SSH Key Authentication

Wenn euer Server aus dem Internet erreichbar ist solltet ihr die SSH Authentication auf SSH Key umstellen. Hier zeige ich euch eine kurze Anleitung wie man das am Besten bewerkstelligt.

Wir benötigen drei Schritte um die Authentication auf Keys umzustellen.

  • SSH Key lokal generieren
  • Public Key auf deinen Server kopieren
  • SSH Agent konfigurieren

SSH Key generieren

user@myMacbook ~ % ssh-keygen -t rsa -b 4096 -C "myRaspis" -f .ssh/myRaspis_rsa
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in .ssh/myRaspis_rsa.
Your public key has been saved in .ssh/myRaspis_rsa.pub.
The key fingerprint is:
SHA256:+8wmN/aTxbiqiii3+k9dO3fanpcXtTiOcb4yIIOTpp8 myRaspis
The key's randomart image is:
+---[RSA 4096]----+
|                 |
|                 |
|                 |
|                .|
|      o S    o. o|
|     * + + ..+oo |
|    + o * o B+...|
|. .+ .. .*=B++o .|
|.=+o+E...**=B+.. |
+----[SHA256]-----+

Während der Erstellung der Keys wird man nach einer Passphrase gefragt, diese sollte man definitiv vergeben. Es gibt im SSH Package ein kleines Programm ssh-agent, dieses kleine Programm nimmt uns das eingeben der Passphrase bei jedem Login ab. Später dazu mehr. Danach findet man in .ssh/ zwei neue Dateien:

user@myMacbook ~ % ls -l .ssh
-rw-------  1 bzimmer  staff   3414  4 Mai 21:51 myRaspis_rsa
-rw-r--r--  1 bzimmer  staff    734  4 Mai 21:51 myRaspis_rsa.pub

Die Datei myServer_rsa ist der private Schlüssel und sollte gut aufgehoben und nirgends hinkopiert werden, ausser in dein Keepass(x).

SSH Key auf Remote Server kopieren

Die Datei myServer_rsa.pub ist der public Key und wird auf all deine Server kopiert. Dies kann man zum einen per ssh-copy-id oder ganz klassisch, den Inhalt vom public Key auf den Servern in die Datei .ssh/authorized_keys einfügen.

user@myMacbook ~ % ssh-copy-id -i .ssh/myRaspis_rsa.pub pi@192.168.21.56
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: ".ssh/myRaspis_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
pi@192.168.21.56's password:

Number of key(s) added:        1

Now try logging into the machine, with:   "ssh 'pi@192.168.21.56'"
and check to make sure that only the key(s) you wanted were added.

Nun müsste auf dem Server in der Datei .ssh/authorized_keys der public Key enthalten sein. Man sollte so etwas ähnliches hier sehen:

pi@raspi-sp1: ~ $ cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1........SS5XYCRbhdQ== myRaspis

Nun kann man sich per ssh pi@192.168.21.56 und Key authentication auf dem Server einloggen.

user@myMacbook ~ % ssh pi@192.168.21.56 -i .ssh/myRaspis_rsa
Enter passphrase for key '.ssh/myRaspis_rsa':

pi@raspi-sp1: ~ $

Die Option -i .ssh/myRaspis_rsa ist nur notwendig, da wir ganz am Anfang die erzeugten Keys in die Dateien .ssh/myRaspis_rsa und .ssh/myRaspis_rsa.pub geschrieben haben. Standardmäßig werden die Dateien .ssh/id_rsa und .ssh/id_rsa.pub erzeugt. Diese werden dann auch beim verbinden standardmäßig ausgewählt.

SSH Agent konfigurieren

Nun wollen wir das lästige eingeben der Passphrase noch irgendwie umgehen. Dazu haben die Entwickler von SSH das Programm ssh-agent entwickelt. Mit ssh-add -L kann man checken ob der Agent die Keys schon geladen hat. Dies wird wahrscheinlich beim ersten Mal nicht der Fall sein. Um die Keys zu laden führt man den Befehl ssh-add aus, danach wird man für jeden vorhandenen Public Key nach der Passphrase gefragt, die dann in der lokalen keychain abgelegt wird.

user@myMacbook ~ % ssh-add -L
The agent has no identities.
# Alle Keys laden und Passphrase in Keychain eintragen
user@myMacbook ~ % ssh-add
Enter passphrase for /home/user/.ssh/myRaspis_rsa:
Identity added: /home/user/.ssh/myRaspis_rsa (/home/user/.ssh/myRaspis_rsa)

# Nun sollte man hier alle geladenen Keys sehen
user@myMacbook ~ % ssh-add -L
ssh-rsa AAAAB3Nza..............FTcrMMZS0OzKlQ== myRaspis

Beim nächsten ssh login kann man sich ohne Eingabe der Passphrase einloggen. Als allerletztes kann man jetzt in der /etc/ssh/sshd_config das Login per Password verbieten in dem man die Password Authentication auf NO setzt: PasswordAuthentication no.

