Schlüsselbasierte SSH-Verbindung über ein Linux Terminal einrichten

Aus Synology Wiki

Worum geht es?

Die folgende Anleitung beschreibt die Einrichtung einer Schlüsselbasierte SSH-Verbindung bzw. SSH-Public-Key-Authentifizierung von einem lokalen Linux-Betriebssystem zu einem Synology NAS mit Hilfe eines Terminalprogramms.

Einleitung

Secure Shell, abgekürzt SSH, ist ein Netzwerkprotokoll zum Aufbau verschlüsselter Verbindungen zwischen Geräten im lokalen Netzwerk oder über das Internet. Bei der SSH-Public-Key-Authentifizierung wird mit Hilfe eines Schlüsselpaares, bestehend aus einem privaten und einem öffentlichen Schlüssel, eine passwortfreie Anmeldung zu einem Remote-Server aufgebaut, die bei Bedarf durch die Eingabe einer zusätzlichen Passphrase weiter abgesichert werden kann. Die Verwendung eines solchen Schlüsselpaares ist daher wesentlich schwieriger zu kompromittieren als die Eingabe eines Passwortes.

Hinweis: Texte in Großbuchstaben innerhalb eckiger Klammern dienen als Platzhalter und müssen durch eigene Angaben ersetzt werden, können aber an einigen Stellen auch nur der Information dienen. Es ist zu beachten, dass die eckigen Klammern Teil des Platzhalters sind und beim Ersetzen durch eigene Angaben ebenfalls entfernt werden müssen.

Terminal öffnen

Zuerst benötigst du ein Terminalprogramm deiner Wahl, um auf die Konsole deines Client-Betriebssystems zugreifen zu können. Nach dem Start des Terminalprogramms solltest du dich in deinem eigenen Benutzer-Home-Verzeichnis befinden. Dies kannst du überprüfen, indem du den Befehl pwd (steht für "print working directory") eingibst und die Eingabetaste drückst

[BENUTZERNAME]@[CLIENT-PC]:~$ pwd
/home/[BENUTZERNAME]

Diesem Beispiel folgend befindest du dich also im Home-Verzeichnis des Benutzers [BENUTZERNAME] (korrekterweise müsste hier natürlich dein Benutzername stehen) und genau dort solltest du dich auch befinden. Je nachdem, mit welchen Linux Betriebssystem du arbeitest, kann hier ein abweichender Pfad ausgegeben werden.

Hinweis: Zur besseren Lesbarkeit werden alle folgenden Eingaben ohne die Verwendung des Pompts [BENUTZERNAME]@[CLIENT-PC]:~$ dargestellt.

SSH Verzeichnisstruktur erstellen

Zuerst wird ein neues verstecktes Verzeichnis mit dem Namen .ssh im Home-Verzeichnis des aktuell angemeldeten Benutzers angelegt.

mkdir .ssh

SSH Schlüsselpaar erstellen

Du kannst nun beginnen, ein neues SSH-Schlüsselpaar zu erzeugen, das aus einem öffentlichen und einem privaten Schlüssel besteht. Dies geschieht mit dem Befehl ssh-keygen. Durch die einfache Eingabe des Befehls ssh-keygen können je nach Konfiguration verschiedene Verschlüsselungsalgorithmen zur Anwendung kommen. Daher sollte immer angegeben werden, welcher Algorithmus verwendet werden soll. Im Folgenden wird der RSA-Algorithmus mit einer Verschlüsselung von 4096 Bit verwendet.

ssh-keygen -t rsa -b 4096

(-t steht für type, also den Verschlüsselungstyp, hier rsa für RSA Protokoll 2)

(-b steht für Bit, also die Bitlänge des Verschlüsselungsschlüssels, hier 4096 Bit)

Unmittelbar nach dem Ausführen des Befehls wirst du gefragt, unter welchem Dateinamen die SSH-Schlüssel gespeichert werden sollen. Wenn du den vorgeschlagenen Pfad und Dateinamen beibehalten möchtest, drücke zur Bestätigung einfach die Eingabetaste. Andernfalls kannst du unter Verwendung des vollständigen Pfads einen alternativen Dateinamen ohne Dateiendung eingeben. In diesem Beispiel wird der vorgeschlagene Dateiname verwendet.

Generating public/private rsa key pair.
Enter file in which to save the key (/home/[BENUTZERNAME]/.ssh/id_rsa):
Created directory '/home/[BENUTZERNAME]/.ssh'.

