ssh login - Passwort an der Kommandozeile übergeben?

[Leonardo]

Hallo AT!

Ich wollte mir für meinen Login an der Universität, eine art Skript schreiben, damit ich mir diese blöde Passwort nicht merken muss und ganz sauber entweder 1.) einfach einen Doppelklick auf ein AppleScript oder 2.) im Terminal dann wenigstens nur ein shell-skript ausführen kann.

Da ich mich nur über ssh am Server anmelden muss um dann den Port 80 freigeschaltet zu bekommen, hab ich sicherheitsmäßig keine bedenken, dass Passwort irgendwo in Plaintext reinzuschreiben.

Die Möglichkeit, ssh mit einer Keyfile zu betreiben hab ich bisher nicht verstanden. Der Server hat aber einen Fingerprint, kann ich damit was anfangen?

Nun hab mit meinem Halbwissen zwei Alternativen schon probiert, aber leider keinen Erfolg gehabt. Könntet ihr mir da weiterhelfen? Hier meine beiden versuche und was der Fehler daran ist:

1.) AppleScript

Code:

set temp to display dialog "Airpot/Ethernet schon eingeschaltet?"
do shell script "slogin meinaccount@10.1.1.10" password "MEinPaSsWorT"

FEHLER:
Pseudo Terminal will not be allocated because stdin is not a terminal.
Permission denied, please try again.
Permission denied, please try again.
Permission denied (password,keyboard-interactive).

2.) Terminal Shell-Script

Code:

#!/bin/sh
/usr/bin/ssh meinaccount@10.1.1.10

FEHLER:
-bash: /usr/local/bin/unilogin: Permission denied

Wenn ich es dann also sudo ausführe geht es dahingehend, dass er mich erst drei mal nach einem sudo-, dann nach meinem ssh-Passwort fragt. Aber das kann es doch auch nicht sein, oder?

Über Hilfen bin ich sehr dankbar.
Euer Leonardo

[MacMark]

Da es ein privates Skript für Dich ist, würde ich es unter ~/bin/ legen. Hast Du es ausführbar gemacht?

[quarx]

Es wäre viel sinnvoller, wenn Du Dich per RSA/DSA-Authentifizierung anmelden würdest. Genaue Details gibt es z.B. hier: http://www.apfeltalk.de/forum/os-x-ssh-t35714.html (Abschnitt 3.2.2).

[lazertis]

genau, quarx hat recht. Das Stichwort ist ssh-keys:

Du erzeugst (mit ssh-keygen) ein Schlüsselpaar und legst den öffentlichen Schlüssel (public key) auf dem Server ab, an dem Du Dich anmelden willst. Deinen privaten Key kannst Du mit einer sog. Passphrase versehen (ähnlich einem Passwort, nur daß diese nicht über's Netz geschickt wird), die kannst Du aber auch leer lassen (Sicherheitsrisiko).

Hast Du eine Passphrase vergeben, kannst Du Dir das Leben mit dem ssh-agent leichter machen, welcher sich die Passphrase für Dich merkt.
So, jetzt hast Du ein paar Stichworte zum Suchen und Googlen.

Das übergeben von Klartext-Passwörtern (nicht Passphrases) ist meines Wissens nach bei ssh nicht möglich, widerspricht aber auch dem Sicherheitskonzept von ssh. Dafür gibt's eben die Schlüssel.

[Leonardo]

Du erzeugst (mit ssh-keygen) ein Schlüsselpaar und legst den öffentlichen Schlüssel (public key) auf dem Server ab, an dem Du Dich anmelden willst.

Ich glaube nicht, dass es mir erlaubt sein wird auf dem Loginserver der Universität Hamburg Daten abzulegen, oder ist das ein Standard-Prozedere von SSH und demnach immer möglich?

[Hilarious]

Ich glaube nicht, dass es mir erlaubt sein wird auf dem Loginserver der Universität Hamburg Daten abzulegen, oder ist das ein Standard-Prozedere von SSH und demnach immer möglich?

Die Public-Key-Authentifikation bei SSH-verschlüsselten Verbindungen ist m. E. die beste Methode SSH zu benutzen und somit durchaus im Sinne des Erfinders. In vielen Fällen erhalte ich von Kunden SSH-Logins für einen für mich angelegten Benutzer auf dem Zielsystem aber gar kein Passwort. Die Authentifikation findet ausschließlich durch den Schlüsselaustausch statt und benötige kein Passwort-Gedöns

[Leonardo]

So wie ich das Prozedere der asymetrischen Verschlüsselung hier verstehe, müsste ich aber entweder über ein Homedirectory auf dem Uni-Server verfügen oder mich in eine authorized_keys Datei eintragen. Mir ist nicht bekannt, dass die Uni 44000 Homedirectorys eingerichtet hat.


Aber ein gutes hat das ganze: Mittlerweile kenne ich mein blöd-kryptisches Passwort so auswendig, dass ich für eine Einwahl (Terminal > ssh ich@derserver > Passwort) so ungefähr 5 Sekunden brauche.

[quarx]

So wie ich das Prozedere der asymetrischen Verschlüsselung hier verstehe, müsste ich aber entweder über ein Homedirectory auf dem Uni-Server verfügen oder mich in eine authorized_keys Datei eintragen. Mir ist nicht bekannt, dass die Uni 44000 Homedirectorys eingerichtet hat.

Wenn Du Dich da per ssh einloggen kannst, hast Du dort auch ein Homeverzeichnis. Den Public Key kannst Du einfach mit

Code:

scp Dateiname username@server:

in Dein Homeverzeichnis auf dem Server kopieren und dann nach einen ssh-Login an die Datei ~/.ssh/authorized_keys anhängen. Wo ist das Problem?

[lazertis]

Ich glaube nicht, dass es mir erlaubt sein wird auf dem Loginserver der Universität Hamburg Daten abzulegen, oder ist das ein Standard-Prozedere von SSH und demnach immer möglich?

Es wäre schon verwunderlich, wenn es nicht mal möglich sein sollte, bei Verwendung von ssh auch einen entsprechenden public key ablegen zu können bzw. dürfen, gerade weil die Verwendung von keys sicherer ist als die von Passworten.

Zum Paket von ssh gehört auch das Dateiübertragungsprogramm scp. Damit solltest Du Dateien auf den Server übertragen können. Die public keys für SSH2 liegen standardmässig im (unsichtbaren) Unterverzeichnis .ssh des Homedirectories in einer Datei namend authorized_keys2.

Du kannst nun Deinen public key z.B. mit

[FONT=Courier New]scp id_dsa.pub user@uniserver:
[/FONT]

auf den Server übertragen, Dich dort anmelden und den key mit

[FONT=Courier New]cat id_das.pub >> .ssh/authorized_keys2
[/FONT]

dem Keyfile hinzufügen. (Das geht auch elegant in einem Rutsch, aber die Syntax kann ich mir nie merken )

Aber das kann man ja nochmal klären, wenn es soweit ist.

[Leonardo]

Ok, ok ich hab's verstanden.

Also vielen vielen Dank für die schnelle und kompetente Hilfe so far. Ich werde das gleich morgen ausprobieren und euch berichten.

Gute Nacht,
Leonardo