SFTP-Zugang
Diese Seite beschreibt, wie Sie als Bediener Personen außerhalb der Appliance autorisieren — einen Hersteller, einen Kundenadministrator oder einen Bereitschaftsmitarbeiter im Support — Dateien per SFTP auf der Appliance abzulegen. Der hier beschriebene Bildschirm ist SFTP Access in der TUI.
Der Zugang hier autorisiert ausschließlich das Hochladen von Dateien — gleich, ob die Gegenseite sich mit ihrem eigenen SSH-Schlüssel oder mit dem SFTP-Passwort der Appliance verbindet. Keine der beiden Methoden gewährt einen Shell-Zugang auf der Appliance — das ist ein eigener Bereich, der über den Bildschirm SSH-Zugang verwaltet wird.
Wann brauchen Sie das
SFTP-Zugang ist die Antwort, wenn eine Datei auf der Appliance landen soll und ein USB-Stick nicht praktikabel ist. Zwei wiederkehrende Situationen:
- Ein Hersteller muss ein Update-Bundle aus der Ferne liefern. Der Pulse-Support hat einen neuen Systemtarball gebaut und signiert, und Sie möchten nicht zur Anlage fahren, nur um einen USB-Stick einzustecken. Wenn Sie den öffentlichen Schlüssel des Herstellers hier autorisieren, kann er das Bundle per SFTP in das Austauschverzeichnis hochladen; Sie übernehmen es anschließend über den Bildschirm Update System.
- Ein Kunde möchte sein eigenes TLS-Zertifikat einspielen. Die CA des Kunden hat ein frisches Zertifikat- und Schlüsselpaar für die Weboberfläche der Appliance ausgestellt, und der Kunde möchte es lieber per Netzwerk hochladen als einen USB-Stick zum Rack zu tragen. Wenn Sie den Schlüssel des Kunden hier autorisieren, kann er die PEM-Dateien per SFTP in das Austauschverzeichnis legen; Sie installieren sie anschließend über den Bildschirm TLS Certificates.
In beiden Fällen erhält die autorisierte Gegenseite niemals eine Shell — sie kann nur Dateien in das Austauschverzeichnis legen. Die TUI ist die Grenze, an der entschieden wird, was mit diesen Dateien geschieht.
Passwort-Anmeldung
Nicht jede Gegenseite besitzt einen SSH-Schlüssel, und nur für eine einzelne Lieferung einen einzurichten, ist oft mehr Aufwand, als es sich lohnt. Für diese Fälle akzeptiert die Appliance auch ein Passwort, das mit jedem grafischen SFTP-Client funktioniert — FileZilla, WinSCP, Cyberduck und dergleichen.
Die Appliance erzeugt ihr eigenes SFTP-Passwort beim ersten Start und zeigt es oben auf dem Bildschirm SFTP Access unter Passwort-Anmeldung (beliebiger SFTP-Client) an:
- Host — die IP-Adresse der Appliance.
- Port —
22. - Benutzer —
pulse-transfer. - Passwort — angezeigt als fünf Vierergruppen (
xxxx-xxxx-xxxx-xxxx-xxxx), direkt von der Konsole ablesbar.
Geben Sie diese vier Werte über einen vertrauenswürdigen Kanal an die Gegenseite weiter, und sie kann sich sofort verbinden — ein Schlüsselaustausch ist nicht nötig. Die Sitzung ist genauso eingeschränkt wie beim Schlüssel-Zugang: chroot-eingesperrt im Austauschverzeichnis, ohne Shell und ohne Weiterleitung.
Es gibt ein Passwort pro Appliance, das sich alle teilen, die sich auf diesem Weg anmelden — das ist der Kompromiss gegenüber Schlüsseln. Ein Schlüssel kennzeichnet eine einzelne Partei und lässt sich einzeln widerrufen; das Passwort ist ein einziges gemeinsames Geheimnis. Bevorzugen Sie Schlüssel, wenn Sie mehrere Parteien unabhängig autorisieren müssen, und greifen Sie zum Passwort, wenn einfach nur eine Lieferung schnell erfolgen soll.
Das Passwort neu erzeugen
Drücken Sie g, um ein frisches Passwort zu erzeugen. Existiert bereits eines, fragt die TUI zuerst nach einer Bestätigung, denn das aktuelle Passwort funktioniert ab dem Moment der Neuerzeugung sofort nicht mehr — jeder Client, der es nutzt, auch Ihre eigenen, muss mit dem neuen Wert aktualisiert werden. Bei Erfolg kehrt der Bildschirm mit SFTP-Passwort neu erzeugt. und dem angezeigten neuen Passwort zur Liste zurück.
Erzeugen Sie das Passwort neu, sobald eine Lieferung abgeschlossen ist, oder immer dann, wenn Sie vermuten, dass es sich weiter verbreitet hat als beabsichtigt.
Einen Schlüssel einfügen
Der Bildschirm listet die aktuell autorisierten Schlüssel unterhalb des Passwort-Bereichs auf. Die Tastenleiste am unteren Rand zeigt, was verfügbar ist:
a Schlüssel einfügen • u von USB • d entfernen • g Passwort neu erzeugen • esc zurückEs gibt zwei Wege, einen Schlüssel hinzuzufügen. Wählen Sie den, der zum Arbeitsablauf passt — das Ergebnis ist identisch.
Den Schlüssel direkt einfügen
Drücken Sie a. Ein Eingabefeld erscheint mit dem Platzhalter ssh-ed25519 AAAA... user@host.
- Fragen Sie die Gegenseite nach ihrem öffentlichen SSH-Schlüssel. Es ist der Inhalt einer
.pub-Datei — eine einzige Zeile, die mit dem Algorithmusnamen beginnt (ssh-ed25519,ssh-rsa,ecdsa-sha2-nistp256), gefolgt vom base64-kodierten Schlüsselmaterial und einem optionalen Kommentar wiealice@vendor.com. - Fügen Sie die ganze Zeile in das Feld ein. Das Terminal muss Einfügen unterstützen — die meisten modernen Terminal-Emulatoren tun das, und an der Appliance-Konsole fügen Sie üblicherweise mit
Strg-Umschalt-Voder per mittlerem Mausklick ein, je nach Terminal. - Drücken Sie
Enterzur Bestätigung. Die TUI prüft die Zeile mitssh-keygen. Ist der Schlüssel fehlerhaft, erscheint eine rote Fehlermeldung unter dem Feld und nichts wird hinzugefügt — korrigieren Sie ihn und versuchen Sie es erneut. Ist der Schlüssel bereits in der Liste, weist die TUI ihn mit dem vorhandenen Fingerabdruck zurück, damit Sie wissen, welchen Eintrag Sie ansehen müssen. - Bei Erfolg kehrt der Bildschirm zur Liste zurück, der neue Schlüssel erscheint mit seinem SHA256-Fingerabdruck und Kommentar, und eine grüne Statuszeile bestätigt
Key added: SHA256:....
Mit Esc brechen Sie ab, ohne etwas hinzuzufügen.
Eine .pub-Datei von einem USB-Stick auswählen
Drücken Sie u. Die TUI durchsucht den eingehängten USB-Stick nach Dateien mit der Endung .pub und zeigt eine Auswahl an.
- Stecken Sie einen USB-Stick mit der
.pub-Datei der Gegenseite in die Appliance. Die TUI hängt das Laufwerk automatisch unter/mnt/usbein. - Drücken Sie zurück im Bildschirm SFTP Access die Taste
u. Werden keine.pub-Dateien gefunden, kehrt der Bildschirm mit der roten Meldungno .pub files found on USB drivezur Liste zurück — kopieren Sie die Datei in das Wurzelverzeichnis des USB-Sticks und versuchen Sie es erneut. - Wählen Sie mit den Pfeiltasten (oder
j/k) die richtige Datei aus und drücken SieEnter. Die TUI liest die Datei, validiert sie und fügt den Schlüssel hinzu. - Wie beim Einfügen kehrt der Bildschirm bei Erfolg mit einer grünen Bestätigung und dem neuen Fingerabdruck zur Liste zurück.
Mit Esc brechen Sie an jeder Stelle ab, ohne einen Schlüssel hinzuzufügen.
Die USB-Auswahl ist der richtige Weg, wenn der Kunde Ihnen einen Stick persönlich übergeben hat oder wenn der Schlüssel per E-Mail kam und auf einen Stick statt in die Zwischenablage gespeichert wurde.
