|
Size: 7098
Comment: pohjustus uusiksi
|
Size: 8153
Comment: X11forwarding-kappele lisää + muita paljon parannuksia/korjauksia
|
| Deletions are marked like this. | Additions are marked like this. |
| Line 2: | Line 2: |
| SSH on tietoturvaltaan erittäin hyvä tapa ottaa etäyhteyksiä telnetin tapaan ja sen lisäksi se tarjoaa mahdollisuuden käyttää jopa graaffisia ohjelmia etänä. Se salaa koko yhteyden mukaan lukien yhteydenoton, joten tunnukset ja salasanat pysyvät turvassa. OpenSSH sisältää myös mahdollisuuden SFTP:llä tapahtuvaan tiedostojen siirtoon. Se vastaa täysin FTP:tä, mutta liikenne on salattua ssh-pääteyhteyden tapaan. | SSH on tietoturvaltaan erittäin hyvä tapa ottaa etäyhteyksiä telnetin tapaan. Tämän lisäksi se tarjoaa mahdollisuuden käyttää jopa graaffisia ohjelmia etänä. Ssh salaa koko yhteyden mukaan lukien yhteydenoton, joten tunnukset ja salasanat pysyvät turvassa. OpenSSH sisältää myös mahdollisuuden SFTP:llä tapahtuvaan tiedostojen siirtoon. Se vastaa täysin FTP:tä, mutta liikenne on salattua ssh-pääteyhteyden tapaan. |
| Line 5: | Line 5: |
| 1. Avaa pääte ja komenna {{{ |
Avaa pääte ja komenna {{{ |
| Line 9: | Line 9: |
| SSH-palvelin käynnistyy samalla kuin se asennetaan, joten siihen voi heti yrittää ottaa yhteyttä joko SSH:llä tai SFTP:lla.Nythän kuka tahansa joka näkee koneen ulkoisen IP:n pystyy yrittämään koneelle sisään arvaamalla käyttäjätunnuksen ja salasanan. Ubuntussa ei onneksi ole rootin tiliä aktivoituna, joten siihen kohdistuvat yritykset ovat luonnollisesti turhia. Muutenkin nuo madot yrittävät yleensä arvailla englantilaisia erisnimiä, joten suomalaisilla koneilla niitä ei useinkaan onnista. Olisi kuitenkin mukavaa jos pystyisi määräämään ketkä saavat ottaa koneelle yhteyttä, ja sen toki pystyykin tekemään seuraavasti: | SSH-palvelin käynnistyy samalla kuin se asennetaan, joten siihen voi heti yrittää ottaa yhteyttä joko SSH:llä tai SFTP:lla. Nythän kuka tahansa joka näkee koneen ulkoisen IP:n pystyy yrittämään koneelle sisään arvaamalla käyttäjätunnuksen ja salasanan. Ubuntussa ei onneksi ole rootin tiliä aktivoituna, joten siihen kohdistuvat yritykset ovat luonnollisesti turhia. Muutenkin nuo madot yrittävät yleensä arvailla englantilaisia erisnimiä, joten suomalaisilla koneilla niitä ei useinkaan onnista. Olisi kuitenkin mukavaa jos pystyisi määräämään ketkä saavat ottaa koneelle yhteyttä, ja sen toki pystyykin tekemään seuraavasti. |
| Line 15: | Line 15: |
| 1. Halutessasi voit rajoittaa ssh:n käyttöoikeuden tietyille käyttäjille. Lisää tiedoston loppupuolelle rivi joka alkaa avainsanalla '''!AllowUsers''' ja listataan sen perään välilyönnillä erotettuna käyttäjät jotka saavat ottaa koneeseen yhteyden: | 1. Voit rajoittaa ssh:n käyttöoikeuden tietyille käyttäjille lisäämällä tiedoston loppupuolelle rivi joka alkaa avainsanalla '''!AllowUsers''' ja listataan sen perään välilyönnillä erotettuna käyttäjät jotka saavat ottaa koneeseen yhteyden |
| Line 25: | Line 25: |
| == Avainten käyttöönotto == | == Yksityisen ja julkisen avaimen käyttöönotto == |
| Line 27: | Line 27: |
=== Käyttöönotto palvelimessa === |
|
| Line 38: | Line 40: |
