Ubuntu Suomen keskustelualueet
Ubuntun kehittäminen ja yhteisö => Oppaiden kehittäminen => Aiheen aloitti: janne - 08.10.05 - klo:18.10
-
Ylläpidon huomautus, tämä ketju käsittelee ohjetta joka nykyään on wikissä: http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin
vaikka toimenpide on aika triviaali, ajattelin kirjoittaa pienen HOWTO:n ssh ja sftp -palvelimen asentamisesta.
ssh:hän on tietoturvaltaan erittäin hyvä tapa ottaa etäyhteyksiä. sftp puolestaan on tarkoitettu tiedonsiirtoon aivan kuten ftp, mutta se käyttää yhteyden (ja yhteydenoton) salaamiseen ssh:n tarjoamaan turvaa. tosin myös ssh:iä kannattaa käyttää versiota 2 jonka mukana tuo sftp:kin tuli, aikaisemman version yhteydessä sftp:n tilalla käytettiin vähän vähemmän toiminnallisuutta tarjoavaa scp:ä.
(lähes) jokaisen linuxin mukana asentuu ssc-client, jota voi käyttää yhteydenottoon ssh-palvelimen kanssa, windowsille yksi parhaista clienteista on putty joka emuloi myös kunnollista terminaalia.
tiedostojen siirtoon tarkoitetulle sftp:lle on niin ikään asennettu oletuksena komentoriviltä toimiva client nimeltään sftp. graafisella puolella sftp:tä tukevat linuxissa ainakin gftp ja Gnomen ja KDE:n file managerit (nautilus ja konqueror). windowsissa puolestaan hommaan pystyy komentoriviltä putty:n sftp-client psftp ja graafisella puolella ainakin WinSCP ja Filezilla.
toki ssh taipuu muuhunkin, sen avulla/kautta voi mm. forwardata portteja toiselle koneelle tai ajaa X-ohjelmia etäkoneella siten, että sovelluksen graafinen ikkuna näkyy kuitenkin sinun työpöydälläsi. näistä ehkä myöhemmin, ellei joku muu ehdi ensin.
eli, itse serverin asentaminen on näinkin yksinkertaista:
# apt-get install openssh-server
serveri käynnistyy samalla kuin se asennetaan, joten siihen voi heti yrittää
ottaa yhteyttä joko ssh:llä tai sftp:lla.
mutta, mutta... nythän kuka tahansa joka näkee koneen ulkoisen IP:n pystyy yrittämään koneelle sisään arvaamalla käyttäjätunnuksen ja salasanan. itseasiassa minunkin palvelimelleni tulee jatkuvasti matojen kolkutteluja ssh-porttiin ja epäonnistuneita login-yrityksiä on logissa vaikka muille jakaa.
Ubuntussa ei onneksi ole rootin tiliä aktivoituna, joten siihen kohdistuvat yritykset ovat luonnollisesti turhia. muutenkin nuo madot yrittävät yleensä arvailla englantilaisia erisnimiä, joten suomalaisilla koneilla niitä ei useinkaan onnista. olisi kuitenkin mukavaa jos pystyisi määräämään ketkä saavat ottaa koneelle yhteyttä, ja sen toki pystyykin tekemään seuraavasti:
avataan mieleisessään tekstieditorissa (rootin oikeuksin toki) tiedosto /etc/ssh/sshd_config ja muokataan sitä hieman.
ihan näönkin vuoksi muutetaan rivin:
PermitRootLogin yes
arvoksi no.
sitten lisätään vaikka jonnekin tiedoston loppupuolelle rivi joka alkaa avainsanalla AllowUsers ja listataan sen perään välilyönnillä erotettuna käyttäjät jotka saavat ottaa koneeseen yhteyden, vaikkapa näin:
AllowUsers janne mikk0 ninnnu
tallennetaan tiedosto ja käynnistetään palvelin uudestaan komentamalla:
# /etc/init.d/ssh restart
nyt koneelle pääsevät vain janne, mikk0 ja ninnnu, loistavaa :)
tuolla varmaan pärjääkin jo jonkin aikaa, mutta mitä jos ihan esimerkin vuoksi tiivistetään seulaa... otetaan käyttöön avaimet.
muokataan em. tiedostoa kohdasta:
#AuthorizedKeysFile %h/.ssh/authorized_keys
poistetaan riviltä kommentti (se risuaita siitä alusta).
ja samoin riviltä:
#PasswordAuthentication yes
ja muutetaan lisäksi sen arvoksi no.
nyt vain tallennetaan tiedosto ja käynnistetään palvelin uudestaan. huomataan, että kukaan ei pääse sisään, itse asiassa kukaan ei pääse edes yrittämään salasanan arvaamista. nyt onkin tosi turvallista, mutta mitenkäs siihen sitten oikein pääsee sisälle...
käyttäjien pitää luoda itselleen avaimet joita tulee kaksi kappaletta, julkinen ja yksityinen. julkinen avain pitää toimittaa koneelle johon ollaan loggautumassa ja se pitää lisätä käyttäjän kotihakemistossa olevaan hakemistoon .ssh tiedostoon authorized_keys aivan kuten tuolla konffissa määrittelimme.
windows-käyttäjä voi luoda avaimen putty:n tarjoamalla softalla nimeltä puttygen. suosittelen generoimaan DSA-tyyppisen avaimen jonka pituus on vähintään 1024, mutta mielellään 2048 bittiä.
linuxissa (ja mäkissä OsX:ssä) homma hoituu komentoriviltä komennolla ssh-keygen. koko komento voisi olla vaikka seuraavanlainen:
$ ssh-keygen -b 2048 -t dsa
se luo dsa-tyyppisen avainparin jonka pituus on 2048 bittiä.
kannattanee hyväksyä tiedostojen oletussijainti ~/.ssh/id_dsa ja ~/.ssh/id_dsa.pub. noista jälkimmäinen on se julkinen avain (public) joka pitää toimittaa palvelimelle. tuo ohjelma kysyy myös salasanaa joka liitetään avaimeen ja jota käytetään jatkossa avaimen kanssa loggautuessa (se voi olla eri kuin käyttäjän kohdekoneen salasana).
kun meillä nyt on avain ja sitä vastaava salasana, voidaan avain kopioida paikoilleen. (huom. puttygenin generoiman avaimen alussa ja lopussa on kommenttirivi jotka on hyvä poistaa ennen avaimen lisäämistä käyttäjän tietoihin).
avaimen lisääminen tapahtuu vaikkapa näin:
cat <avain> >> /home/<käyttäjä>/.ssh/authorized_keys
nyt loggamista avaimeen liitetyn salasanan kanssa voi jo yrittää ja sen pitäisi onnistuakin. toisaalta murtautujan jolla ei ole privaattiavainta, pitäisi sisään päästäkseen arvata käyttäjätunnus, käyttäjän 2084 bittinen privaattiavain ja avainta vastaava salasana. heikolta näyttää murtautujan puolesta.
linuxissa tuota privaattiavainta osataan käyttää/tarjota automaattisesti jos se on tallennettu tuonne oletussijaintiin, windowsissa sovellukselle pitää kertoa missä käytettävä avain on (sitä varten sovelluksessa on joku kenttä).
windows-sovelluksia ja gftp:tä käytetään kuten mitä tahansa ftp-ohjelmaa, mutta nautilus ja konqueror toimivat hitusen eri tavalla.
nautiluksessa etäyhteys otetaan vaikkapa Places -> Connect to Server... valinnan kautta. Service type on SSH, porttia ei tarvitse antaa mutta se on 22 ellei serveri ole konffattu muuhun porttiin, ja loput kohdat ovatkin selviä.
toinen vaihtoehto on painaa nautiluksen avoimen ikkunan päällä <ctrl> + l ja kirjoittamalla riville sftp://<käyttäjätunnus>@<palvelin> ja enteriä. tuota käyttäjätunnusta ja sen jälkeen olevaa @:iä ei tarvita jos käyttäjätunnus on sama molemmilla koneilla.
Breezyssä avattuihin yhteyksiin voikin tehdä bookmarkkeja jolloin niihin pääsen helposti käsiksi myöhemmin.
konquerorilla homma onnistuu ainakin kirjoittamalla osoiteriville fish://<käyttäjätunnus>@<palvelin> ja tässäkään ei tarvita välttämättä tuota käyttäjätunnusta ja @:iä.
-
(huom. puttygenin generoiman avaimen alussa ja lopussa on kommenttirivi jotka on hyvä poistaa ennen avaimen lisäämistä käyttäjän tietoihin).
Oletan että ko. rivit on:
---- BEGIN SSH2 PUBLIC KEY ----
ja
---- END SSH2 PUBLIC KEY ----
Nämä siis kannattaa poistaa? Ja muihin riveihin ei kosketa?
Kiitokset howto:sta :)
-
Oletan että ko. rivit on:
---- BEGIN SSH2 PUBLIC KEY ----
ja
---- END SSH2 PUBLIC KEY ----
kyllä.
Nämä siis kannattaa poistaa?
kyllä.
Ja muihin riveihin ei kosketa?
ei.
tai ei kai siellä olekaan kuin yksi muu rivi. kieltämättä melko pitkä rivi, mutta kuitenkin :)
-
Nyt on sitten ongelma josta en tunnu pääsevän yli enkä ympäri... Eli, tein howton mukaan tuon ssh palvelimen ja kaikki menikin ihan ok. Hiukan oli leikkimistä /etc/sshd_config tiedoston kanssa mutta sain lopulta asetukset niin että tuo public key + private key on ainoa tapa kirjautua koneeseen ja pelkällä salasanalla sisään ei pääse. Ettei unohdu, windowsin puolelta Puttyllä siis otin yhteyden. Tähän asti kaikki ok...
Ongelmaksi on nyt kuitenkin muodostunut tuo sftp. Toivoisin tietty että sekin hoitaisi tunnistuksen tuolla avain parilla mutta näköjään se ei ole pakollista. Kun ajaa psftp.exe ohjelman ilman avaimen määritystä, hän toteaa iloisesti että annappa salasana (koska avainta ei ollut...). Oman käyttäjän salasana tähän ja homma pelaa. Näinhän tietysti ei pitäisi olla ??? Eikös avain parin käyttö sftp:llä luulisi myös olevan pakollista koska ei puttylläkään koneeseen voi kirjautua pelkillä tunnuksilla...
Tähän kun saisi korjausta/tietoja niin hyvä olisi. Liitän tähän sshd_config tiedostoni tuolta palvelimelta, saa viisaammat katsoa mikä mättää :)
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
# Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 600
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to no to disable s/key passwords
ChallengeResponseAuthentication yes
# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no
# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no
# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd yes
PrintLastLog yes
KeepAlive yes
UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
#Subsystem sftp /usr/lib/sftp-server
UsePAM yes
AllowGroups users
AllowUsers sapetsi
ClientAliveInterval 60
ClientAliveCountMax 3
Joku saattaa huomata että Subsystem rivi on kommentoitu, tämä oli yritykseni disabloida sftp kokonaan mutta eipä tuo toiminut...
-
Tähän kun saisi korjausta/tietoja niin hyvä olisi. Liitän tähän sshd_config tiedostoni tuolta palvelimelta, saa viisaammat katsoa mikä mättää :)
tuota tuota...
#Banner /etc/issue.net
#Subsystem sftp /usr/lib/sftp-server
UsePAM yes
nopeasti katsottuna minä tekisin näin...
UsePAM -> no
ja kommentit pois noista kahdesta muusta. kommenttien poistaminen ei kyllä vaikuta tähän kyseiseen ongelmaan, vaan kyse on mitä luultavammin tuosta PAM:sta.
tuo Banner määrittää tiedoston joka tulostetaan konsolille ennen salasanan kysymistä, siihen voi laittaa mitä itse haluaa, toinen tiedosto joka käyttäytyy hieman samalla tavalla on /etc/motd (message of the day) joka tulostetaan aina kun sisään on kirjauduttu.
Joku saattaa huomata että Subsystem rivi on kommentoitu, tämä oli yritykseni disabloida sftp kokonaan mutta eipä tuo toiminut...
juu, se saa kyllä olla olemassa.
-
UsePAM -> no
Kiittää ja kumartaa! Tuosta se siis kiinni näytti olevan. Nyt on mahottoman turvallinen olo taas :D
-
Moi!
Tarttis vähän selvennystä avaimien siirto kohtaan, tahtoo sanoa että no such file or directory. Onko <avain> kohtaan tarkoitus laittaa key fingerprint vai mitä? :) Kiitos.
-
Tarttis vähän selvennystä avaimien siirto kohtaan, tahtoo sanoa että no such file or directory. Onko <avain> kohtaan tarkoitus laittaa key fingerprint vai mitä? :) Kiitos.
siis tuo ssh-keygen luo kaksi tiedostoa, toisessa on se julkinen ja toisessa privaattiavain. tuohon <avain> kohtaan on tarkoitus antaa se tiedosto jossa on se julkinen avain.
