Service: Das CIT betreibt ein zentrales SSH-Jumphost-Cluster. Dieses bietet die Möglichkeit von außerhalb der Uni auf Universität-interne Systeme per SSH zuzugreifen. Es können sowohl Verbindungen per IPv4 als auch IPv6 genutzt werden.
Zielgruppe: Studierende, Beschäftigte
Nutzungskosten: kostenlos
Kontakt: Hotline
Für die Benutzung des Dienstes muss ein SSH-Schlüsselpaar erzeugt werden. Anforderungen an den Schlüssel sind: Schlüsseltyp RSA mit Schlüssellänge mindestens 3072 (besser 4096) oder Schlüsseltyp Ed25519 oder Schlüsseltyp ECDSA mit Schlüssellänge mindestens 256 (besser 384 oder 521). Nicht alle Typen werden von jeder Soft- und Hardware unterstützt. Wir empfehlen ECDSA 384, ersatzweise RSA 4096.
Öffnen Sie das Terminal und geben Sie den folgenden Befehl ein, um das Schlüsselpaar mit den empfohlenen Einstellungen zu erstellen.
ssh-keygen -t ecdsa -b 384
oder
ssh-keygen -t rsa -b 4096
Bestätigen Sie dies mit Enter. Anschließend wählen Sie zum Schutz Ihres privaten Schlüssels bitte unbedingt ein gutes Passwort (nicht Ihr Uni- oder Netzzugangspasswort).
Die generierte Datei befindet sich im versteckten Ordner /.ssh in Ihrem Benutzerordner. Je nach Schlüsseltyp heißen die Dateien 4096id_ecdsa oder id_rsa oder id_ed25519. Aktivieren Sie ggf. die Anzeige von versteckten Ordnern und Dateien, um den Ordner sichtbar zu machen.
Der öffentliche Teil des gerade erzeugten Schlüssels (die erzeugte .pub-Datei) muss nun im IT-Portal https://sso.uni-muenster.de/IT-Portal/ hochgeladen werden. Navigieren Sie dazu zu „Passwörter und PINs“ / „Öffentliche SSH-Schlüssel“ und klicken auf Browse und wählen die .pub Datei aus. Falls Sie die Zwei-Faktor-Authentifizierung aktiviert haben, müssen Sie zusätzlich noch die 6-stellige Codezahl, die Ihnen soeben per SMS zugeschickt wurde, eingeben. Drücken Sie nun auf den Button zum Hinterlegen des öffentlichen Schlüssels.
Überprüfen Sie, ob der SSH-Service auf Ihrem Gerät aktuell läuft. Geben Sie dazu folgenden Befehl ein:
sudo systemctl status ssh
(Debian/Ubuntu) oder (CentOS/RHEL/Fedora)
sudo systemctl status sshd
Das Terminal sollte Active zurückgeben, andernfalls starten Sie den Service mit
sudo systemctl start ssh.service
(Debian/Ubuntu) oder (CentOS/RHEL/Fedora)
sudo systemctl start sshd.service
und überprüfen mit dem ersten Befehl erneut den Status des Services.
Für das System, das per SSH erreicht werden soll, müssen die beiden folgenden Adressen der SSH-Jumphosts mittels einer Ausnahmeregel in der Firewall des Zielsystems für den TCP-Port 22 (Standardmäßiger Port für SSH) eingetragen und in den Netzwerk-ACLs freigegeben werden.
Sie können das Zielsystem entweder per Loadbalancer oder explizit mit den beiden oben genannten Adressen erreichen. Geben Sie dafür folgenden Befehl ein und ersetzen die Platzhalter
Viele SSH-Impementierungen testen alle vorhandenen Identity-Files, so dass auf dem Jumphost und dem Zielsystem unterschiedliche Schlüssel verwendet werden können. Es können aber auch die IP-Protokolle und die Identität explizit angegeben werden.
Verwenden Sie für die explizite Identität die Option „-o IdentitiesOnly=yes“ und geben die dazugehörige Datei mit „-i“ an. Das Protokoll legen Sie mit „-4“ für IPv4 bzw. „-6“ für IPv6 fest.
ssh [-o IdentitiesOnly=yes][-i identityFile]
[-4|-6] -J account1@sshjump.uni-muenster.de
[-4|-6] account2@zielsystem
Neuere SSH-Versionen:
scp -J account1@sshjump.uni-muenster.de
datei account2@zielsystem:datei
sftp -J account1@sshjump.uni-muenster.de
account2@zielsystem
Ältere SSH-Versionen:
scp -o ProxyJump=account1@sshjump.uni-muenster.de
datei account2@zielsystem:datei
sftp -o ProxyJump=account1@sshjump.uni-muenster.de
account2@zielsystem