Nun müsste man jedesmal bevor man sich auf diesem/diesen Servern einloggt alle Keys laden mit ssh-add. Um dies zu umgehen müssen wir die Datei ~/.ssh/config erstellen, wenn noch nicht vorhanden. In diese Datei müssen wir folgende Sequenz einfügen:

Host *
  UseKeychain yes
  AddKeysToAgent yes
  IdentityFile ~/.ssh/myRaspis_rsa

Danach müssen wir den Mac einmal neustarten und wir brauchen beim SSH Login keine Passphrase mehr eingeben.

Zusammenfassung

Hier nochmal alles in Kürze und mit Standardwerten, also ohne die oben angegebenen „myRaspis_rsa“ und „myRaspis_rsa.pub“.

# Keys erzeugen
ssh-keygen -t rsa -b 4096 -C "myRaspis"

# public Keys auf remote Server kopieren
ssh-copy-id pi@192.168.21.56

# SSH Keys in den SSH Agent laden
ssh-add

# Config Datei auf Macbook anlegen
Host *
  UseKeychain yes
  AddKeysToAgent yes
  IdentityFile ~/.ssh/id_rsa

# auf dem Server die PasswordAuthentication abschalten 
PasswordAuthentication no

zweites Dropdown Menü abhängig vom ersten Dropdown anzeigen

Hier will ich euch mal zeigen, wie ich mir eine Navigation mit zwei Dropdown Menüs gebaut habe. Anforderung war allerdings, dass das zweite Dropdown Menü sich abhängig von der Auswahl des ersten Dropdown Menüs ändern soll. Im ersten Dropdown Menü lasse ich mir alle Router anzeigen die in der Datenbank stehen. Wenn ich einen Router ausgewählt habe, soll das zweite Dropdown Menü eingeblendet werden und nur die Interfaces auswählbar sein, die am Router verfügbar sind.

Ich habe hier meine altbewährte Mysql Tabelle „router“ genommen und noch eine zweite Tabelle „interfaces“ erstellt.

Zur Erklärung, in der Tabelle „interfaces“ gibt es eine Spalte „rtr_id“, das ist die „id“ aus der Tabelle „router“. Router 4 hat die id=4, somit gehören alle Interfaces aus der Tabelle „interfaces“ dem Router 4, wo die „rtr_id“ = 4 ist. Zur Vereinfachung haben alle Interfaces als zweite Zahl die Nummer des Routers (Router 4 = TenGigE0/4/x/y).

Ich habe mir nun eine PHP Script „inc.functions.php“ erstellt in dem ich all meine PHP Funktionen reinschreibe. Wir müssen in zwei PHP Scripten die DB Verbindung aufbauen und ich habe jeweils eine Funktion für die Dropdown Menüs geschrieben. Dieses Script include ich in jeder anderen PHP Datei.

Nun erstellen wir uns eine HTML Seite mit einem Formular in dem zunächst nur das Dropdown Menü für die Router und der Submit Button angezeigt werden. Des Weiteren erstellen wir noch einen DIV Container „interfaces“ für das Dropdown Menü interfaces und einen DIV Container „wait“ für die Lade Grafik. Da wir das Dropdown Menü „router“ abschicken müssten um das Dropdown Menü „interfaces“ zu erstellen machen wir das ganze mit Ajax. Wir rufen per Ajax Post Request das Script „interfaces.php“ auf. Wenn der Ajax Request abgeschickt wurde blenden wir die Lade Grafik, das Dropdown Menü „interfaces“ und den Submit Button ein. Wenn das Dropdown Menü „router“ ein zweites Mal betätigt wird, blenden wir das Dropdown Menü „interfaces“ und den Submit Button wieder aus. Dann wird der Ajax Post Request abgeschickt, und wir blenden die Lade Grafik aus und den Rest wieder ein.

Das PHP Script mit dem „router“ Dropdown Menü.

Nun kommt noch die ganze Jquery Logik dazu, die dieses Vorhaben ermöglicht. Die Zeile 5 in der Java Script Datei bräuchte man normalerweise nicht, wenn man den Submit Button in der router.php per default ausblendet (style=“display: none;“). Ich wollte hier nur mal die verschiedenen Möglichkeiten aufzeigen.

Anbei ein paar Bilder wie das Menü aussieht, das erste ist der Ausgangszustand, es wird nur ein Dropdown Menü gezeigt, dann das Bild mit der Ladegrafik, dann sieht man wie das zweite Dropdown Menü und der Submit Button eingeblendet. Als letztes sieht man die Auswahl der verfügbaren Interfaces am Router1. Hübsch machen müsst ihr das Menü selber. 🙂

So sieht es mit bewegten Bildern aus. 🙂

Mysql und MysqlDump Befehle

Ich habe hier mal eine kleine Übersicht der gängigsten Mysql und Mysqldump Befehle erstellt, da ich diese auch immer wieder brauche.

Datenbank erzeugen und User für diese Datenbank anlegen.