-
avataan mieleisessään tekstieditorissa (rootin oikeuksin toki) tiedosto /etc/ssh/sshd_config ja muokataan sitä hieman.
Erh, "avataan rootin oikeuksin" va? alotin justiinsa linuksin käytön, elikkäs miten avataan/ajetaan jokin ohjelma "rootin oikeuksin"?
-
avataan mieleisessään tekstieditorissa (rootin oikeuksin toki) tiedosto /etc/ssh/sshd_config ja muokataan sitä hieman.
Erh, "avataan rootin oikeuksin" va? alotin justiinsa linuksin käytön, elikkäs miten avataan/ajetaan jokin ohjelma "rootin oikeuksin"?
Tässä tapauksessa kirjoittamalla komentoriville
sudo /etc/ssh/sshd_config
ja antamalla pyydettäessä Ubuntun asennuksen yhteydessä annettu salasana.
-
Tässä tapauksessa kirjoittamalla komentoriville
sudo /etc/ssh/sshd_config
ja antamalla pyydettäessä Ubuntun asennuksen yhteydessä annettu salasana.
Ei noin. Koska tuo yrittää ajaa tuota tiedostoa, mutta kun se piti avata niin vaikkapa näin:
sudo nano -w /etc/ssh/sshd_config
-
Tässä tapauksessa kirjoittamalla komentoriville
sudo /etc/ssh/sshd_config
ja antamalla pyydettäessä Ubuntun asennuksen yhteydessä annettu salasana.
Ei noin. Koska tuo yrittää ajaa tuota tiedostoa, mutta kun se piti avata niin vaikkapa näin:
sudo nano -w /etc/ssh/sshd_config
Ups. Jotain jäi välistä. My bad. Kiitos korjauksesta.
-
Toteutin tässä juuri tuon ohjeen siihen avainten lisäämiskohtaan asti. Lisäsin AllowUseriksi ainoan koneella määritellyn käyttäjän ja hyvinhän yhteys toimii, ehkä vähän liiankin hyvin, sillä se ei kysy mitään useria eikä passwordia missään vaiheessa. Riittää kun näpyttelee koneelle ip:n ja portin gnomen työpöydällä ja on sisällä että heilahtaa. En tehnyt /etc/ssh/sshd_config tiedostoon muita muutoksia kuin vaihdoin rootin -> no ja lisäsin käyttäjän sekä kokeilin sitä Pamia molemmilla no ja yes, mutten huomannut mitään eroa. Delete ei onnistu mutta siirtelin juuri kuvia ton toisen netin takana olevan koneen työpöydälle. Ei kai ton ihan noin "asiakasystävällinen" pitäisi olla. Joo ja restartit on aina tehty.
-
Toinen kerta toden sanoi. Kokeilin palvelimen asentamista uudelleen ja nyt kaikki meni kuten yllä on esitetty. Olkoon toi mun edellinen kommentti varoituksena muille mahdollisille sörsselsöneille. Kone voi olla asentelun jäljiltä todella auki.
-
Tämä nyt ei ihan suoraan liity yllä olevaan ohjeeseen, mutta aiheeseen kuitenkin. Eli siirryttyäni Hoarysta Breezyyn on SSH ja SFTP yhteyksiin tullut todella suuri viive (n. 7 sek) ennen kuin palvelin pyytää salasanaa. Mistä tämä voisi johtua? On todella rasittavaa kirjatua koneelle, kun saa odottaa sen 7 sekuntia sitä salasana promptia. Onko tuo viive säädettävissä jotenkin vai mistä tämä voisi johtua?
-
Olisikohan tuo IPv6:n vika. Lueppas: http://www.ubuntuforums.org/archive/index.php/t-84399.html&e=10384
-
Kiitos vinkistä, mutta tuo ei ikävä kyllä tällä kertaa auttanut. :(
-
Kiitokset hyvistä ohjeista!
Kuitenkin vastaan tuli yksi ongelma, avaimen kopiointi ei toimi jostain syystä. Eli teen sen seuraavasti:
cat salasana >> /home/käyttäjä/.ssh/authorized_keys
mutta saan seuraavan virheilmoitukset:
cat salasana >> /home/käyttäjä/.ssh/authorized_keys
cat: salasana: No such file or directory
avainta luodessa kysyttiin passpharea, tämä on varmaakin salasana jota kysytään kirjautuessa? joka tapauksessa "salasana" kohtaan kirjoitin kyseisen rimpsun! Missä vika?
Kiitokset avusta!
-
cat salasana >> /home/käyttäjä/.ssh/authorized_keys
mutta saan seuraavan virheilmoitukset:
cat salasana >> /home/käyttäjä/.ssh/authorized_keys
cat: salasana: No such file or directory
tuo komento cat tulostaa sille annetut tiedostot peräkkäin ruudulle ja tuossa rimpsussa >> ohjaa tulostuksen ruudun sijasta tiedsoton /home/käyttäjä/.ssh/authorized_keys loppuun.
avainta luodessa kysyttiin passpharea, tämä on varmaakin salasana jota kysytään kirjautuessa?
aivan oikein ja se voi olla jotain aivan muuta kuin koneella oleva shellin salasana.
joka tapauksessa "salasana" kohtaan kirjoitin kyseisen rimpsun! Missä vika?
tuohon salasanan kohdalle ei ole tarkoitus kirjoittaa omaa salasanaa, vaan antaa sille parametriksi se luotu julkinen avain.
-
Tämä on täysin hatusta vedetty oletus. Tätä sivustoa lukee myös joukko ihmisiä, joille nämä hienoimmat viilaukset eivät aina avaudu. Yritin itse käyttää tätä ssh systeemiä kolmen koneeni välisessä liikenteessä, mutta huomasin varsin pian, että muistitikku ajaa saman asian huomattavasti nopeammin ja varmemmin. Tämä vain vinkiksi itseni kaltaiselle pölkky-osastolle.
-
Saakos sshd:n asetuksista säädettyä jotenkin ip:t, joista voi logata sisään? Itselleni riittäisi 192.168.0.100-192.168.0.105 aika hyvin...
-
Saakos sshd:n asetuksista säädettyä jotenkin ip:t, joista voi logata sisään? Itselleni riittäisi 192.168.0.100-192.168.0.105 aika hyvin...
joissain ssh-servereissä on määreet AllowHosts ja DenyHosts, mutta openssh:ssa ei tainnut olla, ainakaan tässä versiossa joka tulee nykyisen Ubuntun mukana. periaatteessa kai noita hosteja voi rajoittaa myös teidsotojen /etc/hosts.allow ja /etc/hosts.deny avulla, mutta silloin kyse ei ole ssh-palvelimen säädöistä.
tässä kyseisessä tapauksessa IP:t ovat kuitenkin kaikki sisäverkon IP:itä, jolloin kone on itsekin NATin takana. eikös tuohon silloin riitä, että ei välitä yhteyksiä NATin ulkopuolelta ssh-porttiin koneelle jolla ajaa ssh-palvelinta?
-
vielä nopeempi keino on pistää tavallinen proftpd servu jolloinka liikenne kulkee salaamatta mutta se käyttää lähiverkkoa siirrossa jolloinka 100 mb lähiverkolla siirtonopeus on noin 6-8 mb/s kun taas tuo sftp serverillä se menee netin yli joka aivan käsittämättön hitasta (varsinkin hitaalla laajakaistalla).
-
vielä nopeempi keino on pistää tavallinen proftpd servu jolloinka liikenne kulkee salaamatta mutta se käyttää lähiverkkoa siirrossa jolloinka 100 mb lähiverkolla siirtonopeus on noin 6-8 mb/s kun taas tuo sftp serverillä se menee netin yli joka aivan käsittämättön hitasta (varsinkin hitaalla laajakaistalla).
en tiedä mistä olet tullut siihen johtopäätökseen, että ssh ja ftp reitittäisivät liikennettä jotenkin eri tavalla(?). jos palvelin on sisäverkossa, se myös käyttää liikennöimiseen sisäverkkoa.
yhteenvetona... ylläoleva väite ei pidä paikkaansa, ei lähellekään. scp/sftp-siirto on kieltämättä hieman hitaampaa johtuen kryptauksesta, mutta ei missään nimessä mitään valtavan hidasta. jos palvelin näkyy nettiin, niin ssh-on merkittävästi turvallisempi protokolla kuin ftp, jos ei näy, niin sillä ei ole väliä. linux koneiden välille on varmaan vielä kätevämpää tehdä NFS-jakoja kuin alkaa virittämään ftp-serveriä.
-
en tiedä mistä olet tullut siihen johtopäätökseen, että ssh ja ftp reitittäisivät liikennettä jotenkin eri tavalla(?). jos palvelin on sisäverkossa, se myös käyttää liikennöimiseen sisäverkkoa.
yhteenvetona... ylläoleva väite ei pidä paikkaansa, ei lähellekään. scp/sftp-siirto on kieltämättä hieman hitaampaa johtuen kryptauksesta, mutta ei missään nimessä mitään valtavan hidasta. jos palvelin näkyy nettiin, niin ssh-on merkittävästi turvallisempi protokolla kuin ftp, jos ei näy, niin sillä ei ole väliä. linux koneiden välille on varmaan vielä kätevämpää tehdä NFS-jakoja kuin alkaa virittämään ftp-serveriä.
Väitteeni että sftp on merkittävästi hitaampi kuin ftp pitää täysin paikansa, muutama asia selville palvelimesta: palvelin näkyy netissä, se saa ip soneran dhcp. tästä johtuen sftp liikenne vissiin tekee jonkun hienon kierto silkuman soneran päähän ja palaa takaisin. Muuta selitystä en keksi tuolla hitaalle nopeudelle.
600 mb videotiedoston sftp siirtonopeus noin 200kb/s
ftp:llä sama on noin 5-6mb/s
Kuva todisteet liitteenä
[ylläpito on poistanut liitteen]
-
Väitteeni että sftp on merkittävästi hitaampi kuin ftp pitää täysin paikansa
niinhän minä sanoinkin, scp/sftp-siirto on hitaampaa kuin salaamaton, koska se salataan ja siihen kuluu aikaa. sen sijaan väitteesi siitä, että eri protokollat reititettäisiin oletuksena eri tavalla on edelleen sontaa. senkin minä taisin jo sanoa. salauksen nopeus on tietenkin riippuvainen konetehosta.
muutama asia selville palvelimesta: palvelin näkyy netissä, se saa ip soneran dhcp. tästä johtuen sftp liikenne vissiin tekee jonkun hienon kierto silkuman soneran päähän ja palaa takaisin. Muuta selitystä en keksi tuolla hitaalle nopeudelle.
no ei, jos koneella on kaksi palvelinta ja niihin otetaan yhteyttä samasta paiaksta saman IP:n perusteella niin on hyvin oletettavaa, että paetit reititetään jotakuinkin samaa kautta. valinta intranet/internet ei kuitenkaan muutu, internetissä yksittäisten pakettien reititys on toki melko satunnaista.
600 mb videotiedoston sftp siirtonopeus noin 200kb/s
ftp:llä sama on noin 5-6mb/s
niin? minä siirsin kokeeksi iso-imagea palvelimeltani koneell SSHn ja NFS:n yli ja nopeuksiksi tuli 1,3Mt/s ja 10Mt/s.
siltä varalta, ettei tätä nyt vielä ole ymmärretty, niin... SCP/SFTP on turvallinen tapa ottaa ja tarjota tiedosnsiirtoyhteyksiä julkisesta verkosta/julkiseen verkkoon. salaus aiheuttaa toki siirtoon overheadia, mutta yleensä sillä ei ole mitään väliä toimittaessa internetin yli, eikä tietoturvaa ole mitään syytä uhrata patrin kilon nopeusedun saavuttamiseksi.
sisäverkossa sen sijaan on mahdollista käyttää salaamattomia yhteyksiä, jos sattuu olemaan vakuuttunut siitä, että turvaton palvelin ei näy julkiseen verkkoon ja sisäverkkoon ei ole mahdollista murtautua (ja aiheuttaa ongelmia verkon koneille sitä kautta).
tästäkin huolimatta etäterminaaliyhteydet kannattaa silti ajaa SSH:n yli, eikä missään tapauksessa käyttää jotain telnetiä tai rlogina. SSH-tarjoaa salatun yhteyden lisäksi paljon muutakin, mm. mahdollisuuden ohjata portteja salatusti toiselle koneelle, ajaa X-softaa etänä salatun yhteyden yli, ym.
-
mikähän mättää kun ei saa tuohon linux koneeseen yhteyttä muualta mutta tästä windows koneelta saan. molemmat koneet menee hubin kautta nettiin.
-
mikähän mättää kun ei saa tuohon linux koneeseen yhteyttä muualta mutta tästä windows koneelta saan. molemmat koneet menee hubin kautta nettiin.
mistä muualta olet yrittänyt?
jos yrität netistä, niin millainen verkkosi rakenne on? saatko joka koneelle julkisen IP:n vai oletko NATin takana?
