ssh.pdf

SSHConﬁgurationQuickStart

KrzysztofMaj

<mkrzych@kki.net.pl>

4stycznia2002roku

Spistre±ci

1.Opcjekonﬁguracyjneplikusshconﬁg.................... 2

1.1.Host................................... 2

1.2.ForwardAgent.............................. 3

1.3.ForwardX11............................... 3

1.4.RHostsAuthentication......................... 3

1.5.RHostsRSAAuthentication...................... 3

1.6.RSARHostAuthentication....................... 3

1.7.PasswordAuthentication........................ 3

1.8.FallBackToRsh............................. 3

1.9.UseRsh................................. 3

1.10.BatchMode............................... 3

1.11.CheckHostIP.............................. 4

1.12.StrictHostChecking........................... 4

1.13.IdentityFile............................... 4

1.14.Port................................... 4

1.15.Protocol................................. 4

1.16.Cipher.................................. 4

1.17.Przykładplikusshconﬁg....................... 4

2.Opcjekonﬁguracyjneplikusshdconﬁg................... 5

2.1.ListenAddress.............................. 5

2.2.HostKey................................. 5

2.3.KeyRegenerationInterval........................ 5

2.4.ServerKeyBits.............................. 6

2.5.SyslogFacility.............................. 6

2.6.LogLevel................................. 6

2.7.LoginGraceTime............................ 6

2.8.PermitRootLogin............................ 6

2.9.StrictModes............................... 6

2.10.RSAAuthentication........................... 6

2.11.PubkeyAuthentication......................... 7

DotyczyOpenSSH2.9.9p1,SSHprotocols1.5/2.0,OpenSSL0x0090603forazLinux

Mandrake7.2.

2.12.PermitEmptyPassowrd......................... 7

2.13.KeepAlive................................ 7

2.14.PrintLastLog.............................. 7

2.15.X11Forwarding............................. 7

2.16.AllowUsers............................... 7

2.17.PrintMotd................................ 7

2.18.Subsystem................................ 7

2.19.Przykładplikusshdconﬁg....................... 8

3.Zako«czenie.................................. 8

1.Opcjekonﬁguracyjneplikusshconﬁg

Pliktenzwykleumieszczonyjestw±cie»ce /etc/ssh/ssh_config ,ale

takzmusuniemusiby¢.Gdziezostanieonumieszczonyokre±lamypodczas

kompilacjiSSH.Odpowiedzialnajestzatoopcja --sysconfdir= .Przykład

opcjiprzekazywanychdoskryptu configure OpenSSH:

./configure\

--prefix=/usr/local\

--sysconfdir=/etc/ssh\

--with-tcp-wrappers\

--with-pam\

--with-md5-passwords\

--with-ipv4-default\

--with-ssl-dir=/usr/local/openssl\

--with-ipv4-default

Pami¦tajmy,»eu»ywamytutajmodułówPAM,awi¦cnale»ywpliku

/etc/pam.d/sshd 1 umie±ci¢to,coponie»ej:

#%PAM-1.0

auth required /lib/security/pam_pwdb.soshadownodelay

auth required /lib/security/pam_nologin.so

account required /lib/security/pam_pwdb.so

passwordrequired /lib/security/pam_cracklib.so

passwordrequired /lib/security/pam_pwdb.soshadowmd5nullokuse_authtok

session required /lib/security/pam_pwdb.so

session required /lib/security/pam_limits.so

1.1.Host

Wprowadzaodpowiednierestrykcjedlanaszegohosta.Odpowiednie,zna-

czytektórewprowadzili±myponi»ejwpostacidyrektyw.Dopuszczalnes¡

parametryglobalnewpostaciznakugwiazdkiiwtedyodnosz¡si¦dowszyst-

kichkomputerów.

1 Pisz¡ctokorzystamzLinuxMandrake7.2

1.2.ForwardAgent

Wyznacza,czypoł¡czeniedoagentauwierzytelniaj¡cegozastanieprzeka-

zanenaodległ¡maszyn¦.Dopuszczalneopcjeto„yes”lub„no”.Domy±lnie

jest„no”.

1.3.ForwardX11

Wyznacza,czyzdalnepoł¡czeniadoserweraX11zastan¡automatycznie

przekierowaneprzezbezpiecznykanałSSHizmienn¡ $DISPLAY .Domy±lnie

jestnie.

1.4.RHostsAuthentication

Opcjadotycz¡caprotokołuwersjipierszej.Zabraniaonalubpozwalana

korzystaniezlogowa«przywykorzystaniuplików .rhost .Wieleserwerównie

pozwalanategotypuuwierzytelnianie,poniewa»niejestonobezpieczne.My

te»zabro«mytakichpraktyk. Domy±lneustawienieto„yes”,zmie«my

na„no” .

1.5.RHostsRSAAuthentication

Dyrektywadotycz¡catak»eprotokołuwersjipierszej.Jejznaczeniejest

takiesamojakwy»ej,aledlauwierzytelnianiaRSA.Domy±lniejest„yes”.

1.6.RSARHostAuthentication

Tylkodlaprotokołuwersjipierszej.Okre±la,czypróbujemylogowania

zu»yciemRSA,czynie.Takowenast¡pi,je±liistniej¡odpowiednieklucze

lubagentuwierzytelniaj¡cyjesturuchomiony.Domy±lniejest„yes”.

1.7.PasswordAuthentication

U»ywamylogowaniazhasłemoczywi±cie.Domy±lniejest„yes”.

