ssh-keygen<\/code><\/span><\/td>\n| Generuje prywatne i publiczne klucze.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Pliki konfiguracyjne OpenSSH to: \/etc\/sshd_config<\/code>, \/etc\/ssh_config<\/code> oraz \/etc\/sysconfig\/sshd<\/code>. Do przechwytywania komunikat\u00f3w autoryzacji wykorzystywany jest plik z logami \/var\/log\/secure<\/code>.\u00a0 Cz\u0119\u015b\u0107 dyrektyw pliku \/etc\/sshd_config przedstawia tabela poni\u017cej.<\/p>\n\n\n\nDyrektywa<\/em><\/span><\/td>\nOpis<\/em><\/span><\/td>\n<\/tr>\n\n Port<\/code><\/span><\/td>\n| \u00a0Port, na kt\u00f3rym nas\u0142uchuje sshd, domy\u015blnie 22.<\/td>\n<\/tr>\n | \n ListenAddress<\/code><\/span><\/td>\n| Adres IP, na kt\u00f3rym ma nas\u0142uchiwa\u0107 demon.<\/td>\n<\/tr>\n | \n Protocol<\/code><\/span><\/td>\n| Wersja protoko\u0142u, kt\u00f3ra ma by\u0107 u\u017cywana. Domy\u015blnie 2.<\/td>\n<\/tr>\n | \n SyslogFacility<\/code><\/span><\/td>\n\u00a0Domy\u015blnie AUTHPRIV<\/code>. Definiuje kod udogodnienia, jakie ma by\u0107 u\u017cywane podczas logowania komunikat\u00f3w do \/var\/log\/secure<\/code>. Oparte o konfiguracj\u0119 w pliku\u00a0 \/etc\/rsyslog.conf<\/code>.<\/td>\n<\/tr>\n\n LogLevel<\/code><\/span><\/td>\n| Domy\u015blnie INFO. Poziom krytyczno\u015bci logowanych komunikat\u00f3w.<\/td>\n<\/tr>\n | \n LoginGraceTime<\/code><\/span><\/td>\n| Domy\u015blnie 2 minuty. Czas, po kt\u00f3rym roz\u0142\u0105czane jest po\u0142\u0105czenie z u\u017cytkownikiem, kt\u00f3ry si\u0119 nie zalogowa\u0142.<\/td>\n<\/tr>\n | \n PermitRootLogin<\/code><\/span><\/td>\n| Domy\u015blnie tak (yes). Pozwala na bezpo\u015brednie logowanie roota do systemu.<\/td>\n<\/tr>\n | \n MaxAuthTries<\/code><\/span><\/td>\n| Domy\u015blnie 6. Maksymalna liczba dozwolonych pr\u00f3b uwierzytelnienia u\u017cytkownika. Po tej ilo\u015bci pr\u00f3b zrywane jest po\u0142\u0105czenie.<\/td>\n<\/tr>\n | \n MaxSessions<\/code><\/span><\/td>\n| Domy\u015blnie 10. Maksymalna ilo\u015b\u0107 otwartych sesji SSH r\u00f3wnolegle.<\/td>\n<\/tr>\n | \n RSAAuthentication<\/code><\/span><\/td>\n| Domy\u015blnie yes. Okre\u015bla czy pozwala\u0107 na uwierzytelnienie RSA.<\/td>\n<\/tr>\n | \n PubKeyAuthentication<\/code><\/span><\/td>\n| Domy\u015blnie yes. Okre\u015bla czy ma by\u0107 w\u0142\u0105czona mo\u017cliwo\u015b\u0107 uwierzytelnienia przez klucz publiczny.<\/td>\n<\/tr>\n | \n AuthorizedKeysFile<\/code><\/span><\/td>\nDomy\u015blnie ~\/.ssh\/authorized_keys<\/code>. Okre\u015bla po\u0142o\u017cenie pliku z autoryzowanymi kluczami u\u017cytkownik\u00f3w.<\/td>\n<\/tr>\n\n PasswordAuthentication<\/code><\/span><\/td>\n| \u00a0Domy\u015blnie yes. Okre\u015bla czy ma by\u0107 w\u0142\u0105czona mo\u017cliwo\u015b\u0107 uwierzytelnienia w oparciu o has\u0142o.<\/td>\n<\/tr>\n | \n PermitEmptyPasswords<\/code><\/span><\/td>\n| Domy\u015blnie no. Okre\u015bla czy zezwala\u0107 na puste has\u0142a.<\/td>\n<\/tr>\n | \n ChallengeResponseAuthentication<\/code><\/span><\/td>\n| Domy\u015blnie yes. Okre\u015bla czy pozwala\u0107 na uwierzytelnianie metod\u0105 challenge-response.<\/td>\n<\/tr>\n | \n UsePAM<\/code><\/span><\/td>\n| Domy\u015blnie yes. W\u0142\u0105cza lub wy\u0142\u0105cza uwierzytelnianie przez PAM. Je\u017celi w\u0142\u0105czone tylko root mo\u017ce uruchomi\u0107 demona.<\/td>\n<\/tr>\n | \n AllowAgentForwarding<\/code><\/span><\/td>\n| Domy\u015blnie yes. W\u0142\u0105cza lub wy\u0142\u0105cza komend\u0119 ssh-agent s\u0142u\u017c\u0105c\u0105 do forwardowania kluczy prywatnych do zdalnych system\u00f3w.<\/td>\n<\/tr>\n | \n AllowTCPForwarding<\/code><\/span><\/td>\n| Domy\u015blnie yes. Okre\u015bla czy pozwala\u0107 na forwardowanie komunikacji TCP przez kana\u0142 ssh.<\/td>\n<\/tr>\n | \n X11Forwarding<\/code><\/span><\/td>\n| Domy\u015blnie yes. Pozwala lub zakazuje na zdalny dost\u0119p do aplikacji graficznych (z GUI).<\/td>\n<\/tr>\n | \n TCPKeepAlive<\/code><\/span><\/td>\n| Domy\u015blnie yes. Okre\u015bla czy wysy\u0142a\u0107 sygna\u0142y TCP keepalive do serwera ssh aby sprawdzi\u0107 jego dost\u0119pno\u015b\u0107.<\/td>\n<\/tr>\n | \n UseLogin<\/code><\/span><\/td>\n| Domy\u015blnie no. Pozwala lub zakazuje na u\u017cycie komendy login dla sesji interaktywnych.<\/td>\n<\/tr>\n | \n Compression<\/code><\/span><\/td>\n| Domy\u015blnie delayed. Okre\u015bla czy pozwoli\u0107 na kompresj\u0119 lub op\u00f3\u017ani\u0107 kompresj\u0119 do czasu a\u017c u\u017cytkownik zostanie uwierzytelniony z powodzeniem.<\/td>\n<\/tr>\n | \n ClientAliveInterval<\/code><\/span><\/td>\n| Domy\u015blnie 0. Okre\u015bla interwa\u0142y czasowe (timeout interval) w sekundach dla serwera aby wysy\u0142a\u0142 komunikaty do klienta oczekuj\u0105c na odpowied\u017a.<\/td>\n<\/tr>\n | \n ClientAliveCountMax<\/code><\/span><\/td>\n| Domy\u015blnie 3. Je\u017celi ta dyrektywa jest ustawiona na inn\u0105 warto\u015b\u0107 ni\u017c 0, okre\u015bla ona maksymaln\u0105 ilo\u015b\u0107 komunikat\u00f3w, jakie maj\u0105 by\u0107 wys\u0142ane do klienta.<\/td>\n<\/tr>\n | \n AllowUsers<\/code><\/span><\/td>\n| Zezwala na dost\u0119p do serwera tylko umieszczonym na li\u015bcie u\u017cytkownikom. Sk\u0142adnia wygl\u0105da nast\u0119puj\u0105co:<\/p>\n AllowUsers user1 user2<\/code>
\nAllowUsers user3@server2.example.com<\/code>
\nAllowUsers user4@192.168.0.110 user5@192.168.0.120<\/code><\/td>\n<\/tr>\n\n AllowGroups<\/code><\/span><\/td>\n| Zezwala na dost\u0119p do serwera tylko cz\u0142onkom grup umieszczonym na li\u015bcie. Sk\u0142adnia wygl\u0105da nast\u0119puj\u0105co:<\/p>\n AllowGroups dba unixadmins<\/code>
\nAllowGroups dba@server2.example.com<\/code><\/td>\n<\/tr>\n\n DenyUsers<\/code><\/span><\/td>\n| Nie pozwala umieszczonym na li\u015bcie u\u017cytkownikom na dost\u0119p do serwera. Sk\u0142adnia wygl\u0105da nast\u0119puj\u0105co:<\/p>\n DenyUsers user1 user2<\/code>
\nDenyUsers user3@server2.example.com<\/code>
\nDenyUsers user4@192.168.0.110 user5@192.168.0.120<\/code><\/td>\n<\/tr>\n\n DenyGroups<\/code><\/span><\/td>\n| Nie pozwala cz\u0142onkom grup umieszczonym na li\u015bcie na dost\u0119p do serwera. Sk\u0142adnia wygl\u0105da nast\u0119puj\u0105co:<\/p>\n DenyGroups dba unixadmins<\/code>
\nDenyGroups dba@server2.example.com<\/code><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\nDost\u0119p do ssh mo\u017cemy przydziela\u0107 u\u017cytkownikom lub jej zakazywa\u0107 nie tylko w oparciu o dyrektywy AllowUsers, DenyUsers, AllowGroups, and DenyGroups