-
Huomenta!
Kuinka mahtaa onnistua SSH serverin poistaminen?
meneekö suoraan komennolla apt-get remove openssh-server ?
Jostain syystä DSA avain tuottaa koneelle kirjautuessa ongelmia.. En löytänyt Puttystä, psftp:stä (ei oikein auennut, mutta vaikutti ihan pätevältä ohjelmalta) ja Winscp:stä kohtaa jonne voisin määritellä publickeyn sijainen, sen sijaan privatekey kohta löytyy. Olenko ymmärtänyt oikein, että publickey:tä verrataan myös kirjautuessa jo serverille laitettuun public avaimeen?
Saan yhteyden kaikilla clienteillä servuun ja pääsen antamaan käyttäjä tunnuksen, mutta privatekey (joka luotiin puttygenillä) ei jostain syystä kelpaa. Clientit millä yritän yhdistää, antavat sen perinteisen varoituksen, jossa näkyy varoitus.. Jostain syystä varoituksessa puhutaan RDA:sta!?
Sen verran itsekin tiedän, että RDA avain on eri juttu kuin DSA avain! Pitäisikö tämä muuttaa tarjoamaan DSA avainta?
Koitan vielä säätää, mutta jos menee liian vaikeaksi, niin koitan ihan perinteistä sambaa. Tässä SSH2 kiinnostaa datan siiron lisäksi myös mahdollisuus käyttää mm. irssiä etänä :)
-
Kuinka mahtaa onnistua SSH serverin poistaminen?
meneekö suoraan komennolla apt-get remove openssh-server ?
menee.
Jostain syystä DSA avain tuottaa koneelle kirjautuessa ongelmia.. En löytänyt Puttystä, psftp:stä (ei oikein auennut, mutta vaikutti ihan pätevältä ohjelmalta) ja Winscp:stä kohtaa jonne voisin määritellä publickeyn sijainen, sen sijaan privatekey kohta löytyy. Olenko ymmärtänyt oikein, että publickey:tä verrataan myös kirjautuessa jo serverille laitettuun public avaimeen?
olet ymmärtänyt hieman väärin. public key pitää olla vain koneella jonne kirjaudutaan. kirjautumista yrittävä ohjelma käyttää vain private keytä.
Saan yhteyden kaikilla clienteillä servuun ja pääsen antamaan käyttäjä tunnuksen, mutta privatekey (joka luotiin puttygenillä) ei jostain syystä kelpaa. Clientit millä yritän yhdistää, antavat sen perinteisen varoituksen, jossa näkyy varoitus.. Jostain syystä varoituksessa puhutaan RDA:sta!?
Sen verran itsekin tiedän, että RDA avain on eri juttu kuin DSA avain! Pitäisikö tämä muuttaa tarjoamaan DSA avainta?
muokkasithan puttygenin luomaa avainta neuvotulla tavalla ja lisäsit sen ilman mitään ylimääräistä sen authorized_keys-tiedoston loppuun?
sikäli kun tarkoitata RSA:ta, niin kyllä senkin pitäisi periaatteessa toimia.
Koitan vielä säätää, mutta jos menee liian vaikeaksi, niin koitan ihan perinteistä sambaa. Tässä SSH2 kiinnostaa datan siiron lisäksi myös mahdollisuus käyttää mm. irssiä etänä :)
ei tuota public key authenticationia ole pakko ottaa käyttöön vaikka se tietoturvaa parantaakin. suomalaiset ovat monesti siinä onnellisessa asemassa, että heidän käyttäjätunnuksiaan ei yleensä arvata millään scriptillä ja ubuntussa roottina kirjautuminen on muutenkin estetty, joten toimivan käyttäjätunnuksenkin arvaamisessa on yleensä oma hommansa.
-
Jahas, nyt sain homman toimimaan :)
Poistin kyllä comment kohdan aina, mutta olin tehnyt ensimmäisellä kerralla väärin, niin väärä public key oli jo tallennettuna authorized_keys tiedostoon. Suoritin tiedoston tyhjennyksen ja lisäsin uuden avain puhtaaseen tiedostoon. Eli olin aina lisännyt uutta avainta vanhan perään ::)
Tein muutenkin homman varman päälle ja en tallentanut public keytä tiedostoon vaan otin copy/pastella puttygenin kentästä. ;)
Pienen säädön jälkeen homma näyttää toimivan hyvin!
Voiko miltä tahansa koneelta kirjautua samaan käyttäjätunnukseen jos vain siirtää privatekeyn jokaiselle? vai onko luotu avain aina tietokone kohtainen?
Kiitokset selvennyksestä private/publickeyn tarkoituksesta!
Ps. Voisiko janne valaista, miten voin poistaa samban koneelta kun kerkesin sitäkin vähän säätämään. En viitsi turhaan pitää montaa palvelua koneella :)
-
Jahas, nyt sain homman toimimaan :)
hyvä juttu :)
Voiko miltä tahansa koneelta kirjautua samaan käyttäjätunnukseen jos vain siirtää privatekeyn jokaiselle? vai onko luotu avain aina tietokone kohtainen?
aivain ei ole konekohtainen, vaan sitä voi käyttää miltä koneelta tahansa. tosin privaattiavain on sen kaltaista dataa, että sen siirtämisen kanssa kannattaa olla varovainen. sitä ei pitäisi siirtää netin yli, ainakaan salaamattomasti.
Ps. Voisiko janne valaista, miten voin poistaa samban koneelta kun kerkesin sitäkin vähän säätämään. En viitsi turhaan pitää montaa palvelua koneella :)
luulisin, että ihan sudo apt-get remove samba riittää hoitamaan homman (tai synapticin kautta sama). homma ei ole ihan niin selvä, sillä esim. gnome ja kde taitavat käyttää jotain samban osia. tuo samba on silti ihan turvallista poistaa, mutta kaikkea samba-alkuista en menisi poistamaan.
-
Selvä!
Ajattelin USB-tikulla siirtää avaimen myös läppäriin, pääsen sillä myös säätämään konetta :)
Sambakin poistui suosiolla!
Kiitokset! Nyt vaan irssin kimppuun.. :o
-
Miten kirjaudutaan sisään puttyn kautta? Olen tehnyt kaiken mainitun siihen asti, missä määritettiin ketkä pääsevät koneelle, sillä en oikein ymmärtänyt kuinka ne kahdet avaimet sun muut tehdään. Pitääkö putty:ssa kirjoittaa koneen IP kenttään jossa lukee: Host Name (or IP adress)?
Kuin tein niin, putty sanoi "no route to host".
-
Onko sulla koneet kytketty suoraankytketyllä cat-kaapelilla? Kahden koneen välissä pitäisi olla ristiinkytketty, jos ei ole reititintä.
-
Asensin eilen ubuntu 5.10. Kaikki meni hyvin mutta en oikeen saa tätä ssh:ta toimimaan, kun pitäisi saada siiretty tiedostoja tuolta toiselta koneelta jossa on win xp sp2. XP konessa on SSH client.
Asensin näiden ohjeiden mukaan openssh-serverin ja laitoin noi root ja allowuser asetukset. Mutta kun yritän kirjautua tuolta toiselta koneelta niin serveriä ei löydy. Eli nyt pitää oikeen kysyä että onko se ihan tämä julkinen ip jolle pitää kirjautua vai joku muu?
-
Asensin eilen ubuntu 5.10. Kaikki meni hyvin mutta en oikeen saa tätä ssh:ta toimimaan, kun pitäisi saada siiretty tiedostoja tuolta toiselta koneelta jossa on win xp sp2. XP konessa on SSH client.
ssh-clientilla ei saa siirrettyä tiedostoja, mutta usean ssh-clientin mukana tulee scp/sftp client joka hommaan toki sopii.
Asensin näiden ohjeiden mukaan openssh-serverin ja laitoin noi root ja allowuser asetukset. Mutta kun yritän kirjautua tuolta toiselta koneelta niin serveriä ei löydy. Eli nyt pitää oikeen kysyä että onko se ihan tämä julkinen ip jolle pitää kirjautua vai joku muu?
pitää käyttää sitä IP-osoitetta joka on näkyvissä toiselle koneelle. millainen verkko sinulla on noiden kahden koneen välillä, ja miten yrität ottaa yhteyttä? lisäksi mitä se ssh-client ilmoittaa virheeksi?
-
pitää käyttää sitä IP-osoitetta joka on näkyvissä toiselle koneelle. millainen verkko sinulla on noiden kahden koneen välillä, ja miten yrität ottaa yhteyttä? lisäksi mitä se ssh-client ilmoittaa virheeksi?
Tuota noin. Ensin molemmat koneet tulevat hubiin josta ne menevät yksi-porttiseen reittimeen josta ne sit pääsevät internetin ihmeelliseen maailmaan.
Kokeilin Filezilla:lla myös ja se ilmoittaa "Unable to connect".
-
Siis, kysynpä nyt varmistaakseni, ssh käytetään irssin, vai olenko väärässä?
-
:) kätevää
-
Tuota noin. Ensin molemmat koneet tulevat hubiin josta ne menevät yksi-porttiseen reittimeen josta ne sit pääsevät internetin ihmeelliseen maailmaan.
ok. saavatko molemmat IP-osoitteensa sisäverkosta ja käyttävät natattua yhteyttä nettiin vai onko kummallakin julkinen IP?
Kokeilin Filezilla:lla myös ja se ilmoittaa "Unable to connect".
tarkoittaako tuo, että konetta ei löydetty vai, että se ei suostu ottamaan yhteyksiä vastaan?
oletko kokeillut pingata palvelinta? entä konffasitko käyttöön avaimet ja jos konffasit, niin oeltko varma, että ne on kunnolla sennettu palvelinpäähän ja että käyttämäsi client käyttää niitä myös?
-
Siis, kysynpä nyt varmistaakseni, ssh käytetään irssin, vai olenko väärässä?
ei.
ssh mahdollistaa salatut etäyhteydet koneeseen komentoriville, mutta sen kautta voi myös halutessaan tunneloida muita muutoin salaamattomia yhteyksiä salatusti. lisäksi sen avulla voi forwardoida portteja ja vaikka käyttää X-ohjelmia etänä toiselta koneelta.
tietty kun etäyhteys toiselle koneelle on luotu, niin siellä voidaan halutessaan ajaa vaikka sitä irssiä. jos irssin käynnistää vielä screenissä, niin se ei sammu vaikka koneelta loggaisi ulos (olettaen, että kone pidetään päällä) ja siitä samaa irc-sessiota voi siis käyttää 'katkotta' useaan eri otteeseen. tämä on aika kätevää ja siitä syystä moni varmasti puhuu irssistä samassa yhteydessä, mutta sitä voi käyttää moneen muuhunkin. itse mm. päivitin äskettäin ubuntuni uudempaan versioon töistä käsin, välissä oli pari boottiakin, mutta homma hoitui todella nätisti vaikka olin itse useiden kilometrien päässä.
-
ok. saavatko molemmat IP-osoitteensa sisäverkosta ja käyttävät natattua yhteyttä nettiin vai onko kummallakin julkinen IP?
Näissä IP-jutuissa en ole mikään haka, mutta yritetään selittää. Eli tuos XP-koneessa näyttäisi IP pysyä samana, vaikka muistaakseni siinä on se hae ip automaattisesti toiminta päällä. Täs ubuntu koneessa näköjään vaihtuu IP joka käynnistyksen jälkeen. (Tähän voisin lisätä aiheen ulkopuolelta kysymyksen. Eli miten miten saan IPn pysymään samana aina?)
tarkoittaako tuo, että konetta ei löydetty vai, että se ei suostu ottamaan yhteyksiä vastaan?
oletko kokeillut pingata palvelinta? entä konffasitko käyttöön avaimet ja jos konffasit, niin oeltko varma, että ne on kunnolla sennettu palvelinpäähän ja että käyttämäsi client käyttää niitä myös?
Kokeilin pingata, joka sujui onnistuneesti.
Niin ja tuo SSH Secure File Transfer Client XP-koneella ilmoittaa The host is unreachable.
En konffannu avaimia käyttöön.
-
Kannattaa lisätä ohjeeseen varmaan lisää turvallisuusvinkkejä, kuten SSH portin vaihto ja Fail2banin asennus.
-
Ilmeni pieni ongelma tai oikeastaan aika iso. En pysty yhdistämään ssh kautta servulleni. Sanoo tällaista..
taimi@24-23:~$ ssh xx.xxx.xxx.xxx
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
Please contact your system administrator.
Add correct host key in /home/taimi/.ssh/known_hosts to get rid of this message.Offending key in /home/taimi/.ssh/known_hosts:4
RSA host key for xx.xxx.xxx.xxx has changed and you have requested strict checking.
Host key verification failed.
Aikasemmin toimi iha hyvin, mutta netti tilttas ja siitä lähtien sanonut tällaista. Nyt asensin serverin uudestaankin, mutta ei auttanut. Minulla ei ole mitään key:tä käytössä kirjautuessa pelkällä tunnuksella ja salasanalla pötkitään matkaan.