Anschließend wirst du aufgefordert, eine Passphrase, also ein Passwort, einzugeben. Die Verwendung einer Passphrase wird einerseits dringend empfohlen, da sie verhindert, dass der private Schlüssel einfach kopiert und verwendet werden kann, selbst wenn dein Client-Betriebssystem kompromittiert wurde. Der Nachteil einer Passphrase ist, dass du sie jedes Mal eingeben musst, wenn du eine Verbindung über SSH herstellen möchtest. Dies kann kontraproduktiv sein, wenn man später unbeaufsichtigte und damit automatisierte SSH-Verbindungen aufbauen möchte, um z.B. automatisierte Backups durchzuführen. In diesem Fall ist von der Eingabe einer Passphrase dringend abzuraten. Es bleibt also jedem selbst überlassen, ob er eine Passphrase verwenden möchte oder nicht. In diesem Beispiel wird keine Passphrase verwendet, sondern die beiden folgenden Abfragen werden einfach durch Drücken der Eingabetaste übersprungen.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:

In der Folge erscheint eine ähnliche Ausgabe wie diese...

Your identification has been saved in /home/[BENUTZERNAME]/.ssh/id_rsa
Your public key has been saved in /home/[BENUTZERNAME]/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:ScteBU5B3/m7/cod5OqlH8JSDpiNC8oGGYx0sEhoHFM [BENUTZERNAME]@[CLIENT-PC]
The key's randomart image is:
+---[RSA 4096]----+
|o*+E     .=.     |
|=o*      o o . . |
|oo o    . . o o  |
|    o  o o=.   . |
|   o   .S+.o . ..|
|    o ..... = o .|
|     +  .. . + * |
|    .       ..=.=|
|            .+++=|
+----[SHA256]-----+

Nach der Ausführung befindet sich nun im Verzeichnis /home/[BENUTZERNAME]/.ssh/ eine Datei mit dem Namen id_rsa, die den privaten Schlüssel enthält und eine Datei mit dem Namen id_rsa.pub, die den öffentlichen Schlüssel enthält.

Wechsel mit cd (steht für "change Directory") in dieses Verzeichnis

cd .ssh

Der Prompt sollte an dieser Stelle das Verzeichnis .ssh als Bestätigung enthalten und etwa so aussehen

[BENUTZERNAME]@[CLIENT-PC]:~/ssh$

Der Inhalt des Verzeichnisses kann mit dem Befehl ls (steht für "list"), ggf. gefolgt von weiteren Optionen, angezeigt werden.

ls -la

(Option l = Datei-Informationen werden in Langform ausgegeben)

(Option a = Zeigt auch versteckte Dateien und Ordner an, die mit einem Punkt beginnen)

Beispiel für die Ausgabe

[BENUTZERNAME]@[CLIENT-PC]:~/ssh$ ls -la
total 16
drwxrwxr-x 2 [BENUTZERNAME] [BENUTZERNAME] 4096 Dez 31 07:00 .
drwxr-x--- 8 [BENUTZERNAME] [BENUTZERNAME] 4096 Dez 31 07:00 ..
-rw------- 1 [BENUTZERNAME] [BENUTZERNAME] 3389 Dez 31 07:00 id_rsa
-rw-r--r-- 1 [BENUTZERNAME] [BENUTZERNAME]  746 Dez 31 07:00 id_rsa.pub

Hinweis: Du kannst dir jederzeit den Inhalt des Verzeichnisses anzeigen lassen, in dem du dich gerade befindest. In Verbindung mit weiteren Optionen können mehr oder weniger Informationen angezeigt oder die Lesbarkeit der Ausgabe verbessert werden.

Bei Bedarf kannst du dir den Inhalt des öffentlichen Schlüssels mit dem Befehl cat (steht für "concatenate", also Dateiinhalte verknüpfen) auf der Konsole anzeigen lassen. Wenn du den öffentlichen Schlüssel an andere Personen weitergeben möchtest, kannst du den Schlüssel auch kopieren und in einer separaten Textdatei speichern.

cat id_rsa.pub

Beispiel für die Ausgabe

ssh-rsa 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 [BENUTZERNAME]@[CLIENT-PC]

Die Datei authorized_keys erstellen und den eigenen öffentlichen Schlüssel hinzufügen

In der Datei authorized_keys werden später neben dem eigenen Schlüssel auch alle öffentlichen Schlüssel bekannter Remote-Server eingetragen, die auf dein Client-Betriebssystem zugreifen wollen, um eine passwortlose SSH-Verbindung zu ermöglichen. Der folgende Befehl trägt den eigenen öffentlichen Schlüssel in authorized_keys ein. Wenn die Datei noch nicht existiert, wird sie automatisch erstellt.

cat id_rsa.pub >> ~/.ssh/authorized_keys

(Befehl > Datei = Standardausgabe des Befehls in Zieldatei (über-)schreiben.)

