OpenSSH auf AIX

AIX kommt ohne eigene Secure Shell, Abhilfe bietet in diesem Fall die freeware OpenSSH. Die aktuellen SSH Version bekam man eine Weile als aktuelles installp Paket z.B. bei Daren Tucker. Seit einiger Zeit gibt jedoch auch wieder eine von IBM aktuell gehaltene OpenSSH Version bei Sourceforge. Dort findet sich auch ein link zum passenden OpenSSL.

Sowohl openssl als auch openssh müssen installiert werden. Dabei sollten die jeweiligen Pakete zusammenpassen. Nach der Installation der IBM SSH Pakete ist der SSH daemon schon gestartet und SSH nutzbar.

Für die Nutzung einer (public) key Infrastruktur müssen dann die entsprechenden Schlüssel erzeugt werden. Wenn man beim Erzeugen der Schlüssel keinen Namen angibt, werden default Namen verwendet. Per default werden Schlüssel mit dem Namen identity und identity.pub erzeugt. In den meisten Fällen genügt das. Man kann jedoch auch Namen vorgeben. Beispiel:

# ssh-keygen -t dsa -f ssh_host_dsa_key

Dies erzeugt mit den aktuellen SSH Versionen SSH2 DSA-Schlüssel. Ein weiteres Beispiel, diesmal für RSA mit einer definierten Schlüssellänge. Bei einer automatischen Erstellung ist die Schlüssellänge eventuell nicht lang genug:

# ssh-keygen -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa

Die Berechtigungen der Schlüssel für Besitzer, Gruppe und Andere (ugo) müssen auf Lesen (r) gesetzt werden.

Der öffentliche Schlüssel (.pub) wird i.d.R. in die authorized_keys bzw. authorized_keys2 der Server eingefügt, auf die man sich anmelden möchte. Wird dabei ein Schlüssel eines normalen Benutzers in die authorized_keys von root eingefügt, ist der vormals normale Benutzer auf der Zielmaschine root.

Schlüssel auf einem Server dürfen nicht mehr ausgetauscht werden, nachdem sie in Betrieb genommen wurden. Ansonsten schlagen alle Anmeldungen fehl und auch cronjobs bzw. batchjobs laufen nicht mehr. Aus diesem Grund sollten die Schlüssel auch nach dem Erstellen gesichert werden.

Sobald SSH richtig funktioniert ist es an der Zeit, sich von Telnet endgültig zu trennen (installp -u ...). Ein guter SSH-Client für Windows, PuTTY von Simon Tatham, findet sich auf unserer Links - Seite. OpenSSH. enthält neben scp inzwischen außerdem noch sftp, man kann sich also auch des normalen FTP entledigen.

SSH Dämon neu starten

Ein kill -1 auf die PID des SSHD. Wenn eine pid Datei vorhanden ist, dann z.B. so:

# kill -1 'cat /var/openssh/sshd.pid'

SSH Benutzerumgebung setzen

Im /home/.ssh des Benutzers eine Datei environment anlegen. Variablen eintragen (variable=wert; #Kommentar; Leerzeile). Anschließend im /etc/ssh/sshd_config den Parameter PermitUserEnvironment yes aktivieren und sshd mit kill -1 <sshdpid> die Konfiguration neu einlesen.

SSH-Tutorium bei IBM Developer Works

SSH-Tunnel