Welche Permissions braucht die ssh-config?

Die Datei selbst muss **nur für dich lesbar und schreibbar** sein: `chmod 600 ~/.ssh/config`. Das `.ssh`-Verzeichnis muss `700` sein. Sind Permissions zu offen, weigert sich SSH, die Datei zu nutzen, und warnt "Bad owner or permissions on /home/du/.ssh/config". Windows erzwingt ACL-basierte Äquivalente.

Wie erzeuge ich einen ed25519-Key?

`ssh-keygen -t ed25519 -C "your_email@example.com"` ausführen. Enter, um die Default-Location (`~/.ssh/id_ed25519`) zu akzeptieren, und eine starke **Passphrase** setzen (sie schützt den Key, falls dein Laptop geklaut wird). Die Public-Hälfte ist in `id_ed25519.pub`, die pastest du in den Server, in GitHub oder wo du dich authentifizierst.

Warum ed25519 statt RSA?

**ed25519**-Keys sind kurz (~80 Zeichen im .pub-File), schnell zu erzeugen und nutzen moderne Elliptic-Curve-Mathe. RSA-Keys brauchen **mindestens 3072 Bit**, um ed25519-Sicherheit zu erreichen, und sind 10x größer. Jeder moderne Server unterstützt ed25519. Nimm RSA nur, wenn du dich mit einem sehr alten Server (vor 2014, OpenSSH) verbinden musst.

Was sind die Risiken von ForwardAgent: yes?

Agent-Forwarding lässt den **Remote-Server** deinen lokalen SSH-Agent zum Signieren bitten, das heißt jeder **Root auf diesem Server** kann deine Keys für die Session-Dauer nutzen. Okay für einen Host, dem du voll vertraust, gefährlich auf einem geteilten oder kompromittierten. Die sicherere moderne Alternative ist **ProxyJump** zum Hoppen über Bastions.

Was macht StrictHostKeyChecking genau?

**yes** (ablehnen, wenn Host-Key unbekannt oder geändert, am sichersten), **ask** (Default, beim ersten Mal fragen), **accept-new** (neue Hosts auto-akzeptieren, Änderungen ablehnen, Mittelweg), **no** (alles akzeptieren, **anfällig für MITM**). Nimm `no` nur für ephemere VMs in einem geschlossenen Lab.

Was ist der Unterschied zwischen ProxyJump und ProxyCommand?

**ProxyJump** (seit OpenSSH 7.3) ist der moderne One-Liner: `ProxyJump user@bastion`. **ProxyCommand** ist der alte Weg mit `ssh -W %h:%p bastion`. Beide gehen, ProxyJump ist sauberer, unterstützt mehrere Hops (`bastion1,bastion2`) und ist der empfohlene Default. Nimm ProxyCommand nur auf Systemen, die auf altem OpenSSH festhängen.

Was ist der Unterschied zwischen LocalForward, RemoteForward und DynamicForward?

**LocalForward** öffnet einen Port auf **deinem Rechner**, der zum Server tunnelt (`8080 localhost:80` heißt "mein 8080 erreicht deren 80"). **RemoteForward** öffnet einen Port **auf dem Server**, der zurück zu dir tunnelt (gut für Reverse-Tunnel). **DynamicForward** öffnet einen **SOCKS-Proxy** auf deinem Rechner, praktisch um einen ganzen Browser über den Remote zu routen.

Meine SSH-Session stirbt nach ein paar Minuten Idle. Fix?

`ServerAliveInterval 60` hinzufügen (jede 60 Sekunden Keepalive senden) und `ServerAliveCountMax 3` (nach 3 verpassten aufgeben). Das stupst die Verbindung an, damit NAT-Router und Corporate-Firewalls sie nicht droppen. Bonus: SSH bemerkt ein wirklich totes Netz schneller und disconnectet sauber statt zu hängen.

Kann ich Wildcards oder mehrere Hosts in einem Block nutzen?

Ja. Eine `Host`-Zeile akzeptiert eine **leerzeichengetrennte Liste und Globs**: `Host prod prod-* staging-eu-*`. Die Optionen drin gelten für jeden Match. Erster Match gewinnt, von oben nach unten, also **spezifische Einträge über die Wildcards**. Der Builder schreibt einen Host pro Block, kopier und kombinier von Hand für Patterns.

