Fernwartung für Partnerfirmen#

Einführung#

Bemerkung

Die folgende Anleitung beschreibt die Nutzung des Fernwartungs-Pakets durch IServ-Mitarbeiter und Partnerfirmen. Für Endkunden ist sie nicht relevant.

Um IServ-Server vor nicht autorisierten Zugriffen zu schützen, verwenden wir die Multi-Faktor-Authentifizierungslösung DUO. Nachdem Sie, wie unten beschrieben, einen SSH-Schlüssel erstellt und uns den öffentlichen Schlüssel übermittelt haben, erhalten Sie einen DUO-Aktivierungslink per SMS. Zukünftig müssen Sie dann alle SSH-Anmeldungen an IServ-Servern per Smartphone oder SMS-Nachricht bestätigen.

DUO auf dem iPhone#

Warnung

Bitte beachten Sie: Wenn Sie einen bereits existierenden SSH-Schlüssel verwenden wollen, dann muss dieser entweder vom Typ RSA mit einer Länge von 4096 Bit sein oder vom Typ ED25519. Andere Schlüsseltypen und Längen können wir nicht akzeptieren. Alle öffentlichen Schlüssel müssen uns im OpenSSH-Format vorliegen.

Windows#

Für die Fernwartung per SSH von Windows aus wird PuTTY genutzt. Unter Linux und MacOS verwenden wir das vorinstallierte Programm ssh-keygen.

Installation#

Laden Sie zunächst das komplette Programmpaket putty-0.xx-installer.exe von https://www.chiark.greenend.org.uk/~sgtatham/putty/download.html herunter und installieren es. Bitte stellen Sie sicher, dass Sie über eine aktuelle Version von PuTTY verfügen, da Sie ansonsten im nachfolgendem Teil der Anleitung keinen ED25519-Schlüssel generieren können.

Schlüssel erstellen#

  • Das Programm PuTTYgen starten.

  • Unten im Kasten Parameters den Schlüsseltyp ED25519 auswählen.

  • Generate anklicken.

  • Maus zufällig im grauen Feld bewegen bis der grüne Fortschrittsbalken voll ist.

  • Bei Key comment die eigene E-Mail-Adresse eintragen (z. B. vorname.nachname@iserv.eu).

  • Bei Key passphrase und Confirm passphrase ein langes und sicheres Passwort eingeben.

  • Das erzeugte Schlüsselpaar mit Save private key in einem Ordner speichern, auf den nur der eigene Benutzer Zugriff hat. Der öffentliche Schlüssel ist mit enthalten und braucht nicht gesondert gespeichert zu werden. Der private Schlüssel sollte nicht auf einem Server gespeichert werden. Im Verlustfall kann mit wenig Aufwand ein neuer erstellt werden.

  • Schließlich den öffentlichen Schlüssel (ssh-ed25519 ... vorname.nachname@firma.de) aus dem grauen Kasten oben vollständig kopieren und zusammen mit der Telefonnummer des zugehörigen Smartphones per E-Mail an support@iserv.eu schicken.

  • Das Programm PuTTYgen beenden.

Schlüssel laden#

  • Das Programm Pageant starten.

  • Das Programm wird rechts unten im Icon-Tray neben der Systemuhr angezeigt. Ggf. auf das kleine Dreieck klicken, um alle Symbole anzuzeigen. Das Icon muss doppelt angeklickt werden.

  • Mit Add Key das eben abgespeicherte Schlüsselpaar laden. Dazu wird das oben vergebene Passwort abgefragt.

  • Das Fenster mit Close schließen.

Da der Schlüssel bei jedem Neustart des Rechners erneut geladen werden muss, empfiehlt es sich, Pageant per Autostart beim Starten des Rechners direkt mit starten zu lassen. Ab Windows 7 können Sie dies folgendermaßen einrichten:

Drücken Sie Windows + r und geben dann shell:startup ein. Damit wird der Autostartordner geöffnet. Kopieren Sie nun eine Verknüpfung zu Pageant in diesen Ordner. Klicken Sie die erzeugte Verknüpfung mit der rechten Maustaste an und wählen Eigenschaften aus. Tragen Sie nun in der Zeile Ziel zusätzlich den zuvor erstellten Private Key samt Pfad ein. Als Beispiel: c:\Users\vorname.nachname\private.ppk wobei Sie vorname.nachname durch den entsprechenden Benutzernamen ersetzen. Sind im Pfad Leerzeichen enthalten müssen Sie den Eintrag mit „“ umschließen. Schließen Sie das Fenster dann mit einem Klick auf OK. Hiermit haben Sie Pageant als Autostart angelegt und der Key wird direkt mitgeladen. Beim Starten des Rechners fordert Pageant Sie auf Ihr zuvor selbst erstelltes Passwort eingeben.