(Befehl >> Datei = Standardausgabe des Befehl an Zieldatei anhängen.)

Hinweis: Das Tilde-Zeichen (~) im Linux-Dateisystem steht für das Home-Verzeichnis des aktuellen Benutzers. Dies ist eine Abkürzung, die es Benutzern ermöglicht, auf ihr eigenes Home-Verzeichnis zuzugreifen, ohne den vollständigen Pfad eingeben zu müssen. Der Pfad ~/.ssh/authorized_keys ist also identisch mit dem Pfad /home/[BENUTZERNAME]/.ssh/authorized_keys.

Ordner und Dateirechte anpassen

Es ist wichtig, dass sowohl das Verzeichnis .ssh als auch die darin enthaltenen Dateien bestimmte Berechtigungen haben, um den Zugriff durch Unbefugte einzuschränken und die Sicherheit zu erhöhen. Der Befehl chmod (steht für "change mode") verändert die Zugriffsrechte von Ordnern und Dateien, die wie folgt lauten.

chmod 700 ~/.ssh

chmod 600 ~/.ssh/id_rsa*

chmod 600 ~/.ssh/authorized_keys

Übertragen des öffentlichen Schlüssels auf ein Synology NAS

Um in Zukunft eine passwortfreie Anmeldung an einem Synology NAS zu ermöglichen, ist es notwendig, den öffentlichen Schlüssel dorthin zu kopieren. Der öffentliche Schlüssel kann auch auf weitere Remote-Server kopiert werden, mit denen man sich verbinden möchte, während der private Schlüssel immer auf dem lokalen Linux Betriebssystem verbleibt und niemals weitergegeben wird. Das Kopieren des öffentlichen Schlüssels kann auf verschiedene Arten erfolgen, von denen hier nur zwei näher erläutert werden, nämlich die unter Verwendung des Befehls ssh-copy-id und die unter Verwendung des Befehls cat. Zuvor muss aber noch der SSH-Dienst sowie der Benutzer-Home-Dienst aktiviert werden.

SSH Dienst aktivieren

Um eine SSH-Verbindung von deinem Client-Betriebssystem zu deinem Synology NAS herzustellen, musst du zuerst den SSH-Dienst im DiskStation Manager (nachfolgend DSM genannt) aktivieren. Dazu meldest du dich am DSM deines Synology NAS mit einem Konto an, das zur Gruppe der Administratoren (administrators) gehört. Anschließend navigierst du zu DSM-Hauptmenü > Systemsteuerung > Terminal & SNMP, wechselst dort auf die Registerkarte Terminal und aktivierst das Kontrollkästchen SSH-Dienst aktivieren. Direkt darunter kannst du bei Bedarf den Port anpassen, den der SSH-Dienst verwenden soll.

Standardmäßig ist hier der Port 22 voreingestellt. Aus Sicherheitsgründen wird jedoch empfohlen, diesen durch einen Port zu ersetzen, der bestenfalls im dynamischen und damit freien Portbereich zwischen 49152 und 65535 liegen sollte, wobei gegen die Verwendung von registrierten Ports, die im Portbereich zwischen 1024 und 49151 liegen, nach eingehender Prüfung nichts einzuwenden ist. In der folgenden Beschreibung wird jedoch beispielhaft Port 22 verwendet.

Durch Anklicken der Schaltfläche Übernehmen werden deine Einstellungen gespeichert.

Benutzer-Home-Dienst aktivieren

Um im die erzeugten Schlüssel auf einem Synology NAS übertragen zu können, muss der Benutzer-Home-Dienst aktiviert werden. Melde dich dazu am DSM deines Synology NAS mit einem Konto an, das zur Gruppe der Administratoren (administrators) gehört. Navigiere anschließend zu DSM-Hauptmenü > Systemsteuerung > Benutzer und Gruppe und wechsle dort auf die Registerkarte Erweitert. Aktiviere unter dem Menüpunkt Benutzerbasis das Kontrollkästchen Benutzer-Home-Dienst aktivieren. Direkt darunter kann noch der homes-Speicherort ausgewählt werden, also das Volume, auf dem die Home-Verzeichnisse der Benutzer gespeichert werden sollen. Die Vorauswahl verweist hier zunächst auf das /volume1 und kann bei Bedarf angepasst werden, wenn mehrere Volumes zur Auswahl stehen.