| Huomaat, että kukaan ei pääse sisään, itse asiassa kukaan ei pääse edes yrittämään salasanan arvaamista. Nyt onkin tosi turvallista, mutta mitenkäs siihen sitten oikein pääsee sisälle... Käyttäjien pitää luoda itselleen avaimet joita tulee kaksi kappaletta, '''julkinen''' ja '''yksityinen'''. '''Julkinen''' avain pitää toimittaa koneelle johon ollaan loggautumassa ja yksityinen avain pitää lisätä käyttäjän kotihakemistossa olevaan hakemistoon '''.ssh''' tiedostoon '''authorized_keys''' aivan kuten tuolla konffissa määrittelimme. | Huomaat, että kukaan ei pääse sisään, itse asiassa kukaan ei pääse edes yrittämään salasanan arvaamista. Nyt onkin tosi turvallista, mutta mitenkäs siihen sitten oikein pääsee sisälle... Käyttäjien pitää luoda itselleen avaimet joita tulee kaksi kappaletta, '''julkinen''' ja '''yksityinen'''. '''Julkinen''' avain pitää toimittaa koneelle johon ollaan loggautumassa ja yksityinen avain pitää lisätä käyttäjän kotihakemistossa olevaan hakemistoon '''.ssh''' ja siellä tiedostoon '''authorized_keys''' aivan kuten tuolla konffissa määrittelimme. === Avainparin luominen asiakaskoneella === |
| Line 49: | Line 53: |
| 1. Kopioidaan avain palvelimelle | 1. Kopioidaan avain asiakaskoneelta palvelimelle |
| Line 76: | Line 80: |
| == Graaffisten ohjelmien etäkäyttö == Graaffisia ohjelmia pystyy käyttä mään suoraan ssh:n läpi kunhan yhteys otetaan -X vivun kanssa. Ennen kuin tätä voidaan käyttää täytyy se aktivoida ssh-palvelimen asetuksista. |
|
| Line 77: | Line 83: |
| == Keychain == | * Taas kerran muokataan palvelimen '''/etc/ssh/sshd_config'''-tiedostoa. Katso että kohdan '''X11Forwarding''':n arvona on yes ja että se ei ole kommentoituna. {{{ X11Forwarding yes }}} * Tallenna tiedosto ja käynnistä ssh-palvelin uudelleen. Nyt graaffisten ohjelmien etäkäyttö pitäisi onnistua. Kannattaa myös laittaa yhteyden pakkaus päälle -C vivulla jolloin graaffinen etäyhteys helpottuu hitaammilla yhteyksillä. Huomaa että kyseessä on iso X ja C. {{{ $ ssh -XC tunnus@palvelin tunnus@palvelin:~$ xmms }}} Ja vaikka xmms:n pitäisi nyt käynnistyä. == Keychain - Useita palvelimia yhden salasanan taakse == |
| Line 81: | Line 103: |
| Kun sinulla on julkisella avaimella kirjautuminen käytössä voidaan hommaa helpottaa komenolla '''ssh-add ~/.ssh/id_rsa''' joka kysyy avaimen salasanan ja ottaa sen talteen '''ssh-agent'''-palveluun jonka jälkeen sinun ei enää tarvitse syöttää sitä vastaavaa salasanaa, mutta tämä toimii vai yhdessä terminaalisessiossa kerrallaan joten hyöty jää melko minimaaliseksi. Tätä korjaamaan otamme scriptin nimeltä Keychain. | Kun sinulla on julkisella avaimella kirjautuminen käytössä voidaan hommaa helpottaa komenolla '''ssh-add ~/.ssh/id_rsa''' joka kysyy avaimen salasanan ja ottaa sen talteen '''ssh-agent'''-ohjelmaan jonka jälkeen sinun ei enää tarvitse syöttää sitä vastaavaa salasanaa, mutta tämä toimii vai yhdessä terminaalisessiossa kerrallaan joten hyöty jää melko minimaaliseksi. Tätä korjaamaan otamme scriptin nimeltä Keychain. |
| Line 94: | Line 116: |
| '''id_rsa''':n tilalle voit toki suorankin polun yksityiseen avaimeesi. Siihen voi myös laittaa argumentiksi useammankin avaimen mikäli sille on tarvetta. | '''id_rsa''':n tilalle voit toki suorankin polun yksityiseen avaimeesi. Siihen voi myös laittaa argumentiksi useammankin avaimen mikäli sille on tarvetta, mutta silloin joudut syöttämään yhden salasanan enemmän. |
| Line 98: | Line 120: |
| Kun lopetat työskentelyn, niin voit sulkea ssh-agentin komennolla: | Kun lopetat työskentelyn voit sulkea ssh-agentin komennolla: |
| Line 102: | Line 124: |
| Tämän jälkeen kirjautujalta kysytään taas normaalisi avaimen salasanaa. | Tämän jälkeen kirjautujalta kysytään taas normaalisi avaimen salasanaa. |
SSH ja SFTP-palvelimen asennus
SSH on tietoturvaltaan erittäin hyvä tapa ottaa etäyhteyksiä telnetin tapaan. Tämän lisäksi se tarjoaa mahdollisuuden käyttää jopa graaffisia ohjelmia etänä. Ssh salaa koko yhteyden mukaan lukien yhteydenoton, joten tunnukset ja salasanat pysyvät turvassa. OpenSSH sisältää myös mahdollisuuden SFTP:llä tapahtuvaan tiedostojen siirtoon. Se vastaa täysin FTP:tä, mutta liikenne on salattua ssh-pääteyhteyden tapaan.
