suns
system network data news bugtraq
sexy unix security project
network > SSH tiem, kas tankaa (0) 13.08.2005 18:33

Izraadaas, ka ir tik slinki cilveeki, kas nevar izlasiit sho rakstu, taapeec shajaa rakstaa par ssh public-key autentifikaaciju un vispaariigu ssh droshiibas tuningu.


Public-key autentifikaacija.

Neko daudz neizpluudiishu, saaksim ar SSH2 (SSH1 lietot taksh ir amoraali, vaine?) atsleegu gjenereeshanu:

$ ssh-keygen -t rsa

(par to, kaapeec rsa, nevis dsa sheit) Ievadiiji 2 reizes savu paroli? Uzgjenereejaas atsleedzinjas? Lieliski. Tavaa home direktorijaa tagad ir 2 faili: .ssh/id_rsa un .ssh/id_rsa.pub. Pienjemu, ka tu esi lietas kursaa, un zini, kaa straadaa asimetriskaa kriptograafija (ar publiskajaam un privaatajaam atsleegaam, taateikt) un tev ir skaidrs, ka id_rsa ir privaataa atsleega (kura jaatur nosleepumaa) un id_rsa.pub ir publiskaa, kuru droshi vari izvazaat pa visiem serveriem, pat visnedroshaakajiem. Tev noteikti buus patiikami tagad apskatiit savas publiskaas atsleegas saturu:

$ cat .ssh/id_rsa.pub

Taalaak uploadee atsleegu uz savu serveri:

scp .ssh/id_rsa.pub server.hostname

Un atliek vairs tikai shii magjiskaa komanda, kuru jaaizpilda uz servera:

$ cat id_rsa.pub >> .ssh/authorized_keys

Ja tu arii esi paranoikjis, tad:

$ chmod 600 .ssh/authorized_keys

Tas patieshaam arii viss, vari meegjinaat logoties serverii pa jaunam un tev prasiis tavas atsleegas (nevis UNIX lietotaaja) paroli.

Gadiijumaa, ja nestraadaa, paarliecinies, ka nekljuudiijies failu nosaukumos (lol) un ieksh servera sshd_config faila (parasti ieksh /etc/ssh) "PubkeyAuthentication" veertiiba ir "yes".


Dazhaadas atsleegas dazhaadiem serveriem.

Ideaali ir izmantot dazhaadas atsleegas dazhaadiem serveriem (vai vismaz serveru grupaam), to atrisinaat var ar .ssh/config faila paliidziibu. Saac ar to, ka izveido atsleegas un saliec taas .ssh direktorijaa (piemeeram, .ssh/tululu un .ssh/tululu.pub). Taalaak izveido ieksh ssh_config faila shaadu ierakstu:

Host tululu
    Hostname tululu.domain.lv
    IdentityFile ~/.ssh/tululu

..un taa katram serverim. Vairaak par ssh konfiguraacijas failu vari palasiit ssh_config manuaalii.


SSHD tunings.

SSH daemona konfiguraacija notiek sshd_config failaa (mekleet turpat zem /etc/ssh). Iesaku pamainiit konfiguraaciju shaadaa veidaa (atkariibaa no OS, kuru lieto, iespeejams, ka tur jau ir veiktas shaadas taadas izmainjas):

Protocol 2
PermitRootLogin no
RSAAuthentication no

Atkariibaa no taa, lieto tu sftp vai nee, vari nokomenteet sho rindu:

#Subsystem sftp /usr/libexec/sftp-server

Ja veelies nonjemt iespeeju logoties iekshaa ar UNIX paroleem un atstaat tikai public-key autentifikaaciju (iesaku), ieliec sho:

PasswordAuthentication no

Un visbeidzot, ieteicams noraadiit, kuriem lietotaajiem ir atljauts logoties iekshaa, tas izskataas shaadi:

AllowUsers aberdiina genoveva

..kur aberdiina un genoveva ir lietotaaji, kuriem driikst logoties iekshaa. Ir iespeejams noraadiit arii, no kaadaam adreseem lietotaaji driikst logoties iekshaa, piemeeram:

AllowUsers aberdiina@10.0.0.6 genoveva@10.0.0.17

Shaada konfiguraacija atljaus lietotaajam aberdiina logoties tikai no 10.0.0.6, bet lietaajs genoveva varees ielogties tikai no 10.0.0.17 adreses. Taapat ir iespeejams lietot arii AllowGroups, kur lietotaaju vietaa barojam grupas. Starpcitu, ar UID/GID cipariem shis joks nestraadaas.

Veel varu ieteikt ierobezhot ugunsmuurii adreses, no kuraam lietotaaji driikst piekljuut ssh portam, kaa to izdariit, izdomaa pats. Lietotaaji biezhi atrunaajas ar to, ka tiem ir dinamiskaas adreses, taadaa gadiijumaa iesaku limiteet ssh porta pieeju uz subnetu, kuru lieto attieciigaa lietotaaja ISP. Teiksim, maajas DSL lietotaajiem buutu jaaatljauj pieeja no 80.232.128.0/17, 81.198.0.0/16 un 84.237.128.0/17 (Latvijas provaideru IP adreses var paskatiities uz nic.lv). Lai arii tie ir lieli subneti ar daudziem lietotaajiem, tomeer ssh ports vismaz nestaav valjaa kaa laidara vaarti. Ir arii iipashi mobili lietotaaji, kuriem jaabraukaa pie klientiem un, kaads buus provaideris, nekad nevar zinaat, taadaa gadiijumaa var iebarot sarakstu ar visaam Latvijaa regjistreetajaam IP adreseem: nic.lv/local.net. Pagaidaam tas arii viss, kas man sakaams attieciibaa pret ssh.

/ petruha - http://petruha.bsd.lv/ /
add comment*
author:
email:
piecpadsmit:
comment:


* ja iztiksi bez spama, offtopika un muljkjiibaam, iespeejams, ka tavs koments netiks izdzeests.
« back

valid xhtmlvalid css