1. Möglichkeit: Die Verwendung des Befehls ssh-copy-id

Der Befehl ssh-copy-id ist Bestandteil des Programmpakets OpenSSH und sollte daher auf den meisten unixoiden Betriebssystemen verfügbar sein. Eine Ausnahme bildet hier z.B. Synology, die auf ihren NAS-Systemen das Betriebssystem DiskStation Manager (DSM) einsetzt. Hier sucht man den Befehl ssh-copy-id vergeblich (Stand DSM 7.2.2). In diesem Fall ist es ratsam, mit der 2. Möglichkeit fortzufahren, die in den nachfolgenden Abschnitt beschrieben wird.

ssh-copy-id verbindet sich nach dem Aufruf mit dem Synology NAS und prüft, ob im Home-Verzeichnis des angemeldeten Benutzers bereits ein Verzeichnis mit dem Namen .ssh existiert. Wenn nicht, wird es angelegt. Im nächsten Schritt prüft ssh-copy-id, ob im Verzeichnis .ssh eine Datei mit dem Namen authorized_keys existiert. Falls nicht, wird diese Datei ebenfalls angelegt. Danach wird der öffentliche Schlüssel in die Datei authorized_keys kopiert. Zum Schluss werden noch die entsprechenden Verzeichnis- und Dateirechte gesetzt, bevor die Verbindung wieder beendet wird.

  1. Um dich mit deinem Synology NAS verbinden zu können, benötigst du neben der IP-Adresse und dem Port auch den Benutzernamen sowie das zugehörige Passwort. Ersetze daher im folgenden Befehl die Platzhalter für [PORT], [BENUTZERNAME] und [IP-ADRESSE] durch deine eigenen Daten. Außerdem benötigst du noch den Speicherort und den Dateinamen des öffentlichen Schlüssels, der sich in diesem Beispiel im Verzeichnis /home/[BENUTZERNAME]/.ssh/ unter dem Namen id_rsa.pub bzw. unter ~/.ssh/id_rsa.pub auf deinen lokalen Linux Betriebssystem befindet. Führe anschließend folgenden Befehl aus. ssh-copy-id -i ~/.ssh/id_rsa.pub -p [PORT] [BENUTZERNAME]@[IP-ADRESSE]
  2. Nachdem du den Befehl mit der Eingabetaste bestätigt hast, solltest du eine Meldung sehen, die dich am Ende des Textes auffordert, den Verbindungsaufbau mit yes zu bestätigen. Are you sure you want to continue connecting (yes/no/[fingerprint])? Diese Meldung erscheint nur, wenn du dich zum ersten Mal per SSH mit dem Synology NAS verbinden willst. Dabei wird ein sogenannter Fingerprint in der Datei ~/.ssh/known_hosts auf deinem Client-Betriebssystem hinterlegt, um zukünftige Verbindungen zu erlauben.
    The authenticity of host '[IP-ADRESSE] ([IP-ADRESSE])' can't be established.
ED25519 key fingerprint is SHA256:DosguIv2tIYP+9n3BIrSM2df1841CdXbIc4pAZ01ehA.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])?
  3. Nun wirst du aufgefordert dein Passwort für die Anmeldung an deinem Synology NAS einzugeben. [BENUTZERNAME]@[IP-ADRESSE]'s password:
  4. Nach erfolgreicher Anmeldung beginnt der Befehl ssh-copy-id mit der Ausführung der oben beschriebenen Aufgaben. Nach Abschluss der Arbeiten wird die Verbindung automatisch getrennt und zur Konsole des Client-Betriebssystems zurückgekehrt.
  5. Überspringe die zweite Möglichkeit und fahre mit Abschnitt Erneute SSH-Verbindung zu deinem Remote-Server aufbauen fort.

2. Möglichkeit: Die Verwendung des Befehls cat

Sollte der Befehl ssh-copy-id nicht zur Verfügung stehen, wäre der Befehl cat das Mittel der Wahl. Da dieser Befehl allein jedoch keine Verzeichnisse und/oder Dateien auf dem Synology NAS anlegt und auch keine Verzeichnis- und Dateirechte vergibt, müssen diese Schritte manuell mit verschiedenen Befehlen durchgeführt werden. Der Befehl cat kopiert lediglich den öffentlichen Schlüssel des Client-Betriebssystems in die authorized_keys des Synology NAS. Im Folgenden werden alle Schritte nacheinander abgearbeitet.

