SSH
Was ist SSH?
SSHEin kryptografisches Netzwerkprotokoll (RFC 4251, Port 22), das authentifizierte, verschlusselte und integritatsgeschutzte Fernanmeldungen, Befehlsausfuhrung und Tunnel uber unsichere Netze ermoglicht.
Secure Shell, spezifiziert in den RFCs 4251-4254, hat telnet und rlogin abgelost. Es kombiniert Host- und Benutzerauthentifizierung mit einem verschlusselten Kanal auf TCP-Port 22. Per Diffie-Hellman oder ECDH werden Sitzungsschlussel ausgehandelt; danach wird ein authentifiziertes symmetrisches Verfahren (meist AES-GCM oder ChaCha20-Poly1305) verwendet. Die Benutzerauthentifizierung kann uber Passwort, offentlichen Schlussel, Host oder Zertifikate erfolgen; fur Automatisierung sind Schlussel zu bevorzugen. SSH unterstutzt zudem TCP-Portweiterleitung, SOCKS-Proxy, X11-Forwarding und tragt SFTP und scp. Zur Hartung gehoren das Deaktivieren von Passworten, das Einschranken von Algorithmen, das Rotieren von Host-Keys, der Einsatz von Bastion-Hosts und das Monitoring von authorized_keys.
● Beispiele
- 01
Eine Ingenieurin verbindet sich mit ssh -i id_ed25519 user@bastion zu einem internen Jumphost.
- 02
Eine CI/CD-Pipeline pusht Deployments via ssh git@github.com mit einem Deploy-Key.
● Häufige Fragen
Was ist SSH?
Ein kryptografisches Netzwerkprotokoll (RFC 4251, Port 22), das authentifizierte, verschlusselte und integritatsgeschutzte Fernanmeldungen, Befehlsausfuhrung und Tunnel uber unsichere Netze ermoglicht. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet SSH?
Ein kryptografisches Netzwerkprotokoll (RFC 4251, Port 22), das authentifizierte, verschlusselte und integritatsgeschutzte Fernanmeldungen, Befehlsausfuhrung und Tunnel uber unsichere Netze ermoglicht.
Wie funktioniert SSH?
Secure Shell, spezifiziert in den RFCs 4251-4254, hat telnet und rlogin abgelost. Es kombiniert Host- und Benutzerauthentifizierung mit einem verschlusselten Kanal auf TCP-Port 22. Per Diffie-Hellman oder ECDH werden Sitzungsschlussel ausgehandelt; danach wird ein authentifiziertes symmetrisches Verfahren (meist AES-GCM oder ChaCha20-Poly1305) verwendet. Die Benutzerauthentifizierung kann uber Passwort, offentlichen Schlussel, Host oder Zertifikate erfolgen; fur Automatisierung sind Schlussel zu bevorzugen. SSH unterstutzt zudem TCP-Portweiterleitung, SOCKS-Proxy, X11-Forwarding und tragt SFTP und scp. Zur Hartung gehoren das Deaktivieren von Passworten, das Einschranken von Algorithmen, das Rotieren von Host-Keys, der Einsatz von Bastion-Hosts und das Monitoring von authorized_keys.
Wie schützt man sich gegen SSH?
Schutzmaßnahmen gegen SSH kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SSH?
Übliche alternative Bezeichnungen: Sichere Shell.
● Verwandte Begriffe
- network-security№ 1022
SFTP
Ein sicheres Datentransfer-Subsystem, das innerhalb einer SSH-Sitzung auf TCP-Port 22 lauft und authentifizierte, verschlusselte Datei- und Verzeichnisoperationen bereitstellt.
- network-security№ 1134
TCP
Ein verbindungsorientiertes Transportprotokoll (RFC 9293), das einen geordneten, zuverlassigen und staugesteuerten Bytestrom zwischen zwei Endpunkten uber IP liefert.
- cryptography№ 067
Asymmetrische Verschlüsselung
Verfahren, das mathematisch verbundene Schlüsselpaare nutzt – öffentlicher Schlüssel zum Verschlüsseln, privater zum Entschlüsseln – und so sichere Kommunikation ohne vorab geteiltes Geheimnis ermöglicht.
- identity-access№ 076
Authentifizierung
Verfahren, mit dem überprüft wird, dass eine Entität – Benutzer, Gerät oder Dienst – tatsächlich diejenige ist, die sie zu sein vorgibt, bevor ein Zugriff gewährt wird.
- network-security№ 437
FTP
Ein veraltetes Dateiubertragungsprotokoll (RFC 959), das TCP-Port 21 fur die Steuerung und Port 20 fur Daten verwendet, Zugangsdaten und Inhalte im Klartext ubertragt und aus Sicherheitsgrunden weitgehend abgelost wurde.
- network-security№ 1160
TLS-Handshake
Der initiale Protokollaustausch von Transport Layer Security, der den Server (und optional den Client) authentifiziert und die symmetrischen Sitzungsschlussel ableitet.
● Siehe auch
- № 1088SSH-Agent-Forwarding
- № 1089SSH-Schlusseltypen
- № 594known_hosts-Datei