Palvelimen asennus
Avaa pääte ja komenna
$ sudo apt-get install openssh-server
SSH-palvelin käynnistyy samalla kuin se asennetaan, joten siihen voi heti yrittää ottaa yhteyttä joko SSH:llä tai SFTP:lla. Nythän kuka tahansa joka näkee koneen ulkoisen IP:n pystyy yrittämään koneelle sisään arvaamalla käyttäjätunnuksen ja salasanan. Ubuntussa ei onneksi ole rootin tiliä aktivoituna, joten siihen kohdistuvat yritykset ovat luonnollisesti turhia. Muutenkin nuo madot yrittävät yleensä arvailla englantilaisia erisnimiä, joten suomalaisilla koneilla niitä ei useinkaan onnista. Olisi kuitenkin mukavaa jos pystyisi määräämään ketkä saavat ottaa koneelle yhteyttä, ja sen toki pystyykin tekemään seuraavasti.
Avaa tekstieditorissa pääkäyttäjän oikeuksin (sudo) tiedosto /etc/ssh/sshd_config
etsi kohta PermitRootLogin yes ja muuta sen arvoksi no
Voit rajoittaa ssh:n käyttöoikeuden tietyille käyttäjille lisäämällä tiedoston loppupuolelle rivi joka alkaa avainsanalla AllowUsers ja listataan sen perään välilyönnillä erotettuna käyttäjät jotka saavat ottaa koneeseen yhteyden
AllowUsers janne mikk0 ninnnu
- tallenna tiedosto ja käynnistä palvelin uudestaan komentamalla:
$ sudo /etc/init.d/ssh restart
Nyt koneelle pääsee vain tunnuksilla janne, mikk0 ja ninnnu Tällä tietoturvatasolla voi aloittaa. Kannattaa kuitenkin seurata tiedostosta /var/log/messages, keitä koneelle on yrittänyt sisään.
Yksityisen ja julkisen avaimen käyttöönotto
Avain muodostuu kahdesta osasta, julkisesta ja yksityisestä avaimesta. Julkinen avain sijoitetaan palvelimelle ja yksityinen avain pitää löytyä koneelta, jolta yhteyttä muodostetaan. Julkiset avaimet siis määrittävät palvelimella millä yksityisillä avaimilla voidaan kirjautua sisään.
Käyttöönotto palvelimessa
Avaa taas tiedosto /etc/ssh/sshd_config pääkäyttäjän oikeuksin
- Etsi kohdat
#AuthorizedKeysFile %h/.ssh/authorized_keys #PasswordAuthentication yes
Poista molemmilta riveiltä kommentti (se risuaita siitä alusta).Muuta vielä passwordAuthentication yes arvoksi no
- Tallenna tiedosto ja käynnistä palvelin uudestaan.
Huomaat, että kukaan ei pääse sisään, itse asiassa kukaan ei pääse edes yrittämään salasanan arvaamista. Nyt onkin tosi turvallista, mutta mitenkäs siihen sitten oikein pääsee sisälle... Käyttäjien pitää luoda itselleen avaimet joita tulee kaksi kappaletta, julkinen ja yksityinen. Julkinen avain pitää toimittaa koneelle johon ollaan loggautumassa ja yksityinen avain pitää lisätä käyttäjän kotihakemistossa olevaan hakemistoon .ssh ja siellä tiedostoon authorized_keys aivan kuten tuolla konffissa määrittelimme.
Avainparin luominen asiakaskoneella
- Luodaan rsa-tyyppisen avainpari jonka pituus on 2048 bittiä päätteessä komentamalla:
$ ssh-keygen -t rsa
Kannattanee hyväksyä tiedostojen oletussijainti ~/.ssh/id_rsa ja ~/.ssh/id_rsa.pub. Noista ensimmäinen tulee siis pitää visusti poissa ulkopuolisten silmistä! Ja jälkimmäinen on se julkinen avain joka pitää toimittaa palvelimelle. Tuo ohjelma kysyy myös salasanaa joka liitetään avaimeen ja jota käytetään jatkossa avaimen kanssa loggautuessa (se voi olla eri kuin käyttäjän kohdekoneen salasana).
Julkisen avaimen lisääminen palvelimelle
- Kopioidaan avain asiakaskoneelta palvelimelle
$ scp ~/.ssh/id_rsa.pub tunnus@palvelin:/home/tunnus
Ole tässä tarkkana ettet vahingossakaan lähetä yksityistä avainta (id_rsa) palvelimelle!
