Etäkäytöstä kysymyksiä (SSH ja käyttäjät, OpenVPN)

[Tha-Fox]

Pari vuotta oon vaihtelevalla mielenkiinnolla lueskellu noita etäkäyttöohjeita läpi ja nyt alkais viimeinkin olla todellinen tarve sen toteuttamiseen. Ensi kuussa alan tätä "mittavaa projektia" toteuttamaan, mutta ajattelin jo nyt kysyä neuvoa, jotta voin valmistautua ja itse toteutus menisi suht nopeasti.

Aiemmin käytössä on ollut Hamachi, mutta se katkeili satunnaisesti ja olen ajatellut nyt käyttää ssh:ta yhteyden muodostamiseen. Verkko on seuraavanlainen:

Acer-läppäri Ubuntulla, joka on aina kotosalla. Tähän pitäisi saada yhteys. Koneeseen on asennettu ssh-serveri.

WinXP-kone, jolla yhteyttä otetaan. Täältä päästä palomuuri ei ole ongelma. Voin asentaa tähän koneeseen ohjelmia, mutta lopullisena tavoitteena olisi USB-tikku, jolla olisi kaikille alustoille (Win ja Linux, eli melkein kaikki ) sopivat työkalut yhteyden ottamiseen. Varmaankin pelkkä Putty riittäisi, kun kerran Linuxeissa ssh:n voi ottaa komentoriviltä?

Toinen Ubuntu-läppäri (jota vasta odotellaan) yhteyden ottamiseen. Tähän ei tarvinne mitään asennella?

Kotona reitittimestä on avattu portille 22 tcp- ja udp-liikenne. Reitittimessä on siis NAT päällä.

Ongelmia/kysymyksiä:

1)  Tällä hetkellä Acer-koneessa, johon yhteys otetaan, on vain yksi käyttäjä (vaikkapa "user" omaperäisesti). Kone on kuitenkin myös aktiivisessa kotikäytössä samalla kun siihen pitäisi ottaa etäyhteys. Jos otan graafisen etäyhteyden käyttäjällä "user" ja samalla joku on paikallisesti kirjautuneena käyttäjänä "user", tuleeko tästä ongelmaa? Vai olisiko vain helpointa luoda uusi käyttäjätili pelkästään etäyhteyksiä varten?

2) Jos ssh-serverin konfiguroinnissa laitan sallituksi käyttäjäksi vaikkapa käyttäjän "timo", pitääkö tällainen tili olla luotuna myös koneella? Eli ovatko ssh-serverin ja koneen käyttäjätilit yksi yhteen?

3) Tiedostoja pitäisi myös pystyä liikuttelemaan koneiden välillä. Pitäisikö Aceriin asentaa jotain tuon serverin lisäksi? Ja tarvitseeko USB-tikulle / yhteyden ottavalle koneelle laittaa jotain muutakin kuin Putty?

Kunhan saan homman jollain tasolla toimimaan, ajattelin siirtää portin pois tuosta oletuksesta. Tällöin kai pitää myöskin reitittimestä avata vastaava portti? Ja käyttäjätunnistuksen ajattelin vaihtaa avainpariin ja estää salasanalla kirjautumisen, mutta ne ovat sitten myöhemmän sorvaamisen kohteita.

[Tomin]

1)  Tällä hetkellä Acer-koneessa, johon yhteys otetaan, on vain yksi käyttäjä (vaikkapa "user" omaperäisesti). Kone on kuitenkin myös aktiivisessa kotikäytössä samalla kun siihen pitäisi ottaa etäyhteys. Jos otan graafisen etäyhteyden käyttäjällä "user" ja samalla joku on paikallisesti kirjautuneena käyttäjänä "user", tuleeko tästä ongelmaa? Vai olisiko vain helpointa luoda uusi käyttäjätili pelkästään etäyhteyksiä varten?

Ei minulla ainakaan. Paitsi linksiä ei ilmeisesti kannata rueta yrittämään käyttää graafisesti (oli kuka tahansa kirjautuneena).

2) Jos ssh-serverin konfiguroinnissa laitan sallituksi käyttäjäksi vaikkapa käyttäjän "timo", pitääkö tällainen tili olla luotuna myös koneella? Eli ovatko ssh-serverin ja koneen käyttäjätilit yksi yhteen?

Minulla ainakin (siis sen wikin ohjeen mukaan tehtynä) niiden määriteltyjen sallittujen käyttäjien pitää olla niitä jotka ovat sillä palvelimella (siis johon otetaan yhteys) eivätkä sillä toisella (siis josta otetaan yhteys). Tai sitten tein jotain väärin...

Etäyhteys (ssh) syntyi (ainakin minusta) aika helposti kun sitä kokeilin ekan kerran.

[Ville Pöntinen]

3) Tiedostoja pitäisi myös pystyä liikuttelemaan koneiden välillä. Pitäisikö Aceriin asentaa jotain tuon serverin lisäksi? Ja tarvitseeko USB-tikulle / yhteyden ottavalle koneelle laittaa jotain muutakin kuin Putty?

Puttyn lataussivulta löytyy saman firman psftp. Se siis luo ftp-yhteyden käyttäen ssh-salausta. Ja vastaavia ohjelmia on muitakin.

[Tha-Fox]

Ainakin yhteys nyt toimii ja komentorivi aukeaa. Piti sattuneesta syystä testata niin, että otin Acerista yhteyden kaverin koneeseen ja siitä edelleen ssh-yhteyden takaisin Aceriin. Otin yhteyden kaverin koneesta Aceriin X-vivulla, mutta siitä huolimatta kirjoittaessani "firefox" sain ilmoituksen:

Koodia: [Valitse]

Error: no display specified
Mitäs nyt?

[_Pete_]

Mitäs nyt?

Mitä tarkalleen ottaen yrität saavuttaa, mahdollisimman simppelisti ?

[Tha-Fox]

Kertaakaanhan en ole tuota ennen käyttänyt, mutta kuvittelin, että komentamalla "firefox" aukeaisi graafisesti firefox-ikkuna. Käsitinkö jotain väärin?

[_Pete_]

Kertaakaanhan en ole tuota ennen käyttänyt, mutta kuvittelin, että komentamalla "firefox" aukeaisi graafisesti firefox-ikkuna. Käsitinkö jotain väärin?

Et. Mutta sieltä mistä ssh yhteys muodostetaan -X vivulla pitää olla käynnissä X-serveri, johonka siis firefox
ikkuna aukeaa ssh-putken läpi. Lisäksi ssh-pavelimessa, mihin etäyhteys otetaan -X vivulla pitää olla sallittu
X11-forward ominaisuus. Kunhan nuo on kunnossa, ssh -X joku@jossain  ja sen jälkeen käynnistämällä jokin
graafinen ohjelma, pitäisi sen ikkunan avautua paikalliseen X:ään ... Jos on hidas yhteys, tuo avautuminen voi
raskailla ohjelmilla kuten firefox kestää tosi kauan, nimen omaan niin päin, että etäkoneessa pitäisi olla mahdollisimman
iso uppikaista jotta ohjelmat toimisivat nopeasti. 1M uppikaista ei ole vielä tarpeaksi nopea.

[Tha-Fox]

Ok, selvensi kummasti. Kotikone, johon koulusta on tarkoitus yhteyttä ottaa, on juurikin 1 megan letkun päässä, eli graafisuudet voi unohtaa. Tällä ei tosin niinkään väliä. Toisin perin on myös tarkoitus käyttää, eli kotoa kouluun päin. Tämä testaus tapahtui juurikin koululla Ubuntu-koneiden välillä. Eli X luulisi molemmilta koneilta löytyvän.

X11Forwarding on päällä. Joku nyt vielä tökkii, vaan mikä

[Ville Pöntinen]

Millainenkos virhe tulee kun komennat firefox? Onko tiedostossa /etc/ssh/sshd_config rivi X11Forwarding yes? Siis "palvelimen" puolella.