Einstellungen#

  • Speichern Sie das Skript bssh.bat in das Verzeichnis von PuTTY (zum Beispiel C:\Programme (x86)\PuTTY).

  • Laden Sie den Registry-Patch putty-iserv.reg herunter.

  • Klicken Sie mit der rechten Maustaste auf die Datei und wählen Bearbeiten.

  • Ersetzen Sie firma-vorname.nachname jeweils durch Ihren Fernwartungs-Benutzer.

  • Beenden Sie den Editor und speichern die Änderungen.

  • Importieren Sie die Datei durch Doppelklick in die Registry.

Fernwartung#

  • Pageant starten und Key laden, sofern Sie Pageant nicht wie oben beschrieben als Autostart eingerichtet haben.

  • Das Programm PuTTY starten.

  • Die passende Session auswählen und mit Load laden:

    • IServ Portalserver: Stellt eine direkte Verbindung mit dem Zielrechner her. Als Host Name die Domain eines Servers (Beispiel: meine-schule.de), seine öffentliche IP-Adresse (Beispiel: 1.2.3.4) oder die IP-Adresse eines Servers im eigenen lokalen Netzwerk angeben (Beispiel: 10.255.0.1).

    • IServ Backupserver: Stellt die Verbindung zum Zielrechner über einen Portalserver her. Als Host Name den vollen Hostname (Beispiel: backup.meine-schule.de) oder die private IP-Adresse des Zielrechners (Beispiel: 10.0.0.2) eingeben. Der Hostname backup zusammen mit der Domain der Schule löst immer automatisch auf den Backupserver auf, unabhängig von seinem tatsächlichen Namen. Unter Connection » Proxy bei Proxy hostname die Domain des vorgeschalteten Portalservers eingeben. Wenn der Wert leer gelassen wird, wird die Domain des eingegebenen Host Name verwendet. Zu dem Proxy muss schon einmal eine Verbindung bestanden haben, damit PuTTY den Host-Key kennt.

  • Mit Open die Verbindung aufbauen. Bei der ersten Verbindung zu einem Server muss der Host-Key bestätigt werden.

  • Auf dem verbundenen Smartphone erscheinen nun je nach Session eine oder zwei Autorisierungsanfragen. Wenn die angezeigten Daten stimmen, diese mit Genehmigen bestätigen.

  • Der Server kann nun ferngewartet werden. Alle eingegebenen Befehle werden zusammen mit Uhrzeit und Benutzernamen protokolliert.

  • Die Verbindung wird mit dem Befehl exit oder der Tastenkombination Strg+D beendet.

Linux/Mac#

Installation#

Unter Linux und MacOS ist bereits ein SSH-Client vorinstalliert. Lediglich unser Werkzeug zum Verbinden mit dem Backupserver bssh muss noch nachinstalliert und die SSH-Konfiguration angelegt werden.

  • Laden Sie die aktuelle Version von bssh herunter wget https://doku.iserv.de/_static/downloads/remote-support/bssh

  • Verschieben Sie das Skript in einen geeigneten Ordner sudo mv bssh /usr/local/bin/bssh

  • Machen Sie das Skript ausführbar sudo chmod +x /usr/local/bin/bssh

  • Anschließend legen Sie die SSH-Konfiguration in ~/.ssh/config an:

    Host *
  ServerAliveInterval 240
  SendEnv EMAIL
  HashKnownHosts no
  StrictHostKeyChecking no
  ControlPath ~/.ssh/master-%C
  ControlMaster auto
  ControlPersist 28800

Schlüssel erstellen#

  • Öffnen Sie ein Terminal

  • Ersetzen Sie den Platzhalter für die E-Mail-Adresse und führen Sie folgenden Befehl aus ssh-keygen -t ed25519 -C "vorname.nachname@example.com" -f key

  • Den öffentlichen Schlüssel finden Sie in der Datei key.pub.

Fernwartung#

  • Für den Portalserver: ssh -i /pfad/zum/Schlüssel/key firmenkürzel-vorname.nachname@mein-iserv.de

  • Für den Backupserver: bssh firmenkürzel-vorname.nachname@mein-iserv-de -- -i /pfad/zum/Schlüssel/key

firmenkürzel ist dabei ein Prefix, der abhängig vom Unternehmen ist. Es ist für alle Mitarbeiter eines Unternehmens gleich. Mitarbeiter der IServ GmbH verwenden an dieser Stelle iserv. Partnerfirmen erhalten das Kürzel von unserem Support.