- Kirjaudutaan palvelimelle
$ ssh tunnus@palvelin
- Lisätään avain
$ cat id_rsa.pub >> .ssh/authorized_keys
- Ja lopuksi kannattanee vielä poistaa turha avaintiedosto palvelimelta
$ rm id_rsa.pub
Tämän saman tempun voi tehdä siis niin monelle palvelimelle kuin haluaa tällä samalla id_rsa.pub -tiedostolla. Nyt sinun pitäisi pystyä kirjautumaan niille kaikille palvelimille sillä salasanalla jonka asetit tuolle avaimelle.
Ssh osaa siis käyttää suoraan tuota yksityistä avainta kunhan se on tallennettu oletussijaintiin. Jos haluat käyttää muualle tallennettua avainta niin se onnistuu -i vivulla:
$ ssh tunnus@palvelin -i /polku/yksityiseen/avaimeen
Graaffisten ohjelmien etäkäyttö
Graaffisia ohjelmia pystyy käyttä mään suoraan ssh:n läpi kunhan yhteys otetaan -X vivun kanssa. Ennen kuin tätä voidaan käyttää täytyy se aktivoida ssh-palvelimen asetuksista.
Taas kerran muokataan palvelimen /etc/ssh/sshd_config-tiedostoa. Katso että kohdan X11Forwarding:n arvona on yes ja että se ei ole kommentoituna.
X11Forwarding yes
- Tallenna tiedosto ja käynnistä ssh-palvelin uudelleen.
Nyt graaffisten ohjelmien etäkäyttö pitäisi onnistua. Kannattaa myös laittaa yhteyden pakkaus päälle -C vivulla jolloin graaffinen etäyhteys helpottuu hitaammilla yhteyksillä. Huomaa että kyseessä on iso X ja C.
$ ssh -XC tunnus@palvelin tunnus@palvelin:~$ xmms
Ja vaikka xmms:n pitäisi nyt käynnistyä.
Keychain - Useita palvelimia yhden salasanan taakse
Kun käytössä alkaa olla useita palvelimia, niin ainainen salasanojen syöttäminen alkaa tuntua turhauttavalta ja tulee tarve vähentää niitä. Helppo, mutta typerä ratkaisu olisi tehdä avainpari ilman salasanaa, jolloin kirjautumiseen ei koskaan tarvittaisi salasanaa. Tämä olisi tosin äärimmäisen epäturvallista, sillä jos joku saa käsiisi sinun id_rsa-tiedoston hän pystyisi kirjautumaan kaikkille niille palvelimille joille olet asettanu sen.
Kun sinulla on julkisella avaimella kirjautuminen käytössä voidaan hommaa helpottaa komenolla ssh-add ~/.ssh/id_rsa joka kysyy avaimen salasanan ja ottaa sen talteen ssh-agent-ohjelmaan jonka jälkeen sinun ei enää tarvitse syöttää sitä vastaavaa salasanaa, mutta tämä toimii vai yhdessä terminaalisessiossa kerrallaan joten hyöty jää melko minimaaliseksi. Tätä korjaamaan otamme scriptin nimeltä Keychain.
- Aloitetaan asentamalla se
$ sudo apt-get install keychain
Avaa tekstieditoriin ~/.bashrc Laita sinne seuraavat rivit
keychain --nogui id_rsa . ~/.keychain/`uname -n`-sh
id_rsa:n tilalle voit toki suorankin polun yksityiseen avaimeesi. Siihen voi myös laittaa argumentiksi useammankin avaimen mikäli sille on tarvetta, mutta silloin joudut syöttämään yhden salasanan enemmän.
Tämän jälkeen ainakin kun avaa uuden terminaalin ajetaan tuo keychain scripti. Se käynnistää ssh-agentin mikäli se ei ole käynnissä ja ensimmäisellä kerralla kysyy avaimen salasanaa. Tämän jälkeen voit avata niin monta terminaalia kuin haluat ja kirjautua niillä haluamillesi palvelimille ilman tarvetta syöttää salasanaa. Jos kuitenkin et joskus halua käynnistää ssh-agenttia voit ohittaa salasana-kyselyn painamalla ctlr-c.
Kun lopetat työskentelyn voit sulkea ssh-agentin komennolla:
$ ssh-agent -k
Tämän jälkeen kirjautujalta kysytään taas normaalisi avaimen salasanaa.
Linkkejä
[http://forum.ubuntu-fi.org/index.php?topic=503.0 Keskustelu Ubuntu-fi foorumilla]
[http://wiki.ubuntu-fi.org/Wiki/sshfs Sshfs] - Mounttaa ssh-palvelin tiedostojärjestelmäksi
[http://wiki.ubuntu-fi.org/Wiki/Dynaaminen_DNS Dynaaminen DNS] - IP-osoite ongelmat kuriin