FreeNAS: Network Attached Storage im Eigenbau

Sichere Authentisierung dank SSH

Es ist nicht praktikabel, wenn die Sicherung nachts nicht anlaufen kann, da ein Passwort einzugeben ist. Um die Übertragung dennoch sicher zu gestalten, setzen wir auf eine Authentifizierungsmethode über den genannten public_key. Notwendig ist dazu nur das Paket openssh, das im Installationsumfang bereits enthalten ist. Um das Szenario anschaulicher zu gestalten, legen wir folgendes Beispiel fest:

Client: Das ist der Rechner, der gesichert werden soll. Da normalerweise nur ein User alle Zugriffsrechte besitzt, stößt root das Backup-Script an. IP-Adresse 192.168.1.200.

FreeNAS-Server: Dies ist unser Sicherungsrechner. IP-Adresse 192.168.1.250.

Der erste Schritt ist die Erstellung eines ssh-Schlüsselpaars für root auf dem Client, was ssh-keygen –t rsa erledigt. Die drei nächsten Zeilen jeweils mit „Enter“ bestätigen. Wichtig ist, keine Passphrase einzugeben. Wenn Sie hier ein Kennwort vergeben, verlangt die Anmeldung an FreeNAS nach einem Passwort. Und genau das wollen wir vermeiden. Im Verzeichnis /root/.ssh befindet sich nun unter anderem die Datei id_rsa.pub. Diese enthält den öffentlichen Schlüssel von root. Kopieren Sie die Datei id_rsa.pub auf den FreeNAS-Server.

Im nächsten Schritt überlegen Sie sich, welcher Benutzer auf dem FreeNAS-Server das Backup annehmen soll. In unserem Fall haben wir uns für den Anwender tecchannel entschieden. Wechseln Sie in das Home-Verzeichnis von Benutzer tecchannel und legen Sie das Verzeichnis .ssh mit mkdir .ssh an. Die Rechte für das Verzeichnis setzen Sie mit chmod 700 .ssh. Vergessen Sie nicht, den Besitzer für das Verzeichnis .ssh richtig zu setzen. In diesem Fall wäre das chown tecchannel .ssh. Beachten Sie auch, dass vor ssh ein Punkt zu setzen ist.

Danach kopieren Sie den öffentlichen Schlüssel id_rsa.pub in die Datei authorized_keys: cat id_rsa.pub >> <Homeverzeichnis tecchannel>/.ssh/authorized_keys. Anschließend testen wir, ob alles funtioniert. Melden Sie sich vom Client aus mit ssh tecchannel@192.168.1.250 am FreeNAS-Server an. Beim ersten Loginversuch fragt Client unter Umständen, ob FreeNAS in die Liste der bekannten Systeme aufgenommen werden soll. Sobald Sie dies mit einem ausgeschriebenen „yes“ bestätigt haben, ist die Konfiguration abgeschlossen. Nun könnten Sie zum Beispiel mit dem Befehl rsync –avu /home/ backup@192.168.1.250:/mnt/<Sicherungsverzeichnis> Sicherungen automatisieren.