\nw pliku sshd_config ale tak\u017ce ustawiaj\u0105c odpowiednie restrykcje w plikach TCP Wrappers: hosts.allow<\/code> i hosts.deny. <\/code>Dost\u0119p do ssh mo\u017cemy tak\u017ce zabezpieczy\u0107 na poziomie firewalla.<\/p>\nSp\u00f3jrzmy na kilka dyrektyw pliku \/etc\/ssh_config<\/code>:
\n\u2026\u2026 . .<\/code><\/span>
\n # Host *<\/code><\/span>
\n # ForwardAgent no<\/code><\/span>
\n # ForwardX11 no<\/code><\/span>
\n # RhostsRSAAuthentication no<\/code><\/span>
\n # RSAAuthentication yes<\/code><\/span>
\n # PasswordAuthentication yes<\/code><\/span>
\n # HostbasedAuthentication no<\/code><\/span>
\n # GSSAPIAuthentication no<\/code><\/span>
\n \u2026\u2026 . .<\/code><\/span><\/p>\nW pliku tym mo\u017cemy przypisywa\u0107 r\u00f3\u017cne ustawienia u\u017cytkownikom lub grupom. Dla ka\u017cdego klienta czy grupy mo\u017cemy doda\u0107 osobn\u0105 sekcj\u0119 z dyrektywami, zaczynaj\u0105c\u0105 si\u0119 od od dyrektywy Host.<\/p>\n <\/p>\n Osobne pliki konfiguracyjne u\u017cytkownik\u00f3w.<\/span><\/p>\nPlik o nazwie config z konfiguracj\u0105 ssh dla danego u\u017cytkownika sk\u0142adowany jest w katalogu ~\/.ssh ( podkatalog katalogu domowego tego u\u017cytkownika). Format pliku ~\/.ssh\/config jest taki sam jak pliku \/etc\/ssh\/ssh_config. Katalog ~\/.ssh nie istnieje domy\u015blnie, zak\u0142adany jest gdy u\u017cytkownik po raz pierwszy loguje si\u0119 na serwer. Katalog ~\/.ssh zawiera ponadto plik o known_host. Plik ten zawiera adres IP i kopi\u0119 klucza publicznego systemu, do kt\u00f3rego uzyskali\u015bmy dost\u0119p. Przyk\u0142adowo mo\u017ce wygl\u0105da\u0107 tak:<\/p>\n 192.168.1.4 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJUiDpnI4TxEOuAHmGU8MHhbDsmEraxp38qfOPIK1ajlVzeJPb0Vwoim1PwAcQQGVbE+1xfKmXShqEjUQm4ew7M=<\/code><\/span><\/p>\nW katalogu, o kt\u00f3rym mowa mog\u0105 tak\u017ce znajdowa\u0107 si\u0119 pliki takie jak:<\/p>\n \nid_rsa, id_dsa, id_ecdsa<\/code> – sk\u0142aduj\u0105ce klucze prywatne<\/li>\nid_rsa.pub, id_dsa.pub, id_ecdsa.pub<\/code> – sk\u0142aduj\u0105ce klucze prywatne<\/li>\nauthorized_keys<\/code> – wykorzystywany gdy ustawiamy relacj\u0119 zaufania mi\u0119dzy dwoma systemami.<\/li>\n<\/ul>\n <\/p>\n Konfiguracja uwierzytelnienia w oparciu o klucz prywatny i publiczny.<\/span><\/p>\n1. Logujemy si\u0119 na server1<\/em> jako user<\/em>. Generujemy klucze RSA. Wybieramy domy\u015blne miejsce sk\u0142adowania kluczy, tj. wciskamy ENTER przy wyborze nazwy pliku. Has\u0142o ustawiamy puste.
\n<\/code><\/p>\n# ssh-keygen<\/code>
\nGenerating public\/private rsa key pair.<\/code><\/span>
\nEnter file in which to save the key (~\/.ssh\/id_rsa):<\/code><\/span>
\nEnter passphrase (empty for no passphrase):<\/code><\/span>
\nEnter same passphrase again:<\/code><\/span>
\nYour identification has been saved in ~\/.ssh\/id_rsa.<\/code><\/span>
\nYour public key has been saved in \/root\/.ssh\/id_rsa.pub.<\/code><\/span>
\nThe key fingerprint is:<\/code><\/span>
\n46:87:a9:c8:6b:bf:2c:f1:99:ab:77:1d:05:1f:2a:dc user@centos.host.pl<\/code><\/span>
\nThe key's randomart image is:<\/code><\/span>
| |
| |
| |
| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |