa_zb.pub The key fingerprint is: SHA256:o6IkV/HHF1z2y2bHLYDZ3enO/lkjFYlxOWN24bjwAnQ ein kommentar The key's randomart image is: +---[RSA 4096]----+ | . Eo. oo| | ...* o*B+| | . .=.oo===| | o . ..ooooo| | . . S .. o*o+| | . o o .o+o | |. o . . . +.| | + . . o +| | . oo| +----[SHA256]-----+
Das Passwort kann zusammen mit dem generiertem Schlüssel in KeepassXC abgelegt werden.
Einbringen in das Zielsystem:
ssh-copy-id -i ~/.ssh/id_rsa_zb me@target
Verwendung des Schlüssels:
ssh -i ~/.ssh/id_rsa_zb me@target
oder bei Verwendung einer SSH Config in ~/.ssh/config:
Host target
User me HostName target.ifzb.uni-hannover.de IdentityFile ~/.ssh/id_rsa_zb
via
ssh target
Dateitransfer
Nicht unerwähnt bleibt die Möglichkeit mit SSH Dateien und auch Ordner zu übertragen.
scp -r me@target.uni-hannover.de:~/Documents/20210210-T3-Docs ~/Documents/
ProxyJump
Neben der Möglichkeit der Angabe des Jump Hosts als Teil des ssh Aufrufs:
$ ssh -J me@jump.ifzb.uni-hannover.de me@target.ifzb.uni-hannover.de
kann dies auch in der ~/.ssh/config erfolgen:
Host target User me HostName target.ifzb.uni-hannover.de ProxyJump me@jump.ifzb.uni-hannover.de
SOCKS5 Proxy
Als Teil des SSH Aufrufs
$ ssh 8080 -f -C -q -N me@target.ifzb.uni-hannover.de
oder ~/.ssh/config:
Host target User me HostName target.ifzb.uni-hannover.de <link http: target.ifzb.uni-hannover.de>DynamicForward 8080
der SOCKS5 Proxy kann dann mit FoxyProxy unter Firefox für Patterns der Domains welche über den Proxy laufen sollen eingebunden werden.
Tunnel
Tunnel können entfernte Dienste lokal bereitstellen oder lokale Dienste auf dem SSH Server durchreichen.
Host jump
User me HostName jump.ifzb.uni-hannover.de LocalForward 33891 130.75.47.11:3389 RemoteForward 12345 localhost:12345 ExitOnForwardFailure yes
Hier wird der Remote-Desktop Dienst von 130.75.47.11:3389 auf den lokalen Port 33891 durchgereicht und der lokale Dienst auf tcp/12345 steht auch auf dem SSH Zugangsserver auf Port 12345 zur Verfügung. Können die Tunnel nicht erstellt werden, bricht die SSH Verbindung ab.