Itsellä käytössä Ubuntu ja serveri on ikkunaton Ubuntu.
EDIT: Nyt ymmärsin, mutta mistä tuon host keyn saa tai missä se on?
-
Ilmeni pieni ongelma tai oikeastaan aika iso. En pysty yhdistämään ssh kautta servulleni. Sanoo tällaista..
taimi@24-23:~$ ssh xx.xxx.xxx.xxx
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
Please contact your system administrator.
Add correct host key in /home/taimi/.ssh/known_hosts to get rid of this message.Offending key in /home/taimi/.ssh/known_hosts:4
RSA host key for xx.xxx.xxx.xxx has changed and you have requested strict checking.
Host key verification failed.
kyse on siitä, että servverikoneeseen ensi kertaa yhteyttä otettaessa tallennettu "sormenjälki" ei enää täsmää ja on tietysti syytä epäillä, että matkalla on joku välissä salakuuntelemassa liikennettä (ns. man in the middle hyökkäys) ellei satu olemaan parempaa tietoa tilanteesta.
Aikasemmin toimi iha hyvin, mutta netti tilttas ja siitä lähtien sanonut tällaista. Nyt asensin serverin uudestaankin, mutta ei auttanut. Minulla ei ole mitään key:tä käytössä kirjautuessa pelkällä tunnuksella ja salasanalla pötkitään matkaan.
serverin uudelleenasennus, IP:n muuttuminen ym. rikkovat ko. toiminnallisuuden, jolloin tämä tunniste pitää poistaa. lisää tietoa löytyy komennolla man ssh kohdasta Server authentication.
Tuon tarkistuksen saa konffattua kokonaan pois (en suosittele), sen saa poistettua komentorivioptiona (turhan työlästä) tai palvelimen tunnisteen voi vaan positaa tiedostosta ~/.ssh/known_hosts jossa se on omalla rivillään.
-
Asensin tossa ton SSH-serverin, ja nyt saan yhteyden omasta koneestani (eli serveristäni) itselleni. Mutta tajusinko oikein, että tuo PuTTyn generoima avain siirretään esim muistitikulla serveriin, ja komennetaan esim. näin:
cat /home/käyttäjä/missä/on/se/avain /home/käyttäjä/.ssh/authorized_keysJa sitä ennen poistetaan ne Begin ja End rivit?
-
Asensin tossa ton SSH-serverin, ja nyt saan yhteyden omasta koneestani (eli serveristäni) itselleni. Mutta tajusinko oikein, että tuo PuTTyn generoima avain siirretään esim muistitikulla serveriin, ja komennetaan esim. näin:
cat /home/käyttäjä/missä/on/se/avain /home/käyttäjä/.ssh/authorized_keysJa sitä ennen poistetaan ne Begin ja End rivit?
muuten kyllä, mutta tuossa cat-komennossa tarvitaan myös tulosteen ohjaamista, eli:
cat /home/käyttäjä/missä/on/se/avain >> /home/käyttäjä/.ssh/authorized_keys
muista laittaa kaksi > merkkiä, jolloin avain kirjoitetaan tiedsoton loppuun. yksi korvaisi koko tiedoston sisällön.
-
Asensin tossa ton SSH-serverin, ja nyt saan yhteyden omasta koneestani (eli serveristäni) itselleni. Mutta tajusinko oikein, että tuo PuTTyn generoima avain siirretään esim muistitikulla serveriin, ja komennetaan esim. näin:
cat /home/käyttäjä/missä/on/se/avain /home/käyttäjä/.ssh/authorized_keysJa sitä ennen poistetaan ne Begin ja End rivit?
muuten kyllä, mutta tuossa cat-komennossa tarvitaan myös tulosteen ohjaamista, eli:
cat /home/käyttäjä/missä/on/se/avain >> /home/käyttäjä/.ssh/authorized_keys
muista laittaa kaksi > merkkiä, jolloin avain kirjoitetaan tiedsoton loppuun. yksi korvaisi koko tiedoston sisällön.
Ok. Tein ton. Nyt sanoo näin PuTTy: Lisään kuvan Windows-koneelta. IP on oikein, key on määritelty tiedostoon ja kaikki muukin näyttäis olevan OK. Missä vika?
EDIT: Lisätty kuva.
EDIT2: Nyt toimii vähän jo. Kun avaa Puttyn, se sanoo että tietokone ei ehkä ole se miksi luulet sitä. Sitten se ilmoittaa public keyn ja sanoo että sitä ei ole hostissa tai jotakin. Sen jälkeen samassa ikkunassa on painikkeet Kyllä, Ei, Peruuta. Tollai ilmoittaa: http://www.scs.gmu.edu/computing/putty-key-accept-screen.jpg Sitten kun laittaa käyttäjätunnuksen ja painaa enter, putty sulkeutuu. Missäköhän on vika?
[ylläpito on poistanut liitteen]
-
Ok. Tein ton. Nyt sanoo näin PuTTy: Lisään kuvan Windows-koneelta. IP on oikein, key on määritelty tiedostoon ja kaikki muukin näyttäis olevan OK. Missä vika?
käytäthän varmasti siinä puttyn yhteydessä sitä privaattiavainta ja palvelimella sitä julkista?
EDIT2: Nyt toimii vähän jo. Kun avaa Puttyn, se sanoo että tietokone ei ehkä ole se miksi luulet sitä. Sitten se ilmoittaa public keyn ja sanoo että sitä ei ole hostissa tai jotakin. Sen jälkeen samassa ikkunassa on painikkeet Kyllä, Ei, Peruuta. Tollai ilmoittaa: http://www.scs.gmu.edu/computing/putty-key-accept-screen.jpg
ensimmäisellä yhteyskerralla tuo on ihan normaalia ja niin sen kuuluukin toimia.
Sitten kun laittaa käyttäjätunnuksen ja painaa enter, putty sulkeutuu. Missäköhän on vika?
kuulsotaa siltä, että avaimet eivät täsmää ja palvelin sulkee yhteyden.
-
Yritin saada sshta toimimaan tuolla antamasi ohjeella. Törmäsin kuitenkin ongelmaa jo ennen authorized_key juttuja.
Startatessa serveri valittaa "Clould not find host key: /etc/ssh/ssh_host_rsa_key" ja samoin dsa-keystä. Nuo näyttävät kuitenkin löytyvän tuolta ssh-kansiosta. Mikähän tuossa voisi olla vikana?
-
Ok. Tein ton. Nyt sanoo näin PuTTy: Lisään kuvan Windows-koneelta. IP on oikein, key on määritelty tiedostoon ja kaikki muukin näyttäis olevan OK. Missä vika?
käytäthän varmasti siinä puttyn yhteydessä sitä privaattiavainta ja palvelimella sitä julkista?
EDIT2: Nyt toimii vähän jo. Kun avaa Puttyn, se sanoo että tietokone ei ehkä ole se miksi luulet sitä. Sitten se ilmoittaa public keyn ja sanoo että sitä ei ole hostissa tai jotakin. Sen jälkeen samassa ikkunassa on painikkeet Kyllä, Ei, Peruuta. Tollai ilmoittaa: http://www.scs.gmu.edu/computing/putty-key-accept-screen.jpg
ensimmäisellä yhteyskerralla tuo on ihan normaalia ja niin sen kuuluukin toimia.
Sitten kun laittaa käyttäjätunnuksen ja painaa enter, putty sulkeutuu. Missäköhän on vika?
kuulsotaa siltä, että avaimet eivät täsmää ja palvelin sulkee yhteyden.
Mulla on noi avaimet tossa tiedostossa aivan yhdessä, siis ilman väliä. Voisiko se olla syynä tähän? Entäs se, että siellä on tälläinen rivi:
Comment: "dsa-key-20060503"
Ja sitten ton ekan avaimen jälkeen mulla on koneennimi, tässä tapauksessa samuli@Ubuntu, mutta sitä ei ole Puttyn avaimen jälkeen. Tai entäs se, että mulla on siinä PuTTyn avaimen jälkeen Windows koneella vielä ne end ja begin rivit. Sori jos tuli epäselvä viesti mutta olisi hienoa saada tää toimimaan. Ja kiitos janne sinulle hyvästä ohjeesta.
-
Yritin kopioida avaimen paikoilleen "cat <avain> >> /home/<käyttäjä>/.ssh/authorized_keys" komennolla, mutta saan vastaukesksi
bash: syntax error near unexpected token `>>'
???
-
Startatessa serveri valittaa "Clould not find host key: /etc/ssh/ssh_host_rsa_key" ja samoin dsa-keystä. Nuo näyttävät kuitenkin löytyvän tuolta ssh-kansiosta. Mikähän tuossa voisi olla vikana?
hmm... ko. tiedostot luodaan kun palvelinta käynnistetään ensimmäisen kerran, joten siinä ei pitäisi olla ongelmaa. ethän ole mennyt muuttelemaan ko. tiedostojen (tai hakemistorakenteen) oikeuksia?
koeta tuhota tiedostot ja käynnistä palvelin uudelleen.
-
Mulla on noi avaimet tossa tiedostossa aivan yhdessä, siis ilman väliä. Voisiko se olla syynä tähän?
no, ei siellä mitään tyhjiä rivejä tarvita, mutta jokainen avain pitäisi muistaakseni olla omalla rivillään.
Entäs se, että siellä on tälläinen rivi:
Comment: "dsa-key-20060503"
tuollaiseen riviin en ole törmännyt koskaan, enkä osaa sanoa, aiheuttaako tuo Comment sen, että rivi jätetään huomiotta, mutta kyllä tuo pitäisi turvallisesti voida poistaakin.
Ja sitten ton ekan avaimen jälkeen mulla on koneennimi, tässä tapauksessa samuli@Ubuntu, mutta sitä ei ole Puttyn avaimen jälkeen.
tuo kommentti avaimen jälkeen saa olla, mutta ei siitä ole haittaa vaikkei sitä olisikaan.
Tai entäs se, että mulla on siinä PuTTyn avaimen jälkeen Windows koneella vielä ne end ja begin rivit.
windows koneella nuo saivat olla ja ainakin joku versio puttystä vaatikin ne.
-
Yritin kopioida avaimen paikoilleen "cat <avain> >> /home/<käyttäjä>/.ssh/authorized_keys" komennolla, mutta saan vastaukesksi
bash: syntax error near unexpected token `>>'
ethän vaan kirjoittanut kirjaimellisesti noin?
tuo <avain> pitää korvata sen tiedoston nimellä jossa sinulla on se avain ja tietysti <käyttäjä> vastaavastikäyttäjätunnuksella.
-
Nyt taisi onkelma selvitä mutta ei tullut vielä ratkaistuksi. Onkelma on, että palvelin eli minun koneeni hylkää avaimen, koska PuTTy sanoo näin:
login as: samuli
Server refused our key
No supported authentication methods left to try!
Mitä pitäisi tehdä?
-
Yritin kopioida avaimen paikoilleen "cat <avain> >> /home/<käyttäjä>/.ssh/authorized_keys" komennolla, mutta saan vastaukesksi
bash: syntax error near unexpected token `>>'
ethän vaan kirjoittanut kirjaimellisesti noin?
tuo <avain> pitää korvata sen tiedoston nimellä jossa sinulla on se avain ja tietysti <käyttäjä> vastaavastikäyttäjätunnuksella.
en toki, ajattelin vain että olisi viisainta pitää käyttäjä ja avain salattuina ^_^
-
http://forum.ubuntu-fi.org/index.php?topic=4151.msg29650#msg29650
-
Missähän meni pieleen kun tuolla mun kotihakemistossa ei ole .ssh kansiota? Voinko tehdä sen sinne itse ja samalla tehdä itse tuon authorized_keys tiedoston?
Ilmeisesti palomuurista pitää myöskin avata portti 22 tuolle ssh yhteydelle? pitkääkö jotain muitakin portteja avata jotta yhteys toimisi?
-
Missähän meni pieleen kun tuolla mun kotihakemistossa ei ole .ssh kansiota? Voinko tehdä sen sinne itse ja samalla tehdä itse tuon authorized_keys tiedoston?
jos hakemistoa ei löydy, niin silloin et ole käyttänyt ssh:ta vielä mihinkään. sen voi huoletta luoda itse.
Ilmeisesti palomuurista pitää myöskin avata portti 22 tuolle ssh yhteydelle? pitkääkö jotain muitakin portteja avata jotta yhteys toimisi?
portin 22 avaamisen pitäisi riittää.
-
Tämä selvä.
Sitten vielä. Oma koneeni toimii niin sanottuna servuna. Eli tälle koneelle kopioin tuon julkisen avaimen tuonne .ssh kansioon tiedostoon authorized_keys, eikö?
Kaverin koneella on myös ubuntu ja siltä pitäisi päästä tälle minun koneelle. Otan siis tuon toisen avaimen muistitikulla mukaan ja menen kaverin luokse. Ohjelmana käytetään gftp:tä. Kysymys kuuluu minne laitan tuon avaimen kaverin koneella?
-
Sitten vielä. Oma koneeni toimii niin sanottuna servuna. Eli tälle koneelle kopioin tuon julkisen avaimen tuonne .ssh kansioon tiedostoon authorized_keys, eikö?
kyllä ja kyllä.
Kaverin koneella on myös ubuntu ja siltä pitäisi päästä tälle minun koneelle.
ok.
Otan siis tuon toisen avaimen muistitikulla mukaan ja menen kaverin luokse. Ohjelmana käytetään gftp:tä. Kysymys kuuluu minne laitan tuon avaimen kaverin koneella?
parasta olisi luoda kaverin koneelle oma avain (ja mahdollisesti käyttäjätunnus sinun serverillesi), jotta kaikki avaimet eivät mene uusiksi jos yksi avain joutuu vääriin käsiin.
jos kuitenkin on jostain syystä käytettävä samaa avainta (ja tunnusta), sijoitetaan myös privaatti avain sinne .ssh hakemistoon.
-
Terve,
Osaakos joku (Janne) kertoa, miksi ssh yhteyden ottaminen omalta koneelta omaan koneeseen ei toimi julkista ip:tä käyttäen, vaikka esim. yliopistolta saan omaan koneeseeni yhteyden. Itse luulen, että vika on Telewelin EA501 reitittimessä. Reitittimessä on tällä hetkellä "palomuuri" (>>Tämä asetus mahdollistaa automaattisen hyökkäysten tunnistuksen ja eston DoS-hyökkäykset, Ping of Death, SYN Flood, Port Scan ja Land Attack hyökkäykset.<<) päällä ja jos yritän ottaa omaan koneeseeni ssh yhteyttä, niin ei tapahdu mitään. Jos taas otan reitittimen "palomuurin" pois päältä, niin saan ilmoituksen >> ssh: connect to host *.*.* port 22: Connection refused<<. Kummassakin tapauksessa saan koneeseeni yhteyden ulkomaailmasta ja käyttäen sisäverkon ip:tä 192.168.0.100. Haluaisin vaan ymmärtää mistä oikein on kyse, kun oon puoli päivää tän kans tapellut, Sinänsähän tällä ei o väliä kun kerran yhteydet pelaa...
- J
-
jos yritän ottaa omaan koneeseeni ssh yhteyttä, niin ei tapahdu mitään. Jos taas otan reitittimen "palomuurin" pois päältä, niin saan ilmoituksen >> ssh: connect to host *.*.* port 22: Connection refused<<. Kummassakin tapauksessa saan koneeseeni yhteyden ulkomaailmasta ja käyttäen sisäverkon ip:tä 192.168.0.100. Haluaisin vaan ymmärtää mistä oikein on kyse, kun oon puoli päivää tän kans tapellut, Sinänsähän tällä ei o väliä kun kerran yhteydet pelaa...
modeemisi on nattaavana ja koneellasi on sisäverkon IP, jolle olet modeemilta ohjennut liikenteen. ainakaan oman telewellini kanssa sisäverkosta ei pysty käyttämään modeemin ulkoista IP-osoitetta sisäverkosta käsin yhteyden ottamiseen. varmistin vielä asian suoraan telewelliltä ja voisin kuvitella, että tuon modeemin kanssa tilanne on täysin sama.
-
Kiitokset tästä. Ton kun olis tiennyt, olis säästynyt monta tuntia. Vasta monen tunnin säätämisen jälkeen löysin googlella vastaavia "ongelmia". Ei tullut mielenkään kokeilla yhteydenottoa ulkoa, kun ei se omaltakaan koneelta toiminu :( No loppu hyvin jne
- J
-
Vielä kun tietäis miten avataan X-ohjelma.
Herjaapi Display-asetuksista.
Tartteis käyttää scanneria etänä - tai olis kätevää jos vois käyttää Scanneria etänä.
Sitähän pystyy myös käyttämään komentoriviltä, mutten osaa sitäkään. :(
Muistelen joskus nähneeni ko. asetuksia, vaikkaan ei ollut ssh-yhteydellä ja tais olla sunin unix.
-
Vielä kun tietäis miten avataan X-ohjelma.
Herjaapi Display-asetuksista.
Tartteis käyttää scanneria etänä - tai olis kätevää jos vois käyttää Scanneria etänä.
Sitähän pystyy myös käyttämään komentoriviltä, mutten osaa sitäkään. :(
Muistelen joskus nähneeni ko. asetuksia, vaikkaan ei ollut ssh-yhteydellä ja tais olla sunin unix.
ssh:n yli pystyy ajamaan X-ohjelmia jos käynnistää ssh-istunnon parametrilla -X ja ssh-serverillä on (muistaakseni) X11Forwarding päällä.
-
ssh:n yli pystyy ajamaan X-ohjelmia jos käynnistää ssh-istunnon parametrilla -X ja ssh-serverillä on (muistaakseni) X11Forwarding päällä.
Jeps, -X vipu auttoi. Löysin Englanninkieliseltä foorumilta, kun en arvannut man-sivujen kertovan asiaa.
ssh -X <tunnus>@<ip>
Tällä sain pelittämään - tietenkin on huomioitava, että tallennukset menevät etäkoneelle. Hyvin kyllä toimii.
-
Kaks kysymystä:
Voiko oman koneen ip-tunnuksen muuttaa joksikin nimeksi (kirjainyhdistelmäksi). Numerosarjaa kun on vaikeampi muistaa ulkoa...
Ssh-yhteys toiselta koneelta omalle onnistuu, tiedostot siirtyvät jne., mutta jos loggaan koneellleni komentaen "ssh -X tunnus@ip" ja sitten kirjoitan kotikoneeni komentoriville vaikkapa Kate ohjelma ei käynnisty, vaan tulee virheilmoitus "kate: cannot connect to X server".
Mitens?
(Loisto Howto, vaikka Jannen mielestä "triviaali". ;) Meitsille tuli ihan tarpeeseen tämäkin... :) )
-
Kaks kysymystä:
Voiko oman koneen ip-tunnuksen muuttaa joksikin nimeksi (kirjainyhdistelmäksi). Numerosarjaa kun on vaikeampi muistaa ulkoa...
juu... sitähän nuo kaikki webbiosoitteet ovat ;)
joudut rekisteröimän domainin (ja tietty hoitamaan tiedot DNS-palvelimelle) tai käyttämään jotain ilmaispalvelua.
domainin voi rekisteröidä vaikkapa täällä (tarjoaa myös DNS-palveluita ja mailiforwardeja):
http://joker.com/
ja ilmaispalveluita (maksullisin lisäpalveluin) ovat mm. nämä:
http://www.dyndns.com/
http://www.no-ip.com/
Ssh-yhteys toiselta koneelta omalle onnistuu, tiedostot siirtyvät jne., mutta jos loggaan koneellleni komentaen "ssh -X tunnus@ip" ja sitten kirjoitan kotikoneeni komentoriville vaikkapa Kate ohjelma ei käynnisty, vaan tulee virheilmoitus "kate: cannot connect to X server".
miltä koneelta olet yhteyden ottanut? pyöriihän sillä varmasti X-palvelin joka osaa näyttää tuon kyseisen sovelluksen ikkunan?
-
Hmmm... Yliopiston Unix-koneelta, jota käytin SSH:lla pöytäkoneeltä, otin yhteyden. Ehkäpä siinä tosiaan ei pyöri tota palvelinta... Milläs ton tsekkaa, että pyöriikö? Tnks! (Eh... täytyy kyl myöntää, etten kuuluis osastolle "ohjeita edistyneille" .. )
-
Jos näet yliopiston koneella jotain graafista, esim. KDE tai Gnome tai vastaava työpöytäympäristö (kuin kotona Ubuntussasi) niin kyllä siinä varmastikin X pyörii. Tai jos saat käyntiin esim. firefoxin tai konquerorin yliopiston koneella niin pitäisi pelaa..
Windowsin puolella saman homman saa toimimaan softalla nimeltä winaXe (joka on siis X - serveri windowsille).
r
-
Jeps, toi winaXe oli tarpeen. Kiitos!
-
Tulipa tuossa sellainen mieleen, että saanko jollain tapaa määritettyä että netistä päin ei pääsisi kirjautumaan ssh:lla käyttäjällä sisään jolla on sudo:t, mutta sisäverkosta pääsisi kirjautumaan myös sillä sisään?
Tämä on nyt vaan sen takia että en viitsisi pelata noiden avainten kanssa (ja ilmeisesti sitten ei onnistuisi esim albumin päivitys JAlbum softalla), mutta haluaisin kuitenkin hieman lisää turvaa (jos joku hoksaa käyttäjänimen ja saa murrettua salasanan niin silloinhan pääsee tekemään aivan mitä haluaa).
-
Tulipa tuossa sellainen mieleen, että saanko jollain tapaa määritettyä että netistä päin ei pääsisi kirjautumaan ssh:lla käyttäjällä sisään jolla on sudo:t, mutta sisäverkosta pääsisi kirjautumaan myös sillä sisään?
Tämä on nyt vaan sen takia että en viitsisi pelata noiden avainten kanssa (ja ilmeisesti sitten ei onnistuisi esim albumin päivitys JAlbum softalla), mutta haluaisin kuitenkin hieman lisää turvaa (jos joku hoksaa käyttäjänimen ja saa murrettua salasanan niin silloinhan pääsee tekemään aivan mitä haluaa).
Pohdin itse samaa ongelmaa jokin aika sitten ja en suoraa ratkasua löytäny. Kiersin ongelman kuitenki siten, että määrittelin ssh:lle että vain käyttäjät, joilla ei ole sudo:n oikeuksia, saivat kirjautua.(Eli lisäsin sinne ssh:n asetustiedostoon vain käyttäjiä, joilla tuo sudo ei toiminut) Kirjaudun ensin tällaisella oikeudettomalla tunnuksella sisään, ja sitten vaihdan käyttäjän täksi toiseksi, jolla on sudo-oikeudet su-komennolla eli siis "su kayttaja_jolla_on_sudo_oikeudet ja tämän salasana.
-
Tulipa tuossa sellainen mieleen, että saanko jollain tapaa määritettyä että netistä päin ei pääsisi kirjautumaan ssh:lla käyttäjällä sisään jolla on sudo:t, mutta sisäverkosta pääsisi kirjautumaan myös sillä sisään?
Tämä on nyt vaan sen takia että en viitsisi pelata noiden avainten kanssa (ja ilmeisesti sitten ei onnistuisi esim albumin päivitys JAlbum softalla), mutta haluaisin kuitenkin hieman lisää turvaa (jos joku hoksaa käyttäjänimen ja saa murrettua salasanan niin silloinhan pääsee tekemään aivan mitä haluaa).
Pohdin itse samaa ongelmaa jokin aika sitten ja en suoraa ratkasua löytäny. Kiersin ongelman kuitenki siten, että määrittelin ssh:lle että vain käyttäjät, joilla ei ole sudo:n oikeuksia, saivat kirjautua.(Eli lisäsin sinne ssh:n asetustiedostoon vain käyttäjiä, joilla tuo sudo ei toiminut) Kirjaudun ensin tällaisella oikeudettomalla tunnuksella sisään, ja sitten vaihdan käyttäjän täksi toiseksi, jolla on sudo-oikeudet su-komennolla eli siis "su kayttaja_jolla_on_sudo_oikeudet ja tämän salasana.
Tällaista ratkaisua itsekin ajattelin, mutta meinasin että jos ssh:n saisi jollain tapaa toimimaan tuolla mainitsemallani tavalla.
Entäs onnistuuko sellainen että rakentaisi ainakin apachen ja ssh:n chroot ympäristöön jotka toimisivat nettiin päin ja sitten sisäverkolle oma ssh joka toimii normaali ympäristössä?
-
Tällaista ratkaisua itsekin ajattelin, mutta meinasin että jos ssh:n saisi jollain tapaa toimimaan tuolla mainitsemallani tavalla.
veikkaan, että tuota varten tarvitset kaksi sshd-prosessia eri configuraatioilla.
Entäs onnistuuko sellainen että rakentaisi ainakin apachen ja ssh:n chroot ympäristöön jotka toimisivat nettiin päin ja sitten sisäverkolle oma ssh joka toimii normaali ympäristössä?
eiköhän tuokin onnistu.
-
Tänään on tullut näköjään pari murto yritystä jo. Mitäs nämä tarkoittaa?
Sep 13 10:02:08 tlp sshd[11720]: reverse mapping checking getaddrinfo for 200-232-23-132.customer.tdatabrasil.net.br failed - POSSIBLE BREAKIN ATTEMPT!
Sep 13 19:30:15 tlp sshd[12920]: Address 211.72.160.38 maps to tipnet.org.tw, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Kaikenlaisia usernameja näköjään on koitettu, mutta onneksi ei ole sattunut oikeaa.
