LinuxUserFAQWiki - Automatische Anmeldung

Netzwerkweite automatische Anmeldung (für alle Benutzer)

Es geht noch einfacher als unten, wenn dies für alle Benutzer gelten soll: Das nennt sich dann RhostsRSAAuthentication und funktioniert wie die alte ".rhosts" Methode, nur muß der Zielrechner nicht nur Deine IP als "erlaubt" gesagt bekommen haben, sondern zusätzlich Deinen ssh_host_key .

Das funktioniert natürlich nur wenn Du ROOT bist, sonst kannst Du es (natürlich) nicht für alle User einstellen. :-)

Einrichtung:

/etc/shosts.equiv (alle Rechner, die "können sollen", eintragen)
/etc/ssh_known_hosts (alle public keys eintragen)
/etc/sshd_conf (RhostsRSAAuthentication auf "yes" setzen)

Ach ja: Das ssh binary muss ueberall suid root installiert sein (damit es den host key lesen und ein bind() auf einen privileged port machen kann). Siehe DateiRechte bzw. DateiAttribute.

Das ist für Workgroup-Installationen ganz nett, dann kann man sich von jedem Rechner auf jedem Rechner einloggen und hin und her springen, ohne ständig Passwörter einzugeben. Wenn die erste Anmeldung per NIS erfolgt, ist das Passwort ja sowieso überall das gleiche, stellt also auch kein Sicherheitsrisiko dar.

Nur für einen Benuzer, ohne root-Zugriffe

Im Prinzip gehe davon aus, daß Linux dich immer fragen wird, wer du bist. Ohne dieses Wissen funktioniert das System nicht. Nun ja, aber wenn Du ständig remote auf anderen Rechnern zu tun hast, ist es lästig, bei jedem Login wieder dieselben Fragen beantworten zu müssen. Und dafür gibts Abhilfe. Voraussetzung: die SECURE SHELL, aka ssh.

Erstmal generierst Du dir einen Schlüssel: ssh-keygen

Falls du auf die Kennworteingabe bei einem entfernten Login verzichten willst, gibst du hier, wenn er dich nach einem RSA Password fragt, einfach ENTER ein.

So, damit hast du gleich mehrere Vorteile gegenüber telnet auf einmal geschlagen.

X wird transparent durchgeschleust - d.h. keine DISPLAY Variablen mehr nötig.
Es findet Kompression statt - besonders bei X sehr wichtig. (optional)
Es findet Verschlüsselung(!) statt. telnet sendet alles, auch Passwörter, im Klartext!
Man kann sich die Eingabe des Kennwortes sparen, wenn man die ssh richtig konfiguriert hat.

Für die Kompression mußt Du die shell mit ssh -C aufrufen. Wenn auf der anderen Seite das X11-Forwarding abgeschaltet wurde, musst du es mittels -X wieder anschalten. Natürlich muß auf beiden Seiten die ssh installiert sein, das ist sie unter Linux aber fast immer. Dann machst du folgendes: Du fügst den Inhalt der Datei $HOME/.ssh/identity.pub auf deinem Rechner an die Datei $HOME/.ssh/authorized_keys auf dem Rechner, auf dem du dich einloggen willst, an. Am einfachsten geht das so -

cat $HOME/.ssh/identity.pub | ssh username@anderer-rechner "cat >> /.ssh/authorized_keys"

Für SSH Version 2, heisst die identity.pub eventuell id_dsa.pub oder id_rsa.pub.

ACHTUNG: NIEMALS DIE DATEIEN OHNE .pub IRGENDWOHIN SCHIEBEN! DAS SIND DIE PRIVATEN KEYS!*

Ab sofort sollte ein

ssh -C -X anderer_username@anderer_rechner

dich ohne Kennworteingabe auf den anderen Rechner befördern und du kannst dort X Programme ausführen, ohne daß Du irgendwelche DISPLAY Variablen o.ä. beachten mußt.

Sicherheitsbedenken

Beachte allerdings, daß du, wenn Du kein RSA Kennwort angibst, dein Account auf dem anderen Rechner auf den gleichen "Sicherheitslevel" runtersetzt, auf dem dein Account auf deinem Rechner liegt. D.h. falls jemand es schaffen sollte, in deinen lokalen Account einzudringen, hat er automatisch auch immer Zugriff auf den 'anderen' Account, weil du halt eine Shell ohne Kennwort zugelassen hast.

Ob das zu undurchsichtig wird, bleibt dir überlassen. Ich finde es sehr praktisch in einem LAN von drei Rechnern, die sowieso nur von mir, jedenfalls auf Linux-Seite, benutzt werden.

Ein Shell Account auf einem anderen Rechner irgendwo im Kindernet wäre da schon wieder was ganz anderes.