Schlagwort: SSH · Seite 4

Auf einem MikroTik-Router wollte ich neben dem klassischen IPv4 auch IPv6 nutzen. Im Webinterface sah ich in der Paketübersicht allerdings, dass das betreffende Paket deaktiviert war.

Das IPv6-Paket war deaktiviert

Zur Aktivierung eines Paketes kann unter anderem das Terminal genutzt werden. In diesem muss der Befehl zur Aktivierung des IPv6-Paketes eingegeben werden:

/system package enable ipv6

Anschließend muss das System neugestartet werden:

/system reboot

Nach dem Neustart steht das IPv6-Paket anschließend zur Verfügung.

Nachdem mit einem MikroTik-Router eine Verbindung hergestellt wurde, kann die Konfiguration des Gerätes einfach über das Terminal ausgelesen bzw. exportiert werden. Dazu muss eine Verbindung per SSH hergestellt werden:

ssh admin@192.168.1.1

Anschließend wird der Nutzer von einem Prompt begrüßt:

[admin@192.168.1.1] >

Die Konfiguration kann im Terminal mittels des Befehls:

/export verbose

ausgegeben werden. Hierbei wird die komplette Konfiguration des Routers ausgegeben. Sinnvoller ist es in den meisten Fällen den Befehl:

/export compact

zu benutzen. In diesem Fall wird nur die Konfiguration ausgegeben, welche sich von der Standardkonfiguration des Systems unterscheidet. Alternativ kann einfach der Befehl:

/export

genutzt werden, welcher standardmäßig, seit Version 6 des RouterOS, die Variante compact nutzt. Soll eine exportierte Konfiguration importiert werden, so kann hierfür der Befehl:

/import

genutzt werden. Bei dieser Operation wird vom System nach einem Dateinamen gefragt, in welchem die entsprechende Konfiguration hinterlegt ist. Anlegt werden kann eine solche Datei über dem Export-Befehl:

/export file=configuration.rsc

Soll stattdessen ein neues bzw. zurückgesetztes Gerät mit einer neuen Konfiguration bespielt werden, muss die entsprechende Datei erst auf dem Gerät hinterlegt werden. Hierfür kann das Webinterface und dort der Punkt Files genutzt werden.

Über den Menüpunkt Files kann die Konfigurationdatei hinterlegt werden

Über den, auf dieser Seite zu findenden, Upload-Dialog können neue Dateien auf dem Router hinterlegt werden. Die Datei kann beim Import-Befehl direkt mit angegeben werden:

/import file=configuration.rsc

Neben dem Ex- und Import von Konfiguration, kann die Konfiguration auch vollständig zurückgesetzt werden. Hierfür muss der Befehl:

/system reset-configuration

eingeben werden. Nach einer Sicherheitsabfrage:

Dangerous! Reset anyway? [y/N]:

und der Bestätigung derselben wird die Konfiguration vollständig zurückgesetzt.

Die Router von MikroTik können auf unterschiedlichsten Wegen konfiguriert werden. Zum einen kann das Windows-Tool WinBox genutzt werden. Daneben existiert ein Webinterface und als dritte Möglichkeit der Zugang per SSH. Um sich per SSH mit dem Router verbinden zu können, muss der MikroTik-Router über eine IP-Adresse verfügen. Anschließend kann er per SSH konfiguriert werden:

ssh admin@192.168.1.1

Als Nutzername muss admin genutzt werden. Bei einem frischen System ist für den Nutzer admin noch kein Passwort gesetzt.

Nach dem Login wird der Nutzer von einem Prompt in Empfang genommen

Damit kann der Router nun über die SSH-Verbindung konfiguriert werden.

Um sich mit einer MariaDB-Datenbank zu verbinden wird ein Nutzer und ein Passwort benötigt. Wenn das Passwort verloren gegangen ist, ist dies allerdings kein Beinbruch, solange es sich um die eigene Installation handelt. In diesem Fall kann das Passwort einfach auf der Konsole zurückgesetzt werden. Dazu muss sich per SSH auf dem entsprechenden Server eingeloggt werden und dort das mysql-Tool mit dem Nutzer root gestartet werden:

mysql -u root

Nachdem dies geschehen ist, wird in der Kommandozeile auf die Tabelle mysql geschwenkt:

use mysql;

In dieser Tabelle finden sich die Verwaltungsdaten des Datenbanksystems. Über diese Tabelle ist es nun möglich den Nutzer mit einem neuen Passwort zu versehen:

update user set password=PASSWORD("geheim123") where User='username';
flush privileges;

Damit ist das Passwort für den entsprechenden Nutzer zurückgesetzt und das mysql-Tool kann mittels:

exit

verlassen werden. Anschließend kann der Nutzer mit dem neuen Passwort genutzt werden.

Um sich mit einem Rechner per SSH zu verbinden, kann ein Passwort oder ein kryptografisches Schlüsselpaar genutzt werden. Aus Gründen der Sicherheit sollte ein Login über SSH per Passwort im Normalfall nicht möglich sein. Stattdessen sollte sich immer über das Schlüsselpaar identifiziert werden. Dazu wird ein privater und ein öffentlicher Schlüssel generiert. Der öffentliche Schlüssel wird beim Zielserver in der Datei:

.ssh/authorized_keys

hinterlegt. Für die nötigen kryptografischen Operationen wird schließlich der private Schlüssel genutzt, welcher auf dem eigenen Rechner verbleibt. Normalerweise wird so nur ein Schlüsselpaar genutzt. Allerdings kann es durchaus vorkommen, das nicht nur ein Schlüssel, sondern mehrere unterschiedliche Schlüssel für die Verbindung zu unterschiedlichen Servern verwendet werden soll. Diese müssen dann auf dem eigenen Rechner vorgehalten werden. In diesem Fall muss der SSH-Client darüber informiert werden mit welchem Schlüssel die Anmeldung erfolgen soll. Normalerweise würde der Client wie folgt genutzt werden:

ssh

In diesem Fall würde der Standardschlüssel aus dem ~/.ssh/-Verzeichnis genutzt werden. Soll nun ein bestimmter Schlüssel genutzt werden so muss der Parameter -i angegeben werden:

ssh -i .ssh/otherkey

Damit kann der Schlüssel spezifiziert werden, welcher für die Verbindung genutzt werden soll. Eine andere Möglichkeit ist es für die einzelnen Server eine Konfiguration in der Datei ~/.ssh/config zu hinterlegen.

Host example.com
IdentityFile ~/.ssh/id_rsa

Host example.org
IdentityFile ~/.ssh/otherkey

So können unterschiedliche Schlüssel für unterschiedliche Server genutzt werden.

seeseekey.net

Deus ex machina

IPv6-Paket eines MikroTik-Routers aktivieren

Konfiguration eines MikroTik-Routers über das Terminal setzen

MikroTik-Router per SSH konfigurieren

Passwort eines MariaDB-Nutzers zurücksetzen