SSH-Config-Builder - kostenlos

PresetsKlicke, um den aktiven Eintrag zu ersetzen

Einträge1 Block/Blöcke

Basis

KommentarKurze Notiz, als #-Zeile über den Host-Block geschrieben

Host (Alias)Kurzer Name, den du nach `ssh` tippst. z. B. `prod` → `ssh prod`HostNameDie echte Adresse oder IP des ServersUserBenutzername zum EinloggenPortDefault 22, leer lassen, um aus der Datei zu lassen

IdentityFilePfad zu deinem privaten Schlüssel. Schlüssel verlassen nie deine Maschine

IdentitiesOnly

Nur den oben gelisteten Schlüssel probieren. Verhindert den „too many authentication failures"-Fehler, wenn dein Agent viele Schlüssel hat

~/.ssh/config

In deine SSH-Config-Datei einfügen

8 Zeilen

# Production app server, key auth only
Host prod
  HostName 1.2.3.4
  User deploy
  IdentityFile ~/.ssh/prod_ed25519
  IdentitiesOnly yes
  ServerAliveInterval 60
  ServerAliveCountMax 3

Datei-Ort

Linux/macOS: ~/.ssh/config
Windows: %USERPROFILE%\.ssh\config
Berechtigungen: chmod 600 ~/.ssh/config

Was ist ~/.ssh/config und warum lohnt es sich?

Verbindest du dich mit mehr als einem Server, tippst du wahrscheinlich immer wieder `ssh -i ~/.ssh/work_key -p 2222 deploy@10.0.0.20`. Eine einzige Datei `~/.ssh/config` macht aus all dem `ssh prod`.

Dieser Builder schreibt die Datei für dich. Preset wählen (Production-Server, Bastion-Jump, GitHub, SOCKS-Proxy, Dev-Container...), Felder anpassen, und das rechte Panel zeigt den exakten Text zum Pasten in `~/.ssh/config`. Jede Option hat einen Plain-Hint, du musst nicht auswendig lernen, welche Großbuchstaben OpenSSH will.

Alles läuft im Browser: keine Keys beteiligt, nichts hochgeladen, kein Account. Der Output ist nackte OpenSSH-Config, identisch zu dem, was du von Hand schreiben würdest.

So nutzt du das Tool

Starte mit einem Preset (Production-Server, Bastion, GitHub, SOCKS-Proxy...). Das Formular füllt sinnvolle Defaults, die du anpassen kannst.
Tipp das Host-Alias (Kurzname, den du nach `ssh` tippst), dann den HostName (echte Adresse oder IP), User und Port, falls nicht 22.
Identity öffnen und IdentityFile auf deinen Private-Key zeigen, z. B. `~/.ssh/id_ed25519`. IdentitiesOnly anschalten, damit SSH nicht jeden Key aus deinem Agent durchprobiert.
Brauchst du einen Jump-Host? Proxy / Jump öffnen und `user@bastion` in ProxyJump eintragen. SSH connectet automatisch durch die Bastion.
Für Port-Forwarding Forwarding öffnen und Zeilen wie `8080 localhost:80` in LocalForward (Remote-Port lokal exposen) oder RemoteForward (lokalen Service auf dem Server exposen) hinzufügen.
Copy im Preview klicken, in `~/.ssh/config` pasten (Datei anlegen, falls sie nicht existiert), und `chmod 600 ~/.ssh/config` ausführen, damit SSH der Datei vertraut.
Weitere Einträge mit dem Plus-Button oben hinzufügen. Die Vorschau kombiniert alle in einer Datei, exakt in der Reihenfolge, in der sie erscheinen.

Wann das nützlich ist

Sieben konkrete Situationen, in denen ein sauberes `ssh config` echt Zeit spart:

Du loggst dich jeden Tag in Production ein. Statt `ssh -i ~/.ssh/prod_ed25519 -p 22 deploy@1.2.3.4` tippst du `ssh prod`. Auto-Complete funktioniert, History funktioniert, Skripte um ssh herum funktionieren.
Das Ziel ist hinter einer Bastion. `ProxyJump` auf dem internen Host setzen und SSH hoppt transparent über den Jump-Server. Schluss mit manuellen Zwei-Stufen-Verbindungen.
Du hast separate Keys für GitHub und GitLab. `IdentityFile` pro Host pinnen, damit der richtige Key dem richtigen Service angeboten wird. Schluss mit dem "too many authentication failures"-Error, wenn SSH jeden Key im Agent durchprobiert.
Du brauchst einen lokalen Port für die Entwicklung. `LocalForward 5432 localhost:5432` hinzufügen und das Postgres auf dem Server taucht auf deinem Laptop auf. Kein VPN nötig.
Du willst einen SOCKS-Proxy zum Surfen über einen Server. `DynamicForward 1080` plus Firefox auf localhost:1080 stellen, und dein Traffic geht vom Remote-Rechner raus. Praktisch für region-gesperrte Dashboards.
Du managst 30+ Hosts. Gruppier sie mit `Host prod-*`-Patterns (der Builder schreibt einen Host pro Block, aber das Dateiformat unterstützt Wildcards, ergänze Extra-Blöcke von Hand obendrauf).
Du willst einen lokalen Service auf einem öffentlichen Server exposen (Klassisches ngrok-Szenario). `RemoteForward 8080 localhost:3000` auf einem öffentlich erreichbaren Server, und der Port 3000 deines Laptops ist auf dem Server unter Port 8080 erreichbar.

