Traži Online Offline
SSH
Crucial Security Notice: Debian had a serious problem with SSL Keys. It effects all sidux live-CD ISOs and Hard Disk installations of sidux Chaos, Tartaros, Gaia, Eros and Nyx.
The fixes are online here at debian, and also in the sidux forum. Please follow the advice, it is a very serious Security Notice.
U računarstvu, Secure Shell ili SSH je set od standarda i asociranih mrežnih protokola koji omogućavaju da možete osnivati siguran kanal između lokalnim i udaljenim računalima. Koristi public-key kriptografiju da identificirah udaljeno računalo i (opcionalno) da omogući udaljenom računalu da identificirah korisnika. SSH nudi tajnost i integritet podataka koji su mjenanji između ta dva računala koristeći enkripciju i message authentication codes (MACs). SSH je tipično korišten da se prijavite na udaljenom računalu i da izvodite naredbe, ali isto podržava tuneliranje, prosljeđivanje neosnovanih TCP porta i X11 veza; može da prijenosi datoteke koristeći povezane SFTP ili SCP protokole. SSH poslužitelj, kao standard, sluša na standard TCP port 22. Upućen od wikipedia
Aktiviranje dobrih sigurnosnih protokola za SSH
Dopustiti root login, via ssh, nije sigurno. Mi inače nećemo da se standardno prijavite kao root korisnik, debian treba da bude siguran, i ne nesiguran niti hoćemo da damo korisnicima 10 minuta za brz dictionary password attack na našoj SSH prijavi, na vama je da ograničite vrijeme i broj pokušavanja!
Da pomognete da napravite ssh više sigurno, jednostavno otvorite vašeg omiljenog tekst editora s root privilegijama, i otvorite ovu datoteku:
/etc/ssh/sshd_config
Onda lokalizirate uvredljive stavke, i promijenite ih.
Uvredljive stavke koje trebate da lokalizirate su sljedeće:
Port <željeni port>: To mora biti postavljeno na točan port na koji prosljeđivate sa vašeg routera. Port za prosljeđivanje mora isto tako biti postavljen na vašem routeru. Ako ne znate kako to trebate obaviti, možda ne bi trebali koristiti ssh udaljeno. Debian postavi standardno na port 22, kako god, preporučeno je da koristite port izvan standardnog dometa za ispitivanje. Recimo da koristimo 5874 i tako upišemo:
Port 5874
ListenAddress <ip računala ili mrežnog međusklopa>: Sad, naravno, kad prosljeđivate port sa vašeg routera, morate da imate statičnu ip adresu na mreži, ako ne koristite lokalnog dns poslužitelja, ali ako radite nešto tako komplicirano i trebaju vam ti smjeri onda ste možda napravili veliku pogrešku. Tako da je postavimo na nešto slično kao:
ListenAddress 192.168.2.134
Zatim, Protokol 2 je već debian standard, ali provjerite, da se osigurate:
LoginGraceTime <dopuštene sekunde za prijavu>: To je postavljeno na apsurdan standard od 600 sekundi. Sigurno vam ne treba 10 minuta za upisanje korisničkog imena i lozinke, tako da mi to sada popravimo:
LoginGraceTime 45
Sad imate 45 sekundi da se prijavite i hackeri nemaju 600 sekundi za svaki pokušaj da pronađu vašu lozinku
PermitRootLogin <yes>: Zašto debian postavi PermitRootLogin na 'yes', je nerazumljivo i tako ćemo mi to postaviti na 'no'
PermitRootLogin no
StrictModes yes
MaxAuthTries <xxx>: Broj pokušaja prijave, možete postaviti na 3 ili 4 pokušaja ali ne više
MaxAuthTries 2
Možda morate dodati jednog od ovih predmeta ako ne postoje:
AllowUsers <korisnička imena sa prostorima su dopuštena da ulaze via ssh>
AllowUsers <xxx>: Napravite ssh korisnika bez ikakvih prava koristeći adduser da dodate korisnika, i onda upišite ime ovdje, kao:
AllowUsers whomevertheuseris
PermitEmptyPasswords <xxx>: dajte tom korisniku što dužu lozinku koja je nemoguća pogoditi u milijun godina to je jedini korisnik kojemu je dopušteno da se prijavi preko ssh. Kad ste unutra, onda možete se prijaviti kao root sa su:
PermitEmptyPasswords no
PasswordAuthentication <xxx>: očito, za prijavu s lozinkom, ne sa ključnom prijavom, trebaju vam lozinke koje su napunjene osim ako koristite ključeve, ovo mora biti yes
PasswordAuthentication yes [osim ako koristite ključeve]
Napokon:
/etc/init.d/ssh restart
Sad imate više siguran ssh, ne potpuno siguran samo bolje, uključujući kreiranje korisnika samo za ssh s adduser
Note: If you get an error message and ssh refuses to connect you, go to your $HOME and look for a hidden folder called .ssh and delete the file called known_hosts and try again. This error mainly occurs when you have dynamically set IP addresses (DCHP)
Koristiti X Window aplikacije via mreže kroz SSH
Izvoditi aplikaciju na udaljenim rRčunalu i da vidite njegov grafički međusklop za korisnike na vašem lokalnom rRčunalu.
Pretpostavka:
* sidux
* IP adresa lokalnog računala: 192.168.1.10/24 (samo pokazivanje X11)
* IP adresa udaljenog računala: 192.168.1.2/24 (izvođenje X11 aplikacije)
Konfiguracija:
Na udaljenom računalu promijenite u /etc/hosts.allow jednu liniju da dodate prava za ssh ulaz:
ssh sshd : 192.168.1.0/24 : ALLOW # kao dopusti tim adresama u lokalnim mrežama ulaz na ssh poslužitelju :code:
Na lokalnom računalu, otvorite konzolu i upišite naredbu za osnivanje ssh veze sa X-Forwarding:
ssh -X username@xxx.xxx.xxx.xxx (ili IP) (upišite vašu ssh lozinku ako ste pitani, ili lozinku za ssh ključ ako ste poslali Vas pub ključ za udaljeno računalo i tamo ga dodate u korisničku datoteku dopuštenih ključeva)
Izvodite X-Aplikaciju u konzoli, na primjer "iceweasel".
ssh -X username@xxx.xxx.xxx.xxx (ili IP) (upišite vašu ssh lozinku ako ste pitani, ili lozinku za ssh ključ ako ste poslali Vas pub ključ za udaljeno računalo i tamo ga dodate u korisničku datoteku dopuštenih ključeva) iceweasel ili oocalc ili oowriter ili kspread
Udaljeni ulaz sa ssh s X-Forwarding od Windows-PC:
* Povucite i pržite Cygwin XLiveCD
* Ubacite CD u CD-ROM od Windows-PCa i pričekajte autorun.
Kliknite "continue" dok se ne pokaže konzola i upišite:
ssh -X username@xxx.xxx.xxx.xxx
Bilješka: xxx.xxx.xxx.xxx je IP adresa od udaljenog linux računala ili njegov URL (na primjer dyndns.org account) i username je jedan korisnik koji egzistira na udaljenom računalu. Poslije uspješne prijave, izvodite "kmail" na primjer i pogledajte vaš E-mail!
Važno: osigurajte sa da hosts.allow nema upis koji dopusti ulaz sa PCs iz druge mreže. Ako ste iza jedne NAT-Firewall ili routera osigurajte se da je prosljieđen port 22 na vašem linux računalu
SSH sa Konqueror
Konqueror i Krusader oboje mogu da koriste udaljene podatke, koristeći using sftp:// and uses the ssh protocol.
Kako radi:
1) Open a new Konqueror window
2) Enter into the address bar: sftp://username@ssh-server.com
Primjer 1:
sftp://sidux1@remote_hostname_or_ip (Bilješka: Jedan popup se pojavi koji vas pita za ssh lozinku, upišite je i kliknite na OK)
Primjer 2:
sftp://username:password@remote_hostname_or_ip
(U toj formi se NEĆE pojaviti popup koji vas pita za lozinku, nego će te biti direktno spojeni.)
Za LAN okolinu
sftp://username@10.x.x.x or 198.x.x.x.x (Bilješka: Popup će se otvoriti koji će vas pitati za vašu ssh lozinku, upišite je i kliknite OK)
Ta Konqueror GUI SSH veza je sada inicijalizirana. S tim Konqueror prozorom, sad možete raditi s datotekama (kopiranje/pregledavanje) koje su na SSH poslužitelju kao da su na lokalnom direktoriju.
NOTE: If you have set the ssh port to to use another port, other than the default of 22, you need to specify the port that sftp/fish is to use:
sftp://user@ip:port
'user@ip:port' is standard sytax for many programs like sftp, smb, fish
SSHFS - Mountati udaljeno
SSHFS je lagana, brza i sigurna metoda koja koristi FUSE da mounta udaljeni file-sistem. Jedina potreba na poslužitelj-strani je izvođaj ssh demona.
On client side you propably have to install sshfs: installing fuse and groups is not necessary on sidux eros forward as it is installed by default:
Na klijent strani možda morate instalirati SSHFS:
apt-get update && apt-get install sshfs
Sad se morate odjaviti i opet prijaviti
Mountati udaljeni file-sistem je lagano:
sshfs username@remote_hostname:directory local_mount_point
username je korisničko ime na udaljenom računalu:
Ako nije nikakav direktorij upisan automatski će home-direktorij udaljenog korisnika biti mountan. POZOR: Dvotočka : je bitna i ako ne upišete direktorij!
Poslije mountanja udaljeni direktorij se može koristiti kao bilo koji drugi lokalni file-sistem, možete pretraživati datoteke, editirati ih i izvoditi skripte na njima, kao na lokalnim file-sistemima.
Ako hoćete da unmountate udaljeni host koristite sljedeću naredbu:
fusermount -u local_mount_point
Ako često koristite sshfs dobro bi bilo da upišete liniju u /etc/fstab:
username@remote_hostname:/remote_directory /local_mount_point fuse.sshfs user,allow_other,uid=1000,gid=1000,noauto 0 0
To će omogućiti svakom korisniku koji je dio grupe fuse da mounta taj file-sistem s dobro poznatom mount naredbom:
mount /path/to/mount/point
S tom linijom u vašoj fstab datoteci naravno isto možete koristiti umount naredbu:
umount /path/to/mount/point
Da provjerite dali ste u toj grupi ili ne, koristite sljedeću naredbu:
cat /etc/group | grep fuse
Trebali bi vidjeti nešto slično ovome:
fuse:x:117: <username>
Ako vaše korisničko ime nije navedeno, koristite adduser naredbu kao root:
adduser <username> fuse
Sad bi trebalo vaše korisničko ime da bude navedeno i sad možete da izvodite naredbu:
Bilješka: "id" neće biti navedena u "fuse" grupi, dok se ne odjavite i opet prijavite
mount local_mount_point
i
umount local_mount_point