  1. Um dich mit deinem Synology NAS verbinden zu können, benötigst du neben der IP-Adresse und dem Port auch den Benutzernamen sowie das zugehörige Passwort. Ersetze daher im folgenden Befehl die Platzhalter für [PORT], [BENUTZERNAME] und [IP-ADRESSE] durch deine eigenen Daten. Führe anschließend folgenden Befehl aus ssh -p [PORT] [BENUTZERNAME]@[IP-ADRESSE]
  2. Nachdem du den Befehl mit der Eingabetaste bestätigt hast, solltest du eine Meldung sehen, die dich am Ende des Textes auffordert, den Verbindungsaufbau mit yes zu bestätigen. Are you sure you want to continue connecting (yes/no/[fingerprint])? Diese Meldung erscheint nur, wenn du dich zum ersten Mal per SSH mit dem Synology NAS verbinden willst. Dabei wird ein sogenannter Fingerprint in der Datei ~/.ssh/known_hosts auf deinem Client-Betriebssystem hinterlegt, um zukünftige Verbindungen zu erlauben.
    The authenticity of host '[IP-ADRESSE] ([IP-ADRESSE])' can't be established.
ED25519 key fingerprint is SHA256:DosguIv2tIYP+9n3BIrSM2df1841CdXbIc4pAZ01ehA.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])?
  3. Nun wirst du aufgefordert dein Passwort für die Anmeldung an deinem Synology NAS einzugeben. [BENUTZERNAME]@[IP-ADRESSE]'s password:
  4. Nach erfolgreicher Anmeldung solltest du dich auf der Konsole deines Synology NAS befinden. Überprüfe auch hier, ob du dich im Home-Verzeichnis des angemeldeten Benutzers befindest.
    [BENUTZERNAME]@[SYNOLOGY-NAS]:~$ pwd
/var/services/homes/[BENUTZERNAME]
  5. Erstelle auch hier ein neues verstecktes Verzeichnis mit dem Namen .ssh und weise diesem Verzeichnis die notwendigen Berechtigungen zu. mkdir .ssh chmod 700 .ssh
  6. Melde dich wieder vom Synology NAS ab, um zur Konsole deines Client-Betriebssystems zurückzukehren. exit
  7. Nun kann der Inhalt der Datei id_rsa.pub und damit der öffentliche Schlüssel über eine SSH-Verbindung auf den Synology NAS in die Datei authorized_keys übertragen werden, die ggf. angelegt wird, wenn sie noch nicht existiert. Ersetze dafür im folgenden Befehl die Platzhalter für [PORT], [BENUTZERNAME] und [IP-ADRESSE] durch deine eigenen Daten, ohne die eckigen Klammern zu verwenden. Führe anschließend folgenden Befehl aus
    cat ~/.ssh/id_rsa.pub | ssh -p [PORT] [BENUTZERNAME]@[IP-ADRESSE] "cat >> ~/.ssh/authorized_keys"
  8. Nach erfolgreicher Anmeldung durch die Eingabe des Passwortes wurde der öffentliche Schlüssel in der Datei ~/.ssh/authorized_keys deines Synology NAS gespeichert und die Verbindung wieder getrennt. Du befindest dich weiterhin auf der Konsole deines lokalen Linux Betriebssystems.

Erneute SSH-Verbindung zu deinem Synology NAS aufbauen

Ab jetzt solltest du dich am Synology NAS anmelden können, ohne ein Passwort eingeben zu müssen. Um zu überprüfen, ob dies funktioniert, melde dich erneut am Synology NAS an.

ssh -p [PORT] [BENUTZERNAME]@[IP-ADRESSE]

Wenn alles geklappt hat, solltest du dich nun auf der Konsole deines Synology NAS befinden, ohne ein Passwort eingegeben zu haben (es sei denn, du verwendest eine der oben genannten Passphrase). Und wenn du schon dabei bist, kannst du, solltrst du den Weg über die 2 Möglichkeit gegangen sein, auch die Berechtigungen für die Datei authorized_keys korrigieren, indem du folgenden Befehl eingibst

chmod 600 ~/.ssh/authorized_keys

Du hast nun erfolgreich eine passwortlose SSH-Schlüssel-Authentifizierung eingerichtet.

Abgerufen von „https://www.synology-forum.de/wiki/index.php?title=Schlüsselbasierte_SSH-Verbindung_über_ein_Linux_Terminal_einrichten&oldid=10276