Pitää varmaan ruveta nostamaan vähän "turvatasoa" :)
-
Entäs onnistuuko sellainen että rakentaisi ainakin apachen ja ssh:n chroot ympäristöön jotka toimisivat nettiin päin ja sitten sisäverkolle oma ssh joka toimii normaali ympäristössä?
Jailkit voisi olla tutustumisen arvoinen (Bluefish:n isin projekti): http://olivier.sessink.nl/jailkit/
Ei en ole testannut/sen tarkemmin tutustunut, mutta tuosta voisi olla apua?
-
Tänään on tullut näköjään pari murto yritystä jo. Mitäs nämä tarkoittaa?
Sep 13 10:02:08 tlp sshd[11720]: reverse mapping checking getaddrinfo for 200-232-23-132.customer.tdatabrasil.net.br failed - POSSIBLE BREAKIN ATTEMPT!
Sep 13 19:30:15 tlp sshd[12920]: Address 211.72.160.38 maps to tipnet.org.tw, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
tavallista kolkutteluahan tuo on, joskin osoitteen reverse mapping ei pelaa odotetusti, mikä voi tietty johtua spoofingista, mutta eipä sillä ole väliä... aivan samalla tavalla ne muutkin kolkuttelut ovat murtoyrityksiä vaikka niiden yhteydessä ei logissa niin lukisikaan.
Kaikenlaisia usernameja näköjään on koitettu, mutta onneksi ei ole sattunut oikeaa.
Pitää varmaan ruveta nostamaan vähän "turvatasoa" :)
no joo, jos käyttäjänimiä on vaikea arvata, niin se on jo pykälän verran turvallisempaa (joskin joku oli kai jo törmännyt matoon joka arvaili suomalaisilla nimillä). public key authenticationin kanssa homman pitäisi olla suht turvallista, vaikka käyttäjätunnuksenkin arvaisi oikein, sillä yhteys suljetaan silti heti, ellei oikeaa avainta tarjota samassa yhteydessä.
tietty jos kolkuttelut häiritsevät, niin ssh-palvelimen voi siirtää johonkin toiseen porttiin. madot yleensä yrittelevät vain tuota oletusporttia. aika harvoin minulle ainakaan on porttiskannauksia tullut.
-
SSH serveri toimii mainiosti sisäverkossa. Mutta haluasin päästä siihen käsiksi myös ulkoapäin ja se ei nyt pelitä. Linukassa käytän Firestarteria josta portti 22 on auki. Lisäksi minulla on SCM7004VBR kytkin/dsl-reititin. Laitteesta olen disabloinut palomuurin ja avannut linukan ip:lle portin 22. Ulkoapäin en kuitenkaan saa yhteyttä ssh-serveriini. Osaisikohan joku auttaa minua tässä ongelmassa?
-
Vielä yksi kysymys ssh:sta. Saakohan jollain käskyllä mountattua ssh:hon ?
Pystyn kyllä kiertämään ko. ongelmaa, mutta olisi kätevämpää, jos ko. olisi mahdollista.
Edit - latasin paketin sshfs, mutten taidoillani onnistunut mounttaamaan sillä. :(
-
Vielä yksi kysymys ssh:sta. Saakohan jollain käskyllä mountattua ssh:hon ?
Pystyn kyllä kiertämään ko. ongelmaa, mutta olisi kätevämpää, jos ko. olisi mahdollista.
Edit - latasin paketin sshfs, mutten taidoillani onnistunut mounttaamaan sillä. :(
Asmo Koskinen on kirjoittanut aiheesta HOWTO:n tänne foorumille:
http://forum.ubuntu-fi.org/index.php?topic=3938.0
-
Terve,
Näkyykö KAIKKI ssh-palvelimelle kohdistetut koputtelut/murtoyritykset oletuksena /var/log/auth.log:ssa? XP:n puolella F-Secure ilmoittelee aina sillon tällön porttiin 22 kohdistetuista koputteluista, mutta Ubuntun lokissa ei näy yhtä ainutta. Niin ja käytössä on julkisen avaimen autentikointi.
- J
-
Näkyykö KAIKKI ssh-palvelimelle kohdistetut koputtelut/murtoyritykset oletuksena /var/log/auth.log:ssa?
oletuksena kaikki kirjautumisyritykset ssh:n yli kirjataan sinne.
XP:n puolella F-Secure ilmoittelee aina sillon tällön porttiin 22 kohdistetuista koputteluista, mutta Ubuntun lokissa ei näy yhtä ainutta. Niin ja käytössä on julkisen avaimen autentikointi.
ehkä konettasi ei ole vielä "löydetty". voithan kokeilla itse logata joltain ulkopuoliselta koneelta omalle koneellesi ilman avainta ja katso tuleeko logiin mitään.
-
Miten tuo käyttäjän tunnistus tapahtuisi pelkän salasanan suojaamana?
Saan yhteyden puttyllä,
voin syöttää käyttäjätunnuksen, mutta minkäänlaista salasanaa se ei hyväksy.
Muoks Putty yhdisti omaan ADSL purkkiini. Pääsin purkin tunnuksilla sisään.
-
Miten on onnistuuko tuon AllowUsers kohdan toteuttaminen niin että se hakisi ne sallitut userit tiedostosta?
Tätä kohtaa tarkoitan:
AllowUsers janne mikk0 ninnnu
-
Miten on onnistuuko tuon AllowUsers kohdan toteuttaminen niin että se hakisi ne sallitut userit tiedostosta?
minkälaisessa tapauksessa olisit ajatellut käyttäväsi tuota? tai siis miksi hyväksytyt käyttäjä pitäisi luetella erillisessä tiedostossa?
-
Siis tarkoitukseni on luoda skripti joka lisää käyttäjiä koneelle ja antaa tarvittaessa ssh:n kautta pääsyn.
Siksi ajattelin että olisi hyvä laittaa skripti luomaan käyttäjät erillisiin tiedostoon.
Mutta voiko tämän toteuttaa myös muulla tavalla? Muuten kuin käsin sorkkimalla aina tuota tiedostoa 8)
-
Siis tarkoitukseni on luoda skripti joka lisää käyttäjiä koneelle ja antaa tarvittaessa ssh:n kautta pääsyn.
Siksi ajattelin että olisi hyvä laittaa skripti luomaan käyttäjät erillisiin tiedostoon.
Mutta voiko tämän toteuttaa myös muulla tavalla? Muuten kuin käsin sorkkimalla aina tuota tiedostoa 8)
luo joku ryhmä ssh:n käyttämistä varten (vaikka sitten sshusers), lisää luodut käyttäjät tähän ryhmän ja käytä ssh-palvelimen konffissa määrettää AllowGroups johon sijoitat tuon luomasi ryhmän.
-
Lähdin taas tapani mukaan ajattelemaan liian monimutkasesti tätä asiaa :D
-
Vielä tähän liittyen: ilmainen xserver - softa windowsille jota kuulin asioista tietävän tahon mainostavan: Xming
http://freedesktop.org/wiki/Xming
r
-
SSH yhteydet toimii loistavasti avainten kans ja X-ohjelmiakin voi ajaa. Kiitos Jannelle hyvistä ohjeista.
Anopilla sattuu "joskus" :) olemaan hieman ongelmia Ubuntun kans. Ja puhelimessa on hiemen hankala selittää, että kirjoita osoiteriville, kun se kirjoittaa kuitenkin googlen hakuriville. Ja ihmettelee, kun ei täällä ole sellaista ??? mistä minä puhun. Tai jotain vastaavaa. :)
Onko SSH:lla mahdollista nähdä mitä etäkoneen työpöydällä tapahtuu? Niin kuin VNC:ssä.
-
Onko SSH:lla mahdollista nähdä mitä etäkoneen työpöydällä tapahtuu? Niin kuin VNC:ssä.
ei itsessään. ssh:n yli voi ajaa suoraan graafisia sovelluksia toiselta koneelta, mutta toisella koneella jo pyörivien sovellusten näyttäminen ei suoraan toimi. ssh:n kanssa voi kyllä käyttää myös vnc:tä. vnc-istunnon voi putkittaa turvallisesti internetin yli ssh-protokollan sisällä.
-
vnc-istunnon voi putkittaa turvallisesti internetin yli ssh-protokollan sisällä.
Nyt muistinkin, että olen lukenut siitä jostain.
Ehkäpä täältä
http://forum.ubuntu-fi.org/index.php?topic=2634.msg47762
-
Nyt sitten yritin Puttyllä ottaa yhteyttä toiseen koneeseen mutta logiin tupsahtaa tämä.
=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2006.11.27 21:18:31 =~=~=~=~=~=~=~=~=~=~=~=
Using username "xxx".
Unable to use key file "D:\xxxx\id_dsa" (OpenSSH SSH-2 private key)
No supported authentication methods left to try!
Samaisesta koneesta kyllä Ubuntulla pääsee. Mutta toi Windows ???
Mikähän asetus Puttyssä on perseellään?
-
Mikäs mulla on ongelmana kun lisään uuden käyttäjän ja yritän siihen putyssä mennä niin se antaa kyllä tunnuksen kirjoittaa mutta mitään salasanaa se ei hyväksy?
-
Mikäs mulla on ongelmana kun lisään uuden käyttäjän ja yritän siihen putyssä mennä niin se antaa kyllä tunnuksen kirjoittaa mutta mitään salasanaa se ei hyväksy?
Mulla oli ensimmäisellä kerralla sellanen vika, että yhdistäminen ssh:n kautta ei tapahtunutkaan koneelle, vaan ADSL-reitittimelle. Yritä reitittimen tunnuksilla sisään, jos pääsee, konfaa reitittimen asetukset kuntoon.
Toinen vaihtoehto, että olet estänyt tuon käyttäjän kirjautumisen konffitiedosotossa.
-
Mikäs mulla on ongelmana kun lisään uuden käyttäjän ja yritän siihen putyssä mennä niin se antaa kyllä tunnuksen kirjoittaa mutta mitään salasanaa se ei hyväksy?
Mulla oli ensimmäisellä kerralla sellanen vika, että yhdistäminen ssh:n kautta ei tapahtunutkaan koneelle, vaan ADSL-reitittimelle. Yritä reitittimen tunnuksilla sisään, jos pääsee, konfaa reitittimen asetukset kuntoon.
Toinen vaihtoehto, että olet estänyt tuon käyttäjän kirjautumisen konffitiedosotossa.
Mulla ei kyllä ole reititintä. Tuo on kait vaan ihan normaali jakaja että saa useamman koneen samaan nettiin.
-
Ja kyllä nuo muut tunnukset toimii jotka on lisätty ennen tuota uutta.
-
onko salasanassa skandeja? sillon vois joku merkistösekaannus? Ei ole varmasti iso vika, jos yhteys toimii kaikilla, paitsi yhdellä tunnuksella...
-
ei ole salasanassa skandeja
-
Kokeile toisella tunnuksella kirjautumista ja kirjoita:
su - (uusi_kayttajatunnus_jota_asken_kokielit)
Ja sitten sen salasana (ei omaa vaan sen uuden), jos se hyväksyy, niin vika on SSH:ssa. Onko sshd_configissa allow ja deny määritteitä? Jos on, niin minkälaiset ne on?
-
Edgy ei anna luoda 2048 bittistä avain. Dapperilla kyllä onnistuu.
xx@PC:~$ ssh-keygen -b 2048 -t dsa
DSA keys must be 1024 bits
-
mitä avaimet "/etc/ssh"-hakemistossa ovat. Pitääkö niiden pääle kirjoittaa uudet public ja private-avaimet?
"~/ssh."-hakemistoon "authorized_keys"-tiedotoon liitetään loppuun public-key.. laitetaanko samaan hakemistoon private-key, jos laitetaan niin minkä nimisenä..
miten yhteyden saa toimimaan windowsin "ssh secure shell client"-terminaalilla...?
Mulla on ubuntu edgy eft (6.10) versio ja siinä mukana tullut openSSH..
Mä oon kokeillu kaikke mahdollista.. ohjeiden mukaan ja puttyllä (puttygenillä tein vielä privaattiavaimen ym...) :(
Nämä ohjeet on myös kokeiltu huolellisesti....... silti ei vaa skulaa.... :-[
http://www.andremolnar.com/how_to_set_up_ssh_keys_with_putty_and_not_get_server_refused_our_key
Virheilmotuksia:
SSH Secure Shell client:
Server responded "No further authentication methods available..."
Putty:
Server refused our key
No supported authentication methods left to try!
Tos on mun sshd_config:
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 2222
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM no
Jos joku jaksais / osais auttaa, niin olisin (melkein) ikuisesti kiitollinen ... ;D
-
Autan sitten itseäni .... ;D
Näiden rivien kommentointi sshd_config-tiedostota
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ratkaisi onkkelman...
Nyt toimii puttyllä ja ssh secure shell clientillä..
EDIT: tämä on potaskaa, lue alaspäin!!
