Belépés
Biztonságos SSH szerver beállítás
2011. december 1. – 17.30 – laci1111
Sziasztok!
Egy SSH-szervert akarok beüzemelni.
Az interneten nagyon sok leírás van, de magyarúl nincs egy normális leírás, dokumentáció.
Amiket eddig össze gyűjtöttem.
- Port változtatás
# What ports, IPs and protocols we listen for
Port 1848
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
Védelmi, riasztó programok:
- denyhosts
- logwatch
- fil2ban
Kérdésem az lenne mit érdemes még beállítani az sshd_config fájlban?
Illetve milyen biztonsági programokat ajánlotok?
A gép otthoni ADSL router mögött lenne.
Feladata SSH- keresztűl fájlok le/fel töltése.
A szerveren csak 1 felhasználó lenne.
Segítségeteket előre is köszönöm.
- A hozzászóláshoz regisztráció és belépés szükséges
RSA kulcs használatával növelheted a biztonságot. (min 1024 bit.)
Illetve ha paranoiás vagy használj telefonos ssh google authenticator-t. :)
Plug & Pray
RSA kulcs az hogyan is működik?
Ha jól tudom akkor csak dedikált eszközökről lehet elérni.
De lehet hibásak az információim, javíts ki ha rosszúl tudom.
Ha rosszak az információim, akkor leírnád hogyan tudom ezt megvalósítani?
Így működik az RSA eljárás: http://hu.wikipedia.org/wiki/RSA-elj%C3%A1r%C3%A1s
Itt pedig egy nagyon jó leírás, hogyan telepítheted: http://www.debuntu.org/ssh-key-based-authentication
Dedikált... Szerintem te kevered az SSL-el.
Plug & Pray
Én ezt az rsa beállítást nem értem.
Generáltam kulcsot, beállítottam a sshd_config fájlt.
és Permission denied (publickey). választ kapok.
Én nem csak 1 gépről, és címről akarok belépni.
Mit csináltam rosszúl?
Valószínűleg a jogokat nem állítottad be megfelelően.
chmod go-w ~/
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh
Plug & Pray
na igen sikeresen összejött 1 gépen a kapcsolat, de mi van ha én több gépről akarok belépni.
Hogyan tudom megvalósítani, hiszen a generált id ugyan olyan nevűek lennének.
vagy csináljak még 2 ./ssh könyvtárat és az tegyem élesbe amiről be akarok jelentkezni? a többi meg old_1.ssh ?
Bele hülyülnék.
Vagy van egy egyszerűbb megoldás, csak az én figyelmemet kerülte le?
Ha igen, megosztanátok velem?
Be lehet lépni több gépről is, és ugyanarról a gépről is többször egymás után. Próbáld ki több terminálablakban. A generált kulcspároknak nincs közük a géphez, csak a kapcsolathoz.
Kicsit olvasgass utána.
„Azt mondják a hatalmasok, hogy akinek hat alma sok, az hatalmas ok, hogy ne legyen hatalma sok.”
Rendben, igazad van. már megy 2db gépen, már csak 1 van, az meg windows 7 putty, és csak akkor engedi a csatlakozást ha megadom a jelszót is. Ebben segíts még nekem, mert ezt végkép nem értem. Azt se hogy miért kéri a jelszót. Ez is valami jogosultság lehet?
A putty-nak meg kell mondani, hogy kulcspárokkal történik a hitelesítés.
A szerveren kapcsold ki a jelszavas hitelesítést:
PasswordAuthentication no
Uraim, köszönöm mindenki segítségét, megy ahogy mennie kell.
Windows alatt is megoldva, újra kellet konvertálni a puttygen -el a meglévő fájlt.
AllowUsers - csak az itt felsoroltakkal engedi az ssh logint.
Takedown
+ Korlátozd le a kapcsolódásra engedélyezett ip-címeket csak arra az ip-tartományra, esetleg pontos ip-címekre, amelyekről be akarsz jelentkezni, fail2ban kötelező, ahogy RSA kulccsal azonosítás is (és nem üres jelszóval a kulcson!!!)
Ubuntard.com | A chronicle of Ubuntard stupidity.
Az rsa kulcs az rendben, Kérdés melyik a jobb denyhost vagy fail2ban szerepük ugyan az, tudomásom szerint.
Fail2ban. Az iptables-t használ.
A Denyhosts a tcp_wrappers -re épül, mi 1997 áprilisa óta nem látott újabb kiadást. Manapság már nem is minden támogatja. ArchLinux-on már dobták is.
Ubuntard.com | A chronicle of Ubuntard stupidity.
Az sshfs-t hasznalo usernek rbash-t adni bash helyett, es igen: iptablessel szurd ip-re az elerest! A fail2ban nagyszeru!
Üdv,
Saynos