Schlüssel auflisten und entfernen
Die Hauptansicht listet jeden autorisierten Schlüssel zeilenweise auf. Jeder Eintrag zeigt den SHA256-Fingerabdruck und das Kommentarfeld des Schlüssels — meist eine E-Mail-Adresse oder eine Hostkennung wie alice@vendor.com. Verwenden Sie den Fingerabdruck, um auseinanderzuhalten, welcher Schlüssel welcher ist, wenn mehrere ähnlich aussehen; der Kommentar allein ist nicht beweiskräftig, weil dort beliebiger Text stehen kann.
So entfernen Sie einen Schlüssel:
- Bewegen Sie die Auswahl mit
↑/↓(oderk/j) auf die Zeile, die Sie entfernen möchten. - Drücken Sie
d. Eine Bestätigungsabfrage erscheint mit dem Fingerabdruck und dem Kommentar des zu entfernenden Schlüssels. - Drücken Sie
yzur Bestätigung odern(oderEsc) zum Abbrechen.
Nach der Bestätigung wird der Schlüssel aus der authorized_keys-Datei der Appliance entfernt, und der Bildschirm kehrt mit Key removed zur Liste zurück. Die Entfernung wirkt sofort — eine bereits offene SFTP-Sitzung des Schlüsselinhabers bleibt bis zur Trennung verbunden, eine neue Sitzung kann er aber nicht mehr aufbauen.
Was die autorisierte Gegenseite tun kann
Beide Authentifizierungsmethoden — ein autorisierter Schlüssel oder das Passwort — führen zu genau einem SFTP-Benutzer: dem pulse-transfer-Prinzipal. Dieser Benutzer ist im Austauschverzeichnis der Appliance chroot-eingesperrt, hat keine Shell, und AllowTcpForwarding, X11Forwarding sowie PermitTunnel sind alle abgeschaltet. Effektiv kann jeder, der sich authentifiziert:
- Sich per SFTP verbinden (Port 22, Benutzername
pulse-transfer). - Dateien in den Unterbaum
uploads/des Austauschverzeichnisses ablegen. - Dateien aus dem Unterbaum
downloads/abholen (genutzt für Dateien, die die Appliance zum Download bereitstellt, etwa Backup-Archive und einen erzeugten CSR). - Sich nicht auf einer interaktiven Shell anmelden.
- Keine TCP-Weiterleitung, keine X11-Sitzung und keinen Tunnel aufbauen.
Den Shell-Zugang auf Bedienerebene — für Support-Mitarbeiter, die Probleme an der Appliance selbst beheben — verwalten Sie getrennt auf dem Bildschirm SSH-Zugang. Die beiden Bildschirme sind voneinander unabhängig: Ein hier autorisierter Schlüssel gewährt keinen Shell-Zugang, und ein dort autorisierter Schlüssel berechtigt nicht zum SFTP-Upload.
Wo die Dateien landen
Per SFTP hochgeladene Dateien landen in /var/pulse-exchange/uploads/, aufgeteilt nach Art in Unterverzeichnisse: updates/ für System-Update-Bundles und certificates/ für TLS-PEM-Dateien. Die genauen Pfade gehören zur chroot-Sicht des SFTP-Benutzers — die Gegenseite sieht sie als Wurzel ihrer Sitzung.
Sie konsumieren die Dateien nicht von diesem Bildschirm aus. Stattdessen:
- Update System bietet die Quelle SFTP Upload, die die unter
uploads/updates/bereitgestellten Bundles auflistet und Sie eines davon zur Installation auswählen lässt. - TLS Certificates bietet die Quelle From SFTP exchange, die die unter
uploads/certificates/bereitgestellten PEM-Dateien auflistet und Sie ein Zertifikat-/Schlüssel-Paar zur Installation auswählen lässt.
Ein wöchentlicher Aufräum-Timer entfernt Dateien, die älter als sieben Tage sind, aus dem Austauschverzeichnis — ein Upload, der dort lange ungenutzt liegt, wird irgendwann eingesammelt. Wenn etwas länger Bestand haben muss, übernehmen Sie es vorher über den zuständigen TUI-Bildschirm.
Verwandte Bildschirme
- SSH-Zugang — verwaltet den Shell-Zugang auf Bedienerebene. Eigenes Prinzipal, eigene Schlüsselliste.
- TUI-Referenz — das vollständige Menü, einschließlich der SFTP-source-Optionen in Update System und TLS Certificates.
- Installation — die Erstkonfiguration, bei der die Appliance bereitgestellt wird, aber noch keine SFTP-Schlüssel konfiguriert sind.