-
mitä avaimet "/etc/ssh"-hakemistossa ovat. Pitääkö niiden pääle kirjoittaa uudet public ja private-avaimet?
palvelimen avaimet. palvelin tarvitsee omat avaimet, jotta man-in-the middle tyyppisen hyökkäyksen tunnistaminen olisi mahdollista.
"~/ssh."-hakemistoon "authorized_keys"-tiedotoon liitetään loppuun public-key.. laitetaanko samaan hakemistoon private-key, jos laitetaan niin minkä nimisenä..
private key on ainoastaan sillä koneella josta logataan, eikä sitä tarvitse siirtää mihinkään. se määritellään sisään loggaavan sovelluksen käytettäväksi. linuxissa tuo tapahtuu oletusnimillä automaattisesti.
-
Nyt taisi onkelma selvitä mutta ei tullut vielä ratkaistuksi. Onkelma on, että palvelin eli minun koneeni hylkää avaimen, koska PuTTy sanoo näin:
login as: samuli
Server refused our key
No supported authentication methods left to try!
Mitä pitäisi tehdä?
Hei
Mikä ratkasu tähän. Heittää koko ajan saman, vaikka mitä muuttaisi!
-
Nyt taisi onkelma selvitä mutta ei tullut vielä ratkaistuksi. Onkelma on, että palvelin eli minun koneeni hylkää avaimen, koska PuTTy sanoo näin:
login as: samuli
Server refused our key
No supported authentication methods left to try!
Mitä pitäisi tehdä?
Hei
Mikä ratkasu tähän. Heittää koko ajan saman, vaikka mitä muuttaisi!
EDIT: ### Poistettu puoli-virheellistä tietoa tästä ###
tee palvelimelle ~/.ssh - hakemisto ja sille oikeudet 700
mkdir ~/.ssh
chmod 700 ~/.ssh
tee avaimet palvelimellasi sillä käyttäjällä mille haluat avaimet tehdä:
hyväksy avaimille ehdotetut oletussijainnit.
Kannattaa kirjoittaa joku salasana passphreseen. Jos avain joutuu vääriin käsiin, sitä ei voi käyttää ilman passphreseä.
ssh-keygen -t dsa
seuraavaksi kopioi julkinen avain authorized_keys nimiseksi tiedostoksi:
cp ~/.ssh/id_dsa.pub ~/.ssh/authorized_keys
tarkista että authorized_keys-tiedostossa on vain yksi rivi (yksi avain per rivi)
voit tuhota id_dsa.pub-tiedoston
kopioi id_dsa-tiedosto koneelle missä käytät puttyä.
lataa itsellesi ohjelma "puttygen.exe" (googlesta löytyy)
käynnistä puttygen.exe
paina LOAD nappia ja valitse id_dsa tiedosto. (jos laitoit passphresen avainten luonnin yhteydessä, puttgen kysyy sen)
paina save private key nappia ja anna avaimelle joku nimi (esim. avain.ppk)
mene puttyn asetuksiin: connection -> ssh -> auth ja private key file for authencation kohtaan laitat tiedoston, minkä teit äsken (avain.ppk)
sitten kirjaudut palvelimelle..... (ja eiku koodia vääntämää) ;D
-
Kiitos avusta!
En kuitenkaan tuota risuaitaa(kommenttia) tonne eteen (jotain rsa_host_key jne.) laittanut, koska jannen mukaan serveri tarvitsee sitä.
Keskityin kuitenkin siihen, että miksi avaimet ei täsmää.
Tosi vähän olen ollut noitten avainten kanssa tekemisissä.
Siksi en ymmärtänyt mitä avaimessa piti oikein olla.
siis
commentin (joka oli kopioidussa tiedostossa) korvasin ssh-dss :llä tämän jälkeen avain yhdellä rivillä ja sen jälkeen laitoin loppuun vielä dsa-key- "numerosarja".
ja wot lähdöi peljittää ;D ::)
tietenkin helppoiten avaimen kopiointi onnistuu puttyn keygenin avulla.
siellä jopa taitaa englanniksi lukea jos nyt oikein muistan, että kopioi tämä openssh:n avaimen tiedostoon.
olin kuitenkin alussa avaimen ensin tallentanut public-avaimeksi ja sitten sieltä kopioinut avaimen.
silloin avain muistaakseni sisälsi tuon comment: kohdan. ja lopusta puuttu tuo numerosarja.
Kiitos kuitenkin neuvosta!
Joskus se on pienestä kiinni!
:)
-
Näiden rivien kommentointi sshd_config-tiedostota
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ratkaisi onkkelman...
toi onkin täyttä potaskaa...
ei niitä tarvitse kommentoida. otin juuri #-merkit pois, ja homma pelittää vieläkin..
vika johtui siitä että avaimet eivät olleet samaa formaattia..
DSA-avaimia on (ainakin) ssh.com- , openSSH-formaattia...
sain muutettua ne samaan formaattiin puttygenillä conversions-valikosta...
ssh-keygen -t dsa-käsky teki minulla puttygenin ssh.com-formaattia vastaavan avaimen.
tein avaimet serverillä ja muutin privaattiavaimen asiakaskoneella puttygenillä ssh.com-muotoon ja painoin save private key-nappia..
en ole varma onko formaatti oikea sana kuvaaaan dsa-avainten eroja. mutta niitä on vähän erinäkösiä muunnoksia. en oo perehtynyt aiheeseen paremmin..
P.S. authorized_keys-tiedostoon ei tarvi lisätä niitä kommenttirivejä.... kannattaa varmistaa että tekstieditori ei lisää sinne automaattisesti rivinvaihtoa....
-
Asennus ei pääty niin kuin pitäisi:
Unpacking openssh-server (from .../openssh-server_1%3a4.3p2-5ubuntu1_i386.deb) ...
Säädän asetukset: openssh-server (4.3p2-5ubuntu1) ...
Creating SSH2 RSA key; this may take some time ...
* Restarting OpenBSD Secure Shell server...
Could not load host key: /etc/ssh/ssh_host_dsa_key
Could not load host key: /etc/ssh/ssh_host_dsa_key
Avaimethan meillä kyllä on:
jyrki@Iglu-server:/etc/ssh$ ls -l
yhteensä 164
-rw-r--rw- 1 root root 132839 2006-10-05 12:43 moduli
-rw-r--rw- 1 root root 1423 2006-10-05 12:43 ssh_config
-rw-r--rw- 1 root root 1870 2007-02-16 12:58 sshd_config
-rw-r--rw- 1 root root 1870 2007-02-16 01:33 sshd_config~
-rw------- 1 root root 744 2007-02-16 13:29 ssh_host_dsa_key
-rw-r--r-- 1 root root 606 2007-02-16 13:29 ssh_host_dsa_key.pub
-rw------- 1 root root 1679 2007-02-16 13:35 ssh_host_rsa_key
-rw-r--r-- 1 root root 398 2007-02-16 13:35 ssh_host_rsa_key.pub
Palvelin toimii, mutta avaimia ei saa käyttöön.
Joltakin kysyttiin että onko ssh-kansion oikeudet oikein, mitkähän ne pitäisi olla? En ole kyllä koskenut.
EDIT: Pari uudelleen asennusta ja kansioiden poisto ja uudelleen luonti niin homma lähti toimimaan. Ratkaisu: tuntematon.
-
vähän asiasta poiketen.
Eli toimii muuten hyvin mutta ku loin uuden userin, niin en voi kuitenkaan sillä enää kopioida enkä tallentaa tiedostoja servulle nautiluksella.
Tiedoston "ssh://käyttäjä@ip/opt/lampp/htdocs/filu.php" tallentaminen epäonnistui.
Oikeutesi eivät riitä tiedoston kirjoittamiseen. Tarkista että annoit sijainnin oikein ja yritä uudelleen.
Ennenhän tää onnistu ju käytin roottia.
-
vähän asiasta poiketen.
Eli toimii muuten hyvin mutta ku loin uuden userin, niin en voi kuitenkaan sillä enää kopioida enkä tallentaa tiedostoja servulle nautiluksella.
Tiedoston "ssh://käyttäjä@ip/opt/lampp/htdocs/filu.php" tallentaminen epäonnistui.
Oikeutesi eivät riitä tiedoston kirjoittamiseen. Tarkista että annoit sijainnin oikein ja yritä uudelleen.
Ennenhän tää onnistu ju käytin roottia.
Tavallisen juuserin ei kuulukaan saada tallentaa /opt hakemistoon. Kopioi ne tiedostot vaikka juuserin kotihakemistoon ja siirrä päätteellä sudon avulla sinne mihin haluat.
-
Minulla on ongelmia tuon X11 Forwardingin kanssa.
Eli, olen siis asentanut ssh -palvelimen tässä threadissä olleen ohjeen mukaan ja olen onnistuneesti ottanut käyttöön avaimilla tunnistautumisen. Pohjalla on 6.10 serveri asennus (LAMP). Koneessa, jolla otan ssh -yhteyden, on WinXP, Putty ja Reflection. Puttyssa olen ruksannut enable X11 forwarding -kohtan ja kokeillut X display locationia osoittella 127.0.0.1 ja ilman (tällä ei kyllä käsittääkseni ole merkitystä, sillä Puttyn pitäisi käyttää oletuksena 127.0.0.1).
X-ikkunoiden avaus muista koneista ssh -yhteyden yli pelaa kyllä kyseisellä kokoonpanolla. Mutta kun otan yhteyden tähän kotipalvelimeeni ja yritän avata nedit -editoria, niin saan herjan "Can't open display". Tämänkin nyt on kyllä aika luonnollista, sillä DISPLAY -ympäristömuuttujaa ei ole asetettuna automaattisesti (muihin koneisiin yhteyden ottaessani DISPLAY -muuttuja on asetettuna automaattisesti, missä ero?). Mutta asiaan ei auta, vaikka käsin ajaisin komennon "export DISPLAY=localhost:0.0". Niin käsittääkseni se X11 forwarding pitäisi toimia juuri näin ja saan kyllä kotona x-ikkunat aukeamaan, mikäli määrittelen DISPLAY -muuttujaan "pääkoneeni" IP-osoitteen, mutta tällöinhän ikkuna ei tule ssh -tunnellia pitkin(?), eikä toimi esim. kun olen toimistolla palomuurin (itseasiassa useammankin) takana.
Olen myös epäillyt, että mahdollisesti iptables -asetukseni estävät x-ikkunoiden avautumisen, mutta en ole onnistunut vikaa sieltä löytämään. Olen sallinut kaiken sisään ja ulos menevän liikenteen loopback -interfacelle (127.0.0.1).
Alkaa pikkuhiljaa tuskastuttamaan, sillä olen lukenut foorumeita ja websivuja jo useamman tunnin ajan, eikä hieman linuxin kanssa kokeneempi työkaverinikaan osannut auttaa... Toivottavasti täältä löytyy apu.
Tässä vielä muutamia tähän asiaan liittyviä konfiguraatioita.
/etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
#PermitRootLogin yes
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
AllowUsers tunnukseni
sudo iptables --list
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp option=!2 reject-with tcp-reset
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:www
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP icmp -- anywhere anywhere
Huomaa, että iptables tulosteessa INPUT:n "ACCEPT all -- anywhere anywhere" ja OUTPUT:n "ACCEPT all -- anywhere anywhere" tulevat loopback -interfacesta, eli komennoista:
/sbin/iptables -A INPUT -i lo -p all -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -p all -j ACCEPT
-
Itse itselleni vastaten :) xauth -paketti oli asentamati ja nyt pelaa...
-
Elikkäs tässä just asentelin tämän ssh-palvelimen, ja sain toimimaan muuten. Yhdisti kaikkialta myös kaverin windowsista putylla. Mutta ongelma on se, että miks ihmeessä se menee servun työpöydälle kun käynnistää putyllä ssh yhteyden ja kattoo "dir" komennolla mitä se sanoo. Tarvisin pikaista apua tässä asiassa.
Joo elikkäs nyt sain toimimaan :)
-
Väsäilin sftp palvelimen pystyyn ja jätän kumminkin nuo vaativammat
salaushässäkät tekemättä, ja varmistan turvallisuuttta sillä että luon
palomuuriin reitin vain yhdestä ipstä käyttää palvelinta.
Onko mitenkään mahdollista että kun tietyllä tunnuksella loggaa sisään
ni näkee vain oman kotihakemiston ja sen alapuolella olevat systeemit,
muttei kumminkaan pysty edes brousaamaan hakemistorakennetta ylöspäin??
Nythän tilanne ilmeisesti oletuksena on se että ylöspäin pystyy selaileen, vaikkei
mitään oikeuksia ole kumminkaa touhuta ylhäälläpäin.