Fragen und Antworten

Auf Linux und macOS: `~/.ssh/config`. Auf Windows mit dem eingebauten OpenSSH-Client (Windows 10+): `%USERPROFILE%\.ssh\config` (typisch `C:\Users\du\.ssh\config`). Der OpenSSH-Client liest auch `/etc/ssh/ssh_config` als systemweite Defaults, aber die User-Config gewinnt.

Was ist ~/.ssh/config und warum lohnt es sich?

Alles läuft im Browser: keine Keys beteiligt, nichts hochgeladen, kein Account. Der Output ist nackte OpenSSH-Config, identisch zu dem, was du von Hand schreiben würdest.

So nutzt du das Tool

Starte mit einem Preset (Production-Server, Bastion, GitHub, SOCKS-Proxy...). Das Formular füllt sinnvolle Defaults, die du anpassen kannst.

Tipp das Host-Alias (Kurzname, den du nach `ssh` tippst), dann den HostName (echte Adresse oder IP), User und Port, falls nicht 22.

Identity öffnen und IdentityFile auf deinen Private-Key zeigen, z. B. `~/.ssh/id_ed25519`. IdentitiesOnly anschalten, damit SSH nicht jeden Key aus deinem Agent durchprobiert.

Brauchst du einen Jump-Host? Proxy / Jump öffnen und `user@bastion` in ProxyJump eintragen. SSH connectet automatisch durch die Bastion.

Für Port-Forwarding Forwarding öffnen und Zeilen wie `8080 localhost:80` in LocalForward (Remote-Port lokal exposen) oder RemoteForward (lokalen Service auf dem Server exposen) hinzufügen.

Copy im Preview klicken, in `~/.ssh/config` pasten (Datei anlegen, falls sie nicht existiert), und `chmod 600 ~/.ssh/config` ausführen, damit SSH der Datei vertraut.

Weitere Einträge mit dem Plus-Button oben hinzufügen. Die Vorschau kombiniert alle in einer Datei, exakt in der Reihenfolge, in der sie erscheinen.

Wann das nützlich ist

Sieben konkrete Situationen, in denen ein sauberes `ssh config` echt Zeit spart:

Du loggst dich jeden Tag in Production ein. Statt `ssh -i ~/.ssh/prod_ed25519 -p 22 deploy@1.2.3.4` tippst du `ssh prod`. Auto-Complete funktioniert, History funktioniert, Skripte um ssh herum funktionieren.
Das Ziel ist hinter einer Bastion. `ProxyJump` auf dem internen Host setzen und SSH hoppt transparent über den Jump-Server. Schluss mit manuellen Zwei-Stufen-Verbindungen.
Du hast separate Keys für GitHub und GitLab. `IdentityFile` pro Host pinnen, damit der richtige Key dem richtigen Service angeboten wird. Schluss mit dem "too many authentication failures"-Error, wenn SSH jeden Key im Agent durchprobiert.
Du brauchst einen lokalen Port für die Entwicklung. `LocalForward 5432 localhost:5432` hinzufügen und das Postgres auf dem Server taucht auf deinem Laptop auf. Kein VPN nötig.
Du willst einen SOCKS-Proxy zum Surfen über einen Server. `DynamicForward 1080` plus Firefox auf localhost:1080 stellen, und dein Traffic geht vom Remote-Rechner raus. Praktisch für region-gesperrte Dashboards.
Du managst 30+ Hosts. Gruppier sie mit `Host prod-*`-Patterns (der Builder schreibt einen Host pro Block, aber das Dateiformat unterstützt Wildcards, ergänze Extra-Blöcke von Hand obendrauf).
Du willst einen lokalen Service auf einem öffentlichen Server exposen (Klassisches ngrok-Szenario). `RemoteForward 8080 localhost:3000` auf einem öffentlich erreichbaren Server, und der Port 3000 deines Laptops ist auf dem Server unter Port 8080 erreichbar.

Fragen und Antworten

SSH-Config-Builder

Was ist ~/.ssh/config und warum lohnt es sich?

So nutzt du das Tool

Wann das nützlich ist

Fragen und Antworten

Passende Tools

tsconfig.json Builder

Cron-Ausdruck-Builder

JWT Decoder

cURL Konverter

SSH-Config-Builder

Was ist ~/.ssh/config und warum lohnt es sich?

So nutzt du das Tool

Wann das nützlich ist

Fragen und Antworten

Passende Tools

tsconfig.json Builder

Cron-Ausdruck-Builder

JWT Decoder

cURL Konverter