Das Passwort vom Mysql User ändern wir in dem wir mit „mysqladmin“ das alte und danach das neue Passwort eingeben.

Nun erstellen wir mit „mysqldump“ ein Backup unserer Datenbank. Wir benutzen mysqldump dafür und leiten die Ausgabe in eine Datei um.

Wenn wir ein regelmäßiges Backup unserer DB benötigen, sollten wir uns ein Bash Script schreiben und dieses dann per Cronjob täglich starten. Ich habe mal zwei Versionen meines Shell Scripts aufgezeigt. Ich gehe mal davon aus, das das Shell Script täglich gestartet wird.

Der Befehl in Zeile 5 speichert den Dump mit Tag im Dateinamen (testingdb_dump_08.sql), das bedeutet unser ältestes Backup ist 30 oder 31 Tage alt, je nachdem wieviel Tage der aktuelle Monat hat.

Der Befehl in Zeile 8 speichert den Dump mit Tag und Monat im Dateinamen (testingdb_dump_08_03.sql), das bedeutet unser ältestes Backup ist ein Jahr alt. Am 08.03. des nächsten Jahres wird diese Datei überschrieben.

Der Befehl in Zeile 11 speichert den Dump mit Tag, Monat und Jahr im Dateinamen (testingdb_dump_08_03_2018.sql), das bedeutet wir können auf jeden Tag mit dem Backup zurück springen, da die Dateien nie überschrieben werden.

 

Dropdown Menü aus DB dynamisch erstellen

Heute möchte ich euch zeigen, wie man sich ein Dropdown Menü dynamisch aus einer Mysql DB erstellt. Als erstes erstellen wir uns eine Tabelle mit zwei Spalten, eine Spalte ist Primary Key „id“ und die andere Spalte enthält die Router Namen.

Als erstes verbinden wir uns mit der Datenbank und schreiben per prepared Statement die Ausgabe aus der Datenbank in das Array „$router“. Dann erstellen wir uns ein HTML Formular und fügen das Dropdown Menü (select) ein. Nun müssen wir die „option“ Tags für das Select Menü erstellen. Dazu wird das Array $router per for-Schleife Zeile für Zeile ausgegeben und in option Tags eingebettet.

Die for-Schleife in den Zeilen 30-32 erzeugt die ganze Dynamik des Formulars. Zur Erklärung, wir müssen die option Tags wie folgt erzeugen:

Dies geschieht alles in Zeile 31. In dem Array $router sind alle Werte aus der DB enthalten, die „id“ und der „routername“. Da wir nicht wissen wieviel Einträge das Array hat, lassen wir es durch eine for-Schleife laufen und erhöhen bei jedem Durchlauf die Variable $i.

Mittels

  • $router[$i][‚id‘] <– id = Datenbank Spalte ‚id‘, die Namen müssen gleich sein
  • $router[$i][‚routername‘] <– routername = Datenbank Spalte ‚routername‘, die Namen müssen gleich sein

holen wir Zeile für Zeile die Werte aus der DB und tragen sie in die option Tags ein. Das ist die ganze Herrlichkeit.

Dropdown Menü mit vorausgewähltem option Tag

Wenn wir nun z.B. einen Routernamen vorauswählen wollen, abhängig von dem was unser User gewählt hat, müssen wir im Prinzip nur eine Zeile in unserem Script ändern. Wir müssen in einem option Tag nur das keyword „selected“ einfügen.

Beispiel hier wird router2 im Dropdown Menü angezeigt:

Wie machen wir das am besten. Wir müssen auf alle Fälle das Formular einmal abgesendet haben. Dann bekommen wir eine $_POST[‚router‘] Variable übergeben, in der die id aus der Datenbank steht.

Nun müssen wir bei jedem Zeilendurchlauf die id aus der Datenbank mit dem Wert der der $_POST[‚router‘] Variable vergleichen. Wenn beide Werte gleich sind, fügen wir das Keyword „selected“ in den option Tag ein. Dazu bedienen wir uns der Kurzschreibweise von if/else, da wir das innerhalb eines echo benötigen.

 

Als erstes schreiben wir die globale $_POST[‚router‘] Variable in eine $id Variable und ändern dann die Zeile 31 wie folgt:

HTML Formular als Quelltext, hier sieht dass die $_POST[‚router‘] Variable = 3 ist und im Menü der Router3 vor ausgewählt wurde.

 

 

 

 

 

 

Datum in PHP formatieren

Hier will ich euch zeigen wie wir das Datum aus einer Mysql Datenbank in einem deutschen Format anzeigen lassen. Mysql gibt den Wert aus der Zelle mit dem Daten Typ „Timestamp“ wie folgt zurück:

Nun möchten wir aus diesem Format ein ordentliches deutsches Datumsformat ausgeben. Dafür schreiben wir uns eine eigene Funktion in PHP. Wir haben eine ganz einfache Mysql Tabelle mit einer „id“ und einer „zeitstempel“ spalte. Continue Reading