-
Käyttäjän voi lukita kotihakemistoon ainakin seuraavalla tavalla
http://forum.ubuntu-fi.org/index.php?topic=484.0
-
Toivottavasti joku lukee vielä tätäkin :P
Eli 1. sivun jannen ohjeen mukaan konfattu, rootlogin juttu laitettu pois ja salausavaimiin päästy. Hieman yleisesti ensin että
a) pubkey ja private key..."mitä nämä ovat"...eli ensikäsitykseksi muodostui itselleni se että privat olis niin kuin kotiavain :P ?
b) koitin laittaa nämä avaimet käyttöön mutta aina kun työkoneelta puttyn kanssa yhdistän omaan ip osoitteeseeni niin se menee suoraan login kohtaan johon se hyväksyy konffeissa merkatut käyttäjänimet+niiden salasanat.
Eli b) kohdassa se tavallaan ohittaa nuo avaimet, tai ainakaan ei kysy niitä missään vaiheessa. Joten miten saisin nämä avaimet käyttöön. Vai mikä onkaan tämän hetken turvallisin suojaus ? Tuskin pelkkä käyttäjätunnus+salasana?
-
Eli 1. sivun jannen ohjeen mukaan konfattu, rootlogin juttu laitettu pois ja salausavaimiin päästy.
ok.
Hieman yleisesti ensin että
a) pubkey ja private key..."mitä nämä ovat"...eli ensikäsitykseksi muodostui itselleni se että privat olis niin kuin kotiavain :P ?
julkinen ja yksityinen avain ovat molemmat kytköksissä toisiinsa, ne muodostavat avainparin jonka avulla kirjautuminen on mahdollista. julkinen avain on julkinen siitä syystä, että sitä voi periaatteessa jakaa missä tahansa ja kenelle tahansa. se mahdollistaa kirjautumisen yksityisen avaimen (ja mahdollisesti lisäksi salasanan) avulla, mutta sen perusteella ei pysty päättelemään mitään yksityisestä avaimesta ja/tai salasanasta.
yksityinen avain puolestaan sisältää 'loput' tarvittavasta tiedosta, jonka perusteella autentikointi tai autentikointiin vaadittava salasana on mahdollista todeta validiksi. molempien avainten haltijan on myös mahdollista ajan kanssa murtaa yksityiseen avaimeen mahdollisesti liitetty salasana. siksipä yksityinen avain pitää aina pitää salassa, eikä sitä saa siirtää esim. netin yli salaamattomalla yhteydellä. julkisen avaimen voi huoletta lähettää sähköpostilla, IM-sovelluksella tai vaikka laittaa nettisivulle saataville.
b) koitin laittaa nämä avaimet käyttöön mutta aina kun työkoneelta puttyn kanssa yhdistän omaan ip osoitteeseeni niin se menee suoraan login kohtaan johon se hyväksyy konffeissa merkatut käyttäjänimet+niiden salasanat.
onhan myös tämä tehtynä:
http://forum.ubuntu-fi.org/index.php?topic=503.msg2769#msg2769 (http://forum.ubuntu-fi.org/index.php?topic=503.msg2769#msg2769)
periaatteessa se kannattaisi ehkä lisätä siihen ensimmäiseen viestiin, jotta asia ei jäisi epäselväksi.
Eli b) kohdassa se tavallaan ohittaa nuo avaimet, tai ainakaan ei kysy niitä missään vaiheessa. Joten miten saisin nämä avaimet käyttöön. Vai mikä onkaan tämän hetken turvallisin suojaus ? Tuskin pelkkä käyttäjätunnus+salasana?
kyllä tuo public key authentication on turvallisin, mutta sen toimimiseksi pitää tosiaan ottaa pois käytöstä kaikki käyttäjätunnus+salasana -loggautumisen mahdollistavat metodit, myös tuo PAM.
[edit]
nyt kun jaksoin kurkata, niin näyttää, että opas on siirretty ilman tuota PAM-kohtaa myös tänne (http://www.ubuntu-fi.org/Wiki/ssh-palvelin). se pitäisi varmaan jossain välissä korjata... kenellähän mahtaa olla oikeudet muuttaa sitä?
-
[edit]
nyt kun jaksoin kurkata, niin näyttää, että opas on siirretty ilman tuota PAM-kohtaa myös tänne (http://www.ubuntu-fi.org/Wiki/ssh-palvelin). se pitäisi varmaan jossain välissä korjata... kenellähän mahtaa olla oikeudet muuttaa sitä?
Olen ymmärtänyt, että kaikilla on oikeus muokkailla wikiä.
-
noni oma moka taas. En huomannut ottaa "#PasswordAuthentication yes" kohdasta ollenkaan risuaitaa pois vaan laitoin suoraan arvoksi "no"
Ja nyt kun koitti windowsista käsin puttyllä yhdistellä niin tuli joku authentication method tms error, en muista tarkkaa tekstiä. Elikkä jos nyt tajusin oikein niin mun pitää puttygenillä tehdä avain, toimittaa julkinen avain oman linux koneen authorized_keys tiedostoon ?
Vai olenko aivan hakoteillä?
-
Terve, minullakin on ongelma tämän kanssa.
Eli, tein ssh-keygenillä 1024bit DSA avaimet ja laitoin authorized_keys2 tiedotstoon tuon publicin. Nyt kun yritän ottaa Puttyllä yhteyttä se sanoo:
Unable to use key file "C:\Program Files\Putty\id_dsa" (OpenSSH SSH-2 private key)
login as: <tähän laitoin usernamen minkä asetin AllowedUsers kohtaan>
Ja virheikkuna sanoi: Putty fatal error:
Disconnected: No supported authentication methods available.
Mitä tässä pitäisi yrittää? Use PAM on no.
-
Eli, tein ssh-keygenillä 1024bit DSA avaimet ja laitoin authorized_keys2 tiedotstoon tuon publicin. Nyt kun yritän ottaa Puttyllä yhteyttä se sanoo:
Unable to use key file "C:\Program Files\Putty\id_dsa" (OpenSSH SSH-2 private key)
login as: <tähän laitoin usernamen minkä asetin AllowedUsers kohtaan>
Puttylle (windowsille) pitää tehdä oma avain puttygen -nimisellä ohjelmalla. Tee sillä avain ja toimita public key palvelimelle.
-
Tuleekos tuonne authorized_keys tiedostoon laittaa vaan seuraavalle riville seuraava public key , jos avaimia on enemmän kuin yksi?
-
Tuleekos tuonne authorized_keys tiedostoon laittaa vaan seuraavalle riville seuraava public key , jos avaimia on enemmän kuin yksi?
Näin on.
Varmista, että yksi avain tulee tosiaan yhdelle riville.
-
hip hei hienosti toimii! ;D
Tämmöisen http://s2putty.sourceforge.net/ (http://s2putty.sourceforge.net/) kun asensin vielä nokian N80 luuriin niin pääsee säätää kännyllä missä vaan konetta. 8)
-
Päivittelin aika melkoisesti opasta ja lisäsin sinne ohjeita keychainin ja -X vivun käyttöön.
http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin
-
Itselläni on myöskin ongelma tuon putty:n kanssa. Pelkällä salasanalla saan kyllä yhteyden ssh-palvelimeen mutta kun yritän saada tunnistautumisen toimimaan noilla avaimilla tulee herja putty:ssä : "No supported authentication methods available".
Olen yrittänyt tehdä avaimet puttygen:llä, olen poistanut ne kaksi riviä, ei toimi, olen yrittänyt ssh-yhteyden kautta windowsista copy-pastella siirtää avaimen authorized_keys tiedostoon, ei toimi, olen yrittänyt tehdä avaimet ubuntussa, ja siirtää sieltä private-avaimen xp:lle jossa putty kyllä tunnistaa sen oikein ja muokkaa siitä haluamansa tiedoston (privatekey:n) mutta aina sama herja tulee silti. Olen yrittänyt putty:n asetuksista eri vaihtoehtoja mm. "Keyboard-Interactive mode" on/off ym, sama herja. Vinkkejä? Kennelläkään?
käyttäjä/.ssh/ hakemistossa tulee olla siis vain tuo authorized_keys-tiedosto? Miten voin poistaa kaikki asetustiedostot, kun apt-get remove openssh jättää noita filuja mm /etc/ssh hakemistoon?
Alla uusin Ubuntu 8.04.
-
käyttäjä/.ssh/ hakemistossa tulee olla siis vain tuo authorized_keys-tiedosto? Miten voin poistaa kaikki asetustiedostot, kun apt-get remove openssh jättää noita filuja mm /etc/ssh hakemistoon?
Alla uusin Ubuntu 8.04.
Ja siellä authorized_keys tiedostossa pitää olla se luotetun yhteydenottajan avain.
Onko ohjeen kirjoittaja samaa mieltä että, wikissä olevan ohjeen, kohta
Yksityisen ja julkisen avaimen käyttöönotto
Pitäisi siirtää ensimmäiseksi?
Monella voi mennä sormi suuhun...
Eli serverin asennus, salausavainten laittaminen, tietorurvan päälle laittaminen.
Edit: en saa edes omasta viestistä selvää.
Traumatisoiduin kun kävelin äsken kotiin, pikkupikkupupu hyökkäsi kimppuun :)
-
Kuinkas siinä tapauksessa jos kone johon otetaan yhteyttä on dual boottina 2 linuxia.
Minulla on asettuna kannettava jossa ubuntu ja debian. Ubuntuun saan yhteyden pöytäkoneen molemmista linuxeista, ja ubuntulla pöytä koneen molempiin linuxeihin. käytössä rsa avain parit. Debianiin ei saa koska tulee ilmoitus:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
67:16:ec:3c:d5:15:d4:84:c2:50:f2:74:.........
ei tunnu auttavan google eikä haut forumeilla. olenko sit puusilmä taas kerran, se voi olla.
olen pariin otteeseen uusinu avaimet ja muut tiedostot mutta aina sama tulee vastaan.
-
Kuinkas siinä tapauksessa jos kone johon otetaan yhteyttä on dual boottina 2 linuxia.
Minulla on asettuna kannettava jossa ubuntu ja debian. Ubuntuun saan yhteyden pöytäkoneen molemmista linuxeista, ja ubuntulla pöytä koneen molempiin linuxeihin. käytössä rsa avain parit. Debianiin ei saa koska tulee ilmoitus:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
67:16:ec:3c:d5:15:d4:84:c2:50:f2:74:.........
ei tunnu auttavan google eikä haut forumeilla. olenko sit puusilmä taas kerran, se voi olla.
olen pariin otteeseen uusinu avaimet ja muut tiedostot mutta aina sama tulee vastaan.
Uudelleen nimeä, siirrä tai poista ~/.ssh/know_hosts tiedosto
-
Joo kiitokset, kumma ettei tullut mieleen.
Ainoa vaan että tuon authorized_keys tiedoston uudelleen nimeäminen esti yhteyden saamisen ubuntuun, mutta debianiin saatin yhteys. Siinä samalla Debianiin uus fingerprint, Jonka lisääminen alkuperäiseen authorized_keys tiedostoon ratkaisi ongelman.
Nyt toimii molempien koneiden molemmista linuxeista yhteydet molempiin suuntiin rsa avaimen kanssa.
Joskus se ratkaisu vaan piilee säätämisen saloissa :)
-
Wikissä on juttua, että
" Graafisia ohjelmia pystyy käyttämään suoraan ssh:n läpi kunhan yhteys otetaan -X vivun kanssa. Ennen kuin tätä voidaan käyttää täytyy se aktivoida ssh-palvelimen asetuksista.
....
Nyt graafisten ohjelmien etäkäyttö pitäisi onnistua."
Niin kai pitäisi, mutta ssh-clientillä tarttis olla kirjoitusoikeus kotikoneen .Xauthority tiedostoon. Onkohan jollain tarjolla virallinen tietoturvallinen ratkaisu, ties vaikka joku tarttis tämän ongelman ratkaisua?
-
Wikissä on juttua, että
" Graafisia ohjelmia pystyy käyttämään suoraan ssh:n läpi kunhan yhteys otetaan -X vivun kanssa. Ennen kuin tätä voidaan käyttää täytyy se aktivoida ssh-palvelimen asetuksista.
....
Nyt graafisten ohjelmien etäkäyttö pitäisi onnistua."
Niin kai pitäisi, mutta ssh-clientillä tarttis olla kirjoitusoikeus kotikoneen .Xauthority tiedostoon. Onkohan jollain tarjolla virallinen tietoturvallinen ratkaisu, ties vaikka joku tarttis tämän ongelman ratkaisua?
Jos nyt oikein ymmärrän, niin tuo .Xauthority sijaitsee palvelimella käyttäjän kotihakemistossa. Olettaisin, että jos se on käyttäjän kotihakemistossa, käyttäjällä pitäisi olla oikeudet siihen. Ja jos tänä käyttäjänä otat ulkoa SSH-yhteyden, sinulla on silloin oikeus tiedostoon. Tuon tiedoston oikeudet voisi varmaankin sotkea käyttämällä sudoa graafisten ohjelmien yhteydessä. Tarkistapa, onko tuo tiedosto kyseisen käyttäjän omistuksessa.