1.8.FallBackToRsh

Okre±la,czyje±lizastaniemyodrzuceniprzypróbielogowaniazpowodu

bł¦du,np.je±lidemonsshdnieb¦dzieuruchomiony,toczyautomatycznie

maj¡by¢u»yter-komendy(rsh).Domy±lniejest„no”itakte»zostawny.

1.9.UseRsh

Podobniejakwy»ej.Okre±la,czynanaszymkomputerkub¦d¡kiedykol-

wiekwykorzystywaner-komendy(Brrr!).Ustawiamyna„no”.

1.10.BatchMode

Wył¡czamyt¡opcj¡pytanieohasło.Domy±lniejest„no”itakzostawmy.

Chyba,»ekorzystamyzjaki±plikówwsadowymitp.,towtedyb¦dziemy

musieliustawi¢na„yes”.

1.11.CheckHostIP

Domy±lniejest„yes”itakte»zostawmy. Dyrektywatajestpotrzebna

zewzgl¦dówbezpiecze«stwa .SprawdzaadresIPhostawpliku

known_hosts .

Pozwalawykry¢ssh,czytakiadressi¦zmieniłnp.naskutekatakuna

serwerDNS(DNSSpooﬁng).

1.12.StrictHostChecking

Wa»nazpunktubezpiecze«stwa .Je±lijestustawionana„yes”,to

sshnigdyniedodakluczyhostadopliku known_hosts iodrzucitakiepoł¡-

czenie,któregokluczeuległyzmianie.Jesttozabezpieczenieprzedkoniami

troja«skimi.Mo»etoby¢wpewnychprzypadkachbardzowkurzaj¡ce,je±li

poł¡czeniawykonywanes¡cz¦sto.Kluczemo»emydodawa¢r¦cznieiwtedy

zostaniemyoniezapytani,alepodwarunkiem,»edyrektyw¦t¡ustawimy

na„ask”.Je±linawłasneryzykodamy„no”towszystkienowekluczeb¦d¡

automatyczniedodawanedopliku known_hosts .

Domy±lniejest„ask”,alesugeruj¦ustawi¢na„yes”.

1.13.IdentityFile

Okre±la,któreplikis¡u»ywaneprzyuwierzytelnianiuprzyu»yciukluczy

RSAiDSA.Mo»liwejestposiadaniekilkuplkówztakimikluczami,wówczas

sprawdzanes¡onesekwencyjnie.Przykład:

IdentityFile~/.ssh/identity

IdentityFile~/.ssh/id_dsa

IdentityFile~/.ssh/id_rsa

1.14.Port

Co»,czybaniemaw¡tpliwo±ci.Domy±lniejest22itakzostawiamy.

1.15.Protocol

Okre±laprotokówdlawersjissh.Mo»liwes¡ustawienia1i2orazoba

oddzieloneprzecinkiem.Domy±lniejest„2,1”,cooznacza,»enajpierwpró-

bujemyprzyu»yciuprotokołuwersji2.,ajaktaniejestosi¡galna

(saportowalna:-)),tokorzystamyz1.

1.16.Cipher

Okre±larodzajszyfrowaniadlanaszychsesjipoł¡czeniowych,aletylkodla

protokołuwersji1.Niewgł¦biaj¡csi¦wszczegółyustawmyna„blowﬁsh”.

1.17.Przykładplikusshconﬁg

PrzykładtypowejkonﬁguracjiSSH.Umnietakowadziałazpowodzeniem,

jakodkryj¦co±ciekawego,toobja±ni¦.

Host*

ForwardAgentno

ForwardX11no

RhostsAuthenticationno

RhostsRSAAuthenticationyes

RSAAuthenticationyes

PasswordAuthenticationyes

FallBackToRshno

UseRshno

BatchModeno

CheckHostIPyes

StrictHostKeyCheckingyes

IdentityFile~/.ssh/identity

IdentityFile~/.ssh/id_dsa

IdentityFile~/.ssh/id_rsa

Port22

Protocol2,1

Cipherblowfish

EscapeChar~

2.Opcjekonﬁguracyjneplikusshdconﬁg

Nieb¦d¦opisywałtych,którewyst¦puj¡tak»ewopisywanymwcze±niej

pliku ssh_config .Skupimysi¦nanowowyst¦puj¡cych.Otoone:

2.1.ListenAddress

Okre±lalokalneadresy,naktórychsshdpowiniensłucha¢.Domy±lniesłu-

chanawszystkichlokalnychadresach.Mo»emytupoda¢jakoargumentadres

naszegokomputera,naktórymuruchamianyjestsshd.

2.2.HostKey

Okre±laplikzawieraj¡cyprywatnekluczehostau»ywaneprzezSSHproto-

kółwersji1i2. Nale»ypodkre±li¢,»esshdodrzuciteklucze,których

prawadost¦pus¡ogólniemo»liwe .Mo»liwejestposiadaniekilkukluczy.

Dlaprotokołuwersji1.u»ywanes¡kluczersa1,adlawersji2.dsalubrsa.

Przykład:

HostKey/etc/ssh/ssh_host_key

HostKey/etc/ssh/ssh_host_rsa_key

HostKey/etc/ssh/ssh_host_dsa_key

2.3.KeyRegenerationInterval

DotyczyprotokołuSSHwersji1.(ephemereal?)Kluczserverajestauto-

matycznieregenorowanypookre±lonejilo±cisekund.Zamiaremtejregenara-

cjijestniedopuszczeniedoodszyfrowaniaprzechwyconejsesji.Kluczniejest

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: