« попередня гілка наступна гілка »
Сторінки: 1

Автор Гілка: Налаштування SSH  (Прочитано 1707 раз)

Відсутній unknown

  • Графоман
  • ****
  • дописів: 256
  • Карма: +0/-0
  • Tux файний хлопака
Налаштування SSH
« : 2010-11-24 19:11:35 »


Трохи перечитав, в неті про налаштування ssh, виникли деякі питання і хочеться отримати на них відповіді, щоб дещо дізнатись, а де з чим звіритись.
Встановив сервер ssh, нашвидкоруч налаштував. Вичитав, що є три способи автентифікації: за IP, за паролем і за ключем. Переважно всюди пише про ключ, а про інші два способи не бачив як налаштовувати. Файл sshd_config розумію не повністю. Такі рядки як:
PasswordAuthentication - стоїть no
UseLogin - стоїть no
Ось не розумію, як реєструватись за паролем чи за IP

Ключі я ще не створював, хотів перевірити чи хоча б працює. Нижче видно як все проходило.

ssh -p 22 127.0.0.1

The authenticity of host '[127.0.0.1]:22 ([127.0.0.1]:22)' can't be established.
RSA key fingerprint is 00:00:00:00:00:00...(такий-то)
Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '[127.0.0.1]:22' (RSA) to the list of known hosts.
linux@127.0.0.1's password:

Звідкись взявся ключ, я прийняв, потім запит паролю, я ввів свій пароль (користувача) і з'єднання успішне.
Наскільки я зрозумів, це пройшла реєстрація за ключем? То як має бути за паролем? Якщо це було за ключем, то чому спитало мій користувацький пароль?
Тут я трохи заплутався, бо думав, якщо за паролем, то треба тільки пароль вводити, а як за ключем, то ключ+пароль.

На рахунок IP: де вказати, з якої IP допустима авторизація? В hosts.allow? Якщо так, то тут питань нема.

Ще вичитав про можливість допуску до авторизації окремого (окремих) користувача (користувачів), а саме - у sshd_config мав би стояти рядок AllowUsers, де можна вказати користувача, тоді тільки він буде мати можливість авторизовуватись. Такого рядка я там не знайшов. Мабуть його можна туди дописати. Як? В кінці файлу, чи як? Напр., як я вписую рядки в hosts.allow/dehy, то проблем нема.
Чи нема програми, яка перевіряє синтаксис конфігураційних файлів?
Знаю тільки про tcpdchk, яка перевіряє синтаксис правил в hosts.allow і hosts.deny.

І ще одне питання, на рахунок sshd. Він стартує кожного разу, коли завантажується система. Як зробити, щоб він не стартував, бо не хочу, щоб цей сервіс висів постійно, а хочу запускати і зупиняти його ручками, тільки за потреби (sudo /etc/init.d/ssh start, sudo /etc/init.d/ssh stop)

Записаний
cat /dev/ass > /dev/head

Відсутній unknown

  • Графоман
  • ****
  • дописів: 256
  • Карма: +0/-0
  • Tux файний хлопака
Re: Налаштування SSH
« Відповідей #1 : 2010-11-25 13:54:34 »
бачу, що ніхто не користується ssh ;)
Нема, то нема.
Але дуже треба хоча б таке:
не знаю як в наутілусі зайти по ssh. Точніше, стандартно знаю - в адресному рядку наутілуса: ssh://user@server, підключення відбувається за умови, якщо в налаштуваннях sshd_config стоїть порт 22.
А як же підключитись якщо я змінив порт?
в терміналі потрібно обов'язково вказувати порт, якщо в конфігурації його номер змінено, а в наутілусі я не знаю як це зробити.
Записаний
cat /dev/ass > /dev/head

Captain Obvious

  • Гість
Re: Налаштування SSH
« Відповідей #2 : 2010-11-25 18:30:52 »
ssh://user@server:port, LOL
Записаний

Відсутній kisil

  • Графоман
  • ****
  • дописів: 353
  • Карма: +0/-0
  • Toruble in Windows reboot, toruble in Unix be root
    • About me
Re: Налаштування SSH
« Відповідей #3 : 2010-11-26 08:34:54 »
Цитата: Vendetta від 2010-11-24 19:11:35

Трохи перечитав, в неті про налаштування ssh, виникли деякі питання і хочеться отримати на них відповіді, щоб дещо дізнатись, а де з чим звіритись.
Встановив сервер ssh, нашвидкоруч налаштував. Вичитав, що є три способи автентифікації: за IP, за паролем і за ключем. Переважно всюди пише про ключ, а про інші два способи не бачив як налаштовувати. Файл sshd_config розумію не повністю. Такі рядки як:
PasswordAuthentication - стоїть no
UseLogin - стоїть no
Ось не розумію, як реєструватись за паролем чи за IP

Ключі я ще не створював, хотів перевірити чи хоча б працює. Нижче видно як все проходило.

ssh -p 22 127.0.0.1

The authenticity of host '[127.0.0.1]:22 ([127.0.0.1]:22)' can't be established.
RSA key fingerprint is 00:00:00:00:00:00...(такий-то)
Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '[127.0.0.1]:22' (RSA) to the list of known hosts.
linux@127.0.0.1's password:

Звідкись взявся ключ, я прийняв, потім запит паролю, я ввів свій пароль (користувача) і з'єднання успішне.
Наскільки я зрозумів, це пройшла реєстрація за ключем? То як має бути за паролем? Якщо це було за ключем, то чому спитало мій користувацький пароль?
Тут я трохи заплутався, бо думав, якщо за паролем, то треба тільки пароль вводити, а як за ключем, то ключ+пароль.

На рахунок IP: де вказати, з якої IP допустима авторизація? В hosts.allow? Якщо так, то тут питань нема.

Ще вичитав про можливість допуску до авторизації окремого (окремих) користувача (користувачів), а саме - у sshd_config мав би стояти рядок AllowUsers, де можна вказати користувача, тоді тільки він буде мати можливість авторизовуватись. Такого рядка я там не знайшов. Мабуть його можна туди дописати. Як? В кінці файлу, чи як? Напр., як я вписую рядки в hosts.allow/dehy, то проблем нема.
Чи нема програми, яка перевіряє синтаксис конфігураційних файлів?
Знаю тільки про tcpdchk, яка перевіряє синтаксис правил в hosts.allow і hosts.deny.

І ще одне питання, на рахунок sshd. Він стартує кожного разу, коли завантажується система. Як зробити, щоб він не стартував, бо не хочу, щоб цей сервіс висів постійно, а хочу запускати і зупиняти його ручками, тільки за потреби (sudo /etc/init.d/ssh start, sudo /etc/init.d/ssh stop)



По замовчуванню логін проходить по користувачу який є в системі. А ключ створюеться автоматично і передається клієнту для створення безпечного зєднання. Тут все добре. Авторизація по ключу передбачає створення пари ключів сервер-клієнт, тільки не памятаю де чи зі сторони клієнта чи зі сторони сервера. Потім відповідні ключі розміщуються на сервері і клієнті. При логіні сам сервер перевіряє ключі і авторизуе користувача без пароля.
В мене в sshd_conf в кінці е директива AllowUsers так що вписуй її і пиши тих кому доступ дозволено. І для більшої безпеки заборони доступ root  користувачеві. Відповідна директива є.
Записаний

Відсутній kalina

  • Дописувач
  • **
  • дописів: 57
  • Карма: +0/-0
Re: Налаштування SSH
« Відповідей #4 : 2010-11-30 09:11:13 »
Цитата: Vendetta від 2010-11-24 19:11:35
Вичитав, що є три способи автентифікації: за IP,
Нема такого.

Цитата
за паролем і за ключем.

Такі є. Але з того, що ви нижче написали, витікає, що ви все геть невірно зрозуміли. У двох словах про організацію доступу за ключем:
1) за допомогою програми ssh-keygen генеруєте пару ключів - приватний та публічний
2) публічний переносите на цільову машину
3) перевіряєте, що на цільовій машині дозволений доступ за ключем
4) якщо все зроблено як слід - при наступному логині на цільову машину запитання на ручне введення паролю не буде.

Деталі - дивись не бо-зна-що бо-зна-де, а там, де зазвичай дивляться:

man ssh-keygen
man ssh
man sshd

 
Цитата
Як зробити, щоб він не стартував, бо не хочу, щоб цей сервіс висів постійно, а хочу запускати і зупиняти його ручками, тільки за потреби (sudo /etc/init.d/ssh start, sudo /etc/init.d/ssh stop)

Зазвичай це робиться командою

chkconfig --del sshd
Записаний
Сторінки: 1
« попередня гілка наступна гілка »