[Tha-Fox]

X11Forwarding on päällä. Joku nyt vielä tökkii, vaan mikä

Otin yhteyden kaverin koneesta Aceriin X-vivulla, mutta siitä huolimatta kirjoittaessani "firefox" sain ilmoituksen:

Koodia: [Valitse]

Error: no display specified

[anttimr]

Ainakin yhteys nyt toimii ja komentorivi aukeaa. Piti sattuneesta syystä testata niin, että otin Acerista yhteyden kaverin koneeseen ja siitä edelleen ssh-yhteyden takaisin Aceriin. Otin yhteyden kaverin koneesta Aceriin X-vivulla, mutta siitä huolimatta kirjoittaessani "firefox" sain ilmoituksen:
Koodia:
Error: no display specified

Mitäs nyt?

SInun pitää olla paikallisesti kirjautuneena X-istuntoon sillä koneella, josta kokeilet ssh -X yhteyttä Aceriin.
Epäilisin, kuten muut edellä, että 512 Kbs nettiyhteyden takaa X on epäkäytännöllisen hidasta. VNC voisi olla siedettävä vaihtoehto taikka NX-tekniikka, jos voit asentaa sille asiakasohjelman. 

[Tha-Fox]

Jeps, nyt selkeni ongelma. Koululla testatessani otin ensin yhteyden desktop-Ubuntusta koneeseen, jossa oli vain server-Ubuntu. Siitä sitten otin takaisin yhteyden desktoppiin. Pitää nyt kotiyhteyttä vielä testata, kunhan saan fsck:n rullaamaan läpi kotikoneella. Siinä on megan uppi, joten saa nähdä, onnistuuko.

[Tha-Fox]

Eli nyt on saatu etäyhteydet suht hyvin toimimaan. Nyt pitäisi sekä huvin että hyödyn takia saada VPN toimimaan. Asensin openvpn:n riippuvuuksineen. Tämän jälkeen yritin seurata tätä, tätä ja tätä ohjetta sekä sitä virallista ohjeistusta. En päässyt kertaakaan avaimien luontiin saakka, vaan virheet tulivat näissä komennoissa:

Koodia: [Valitse]

. ./vars
./clean-all
./build-ca
Ensin menen siis kansioon

Koodia: [Valitse]

/etc/openvpn/examples/easy-rsa ja sieltä löytyy kansiot 1.0 ja 2.0. Tätä ei yksikään howto mainitse, mutta rohkeasti olen mennyt 2.0-kansioon ihan omin luvin. Sen jälkeen olen muokannut nanolla tuota vars-tiedostoa, eli käytännössä muokannut niitä viittä alinta arvoa.

Seuraavaksi annan tuon ylimmän komennon, jolloin se sanoo clean-allilla pyyhkivänsä vanhat avaimet menemään. Olen tähän kokeillut sekä laittaa tuon, että jättää laittamatta. Molempia on suositeltu. Kummallakaan en ole tähän mennessä päässyt toimivaan lopputulokseen. Jos annan tuon seuraavan komennon, se ilmoittaa, ettei oikeuksia. Sudolla saan seuraavan vastauksen:

"Please source the vars script first (i.e. "source ./vars")
Make sure you have edited it to reflect your configuration."

Ajamalla tuon ehdotetun käskyn saan taas tuon pyyhkimisilmoituksen. Jätän taas tuon .clean-allin ajamatta ja siirryn viimeiseen komentoon. Se vastaa tällaisella:

"Please edit the vars script to reflect your configuration,
  then source it with "source ./vars".
  Next, to start with a fresh PKI configuration and to delete any
  previous certificates and keys, run "./clean-all".
  Finally, you can run this tool (pkitool) to build certificates/keys."

Mielestäni olen kaikki nuo ehdotetut toimenpiteet tehnyt, mutta ei avainta heru  Jossain siis ilmeisesti mättää. Minulla ei siis ole minkäänlaista conf-tiedostoa tuolle serverille. Pitäisikö sellainen ensin luoda?

[Walde]

Koodia: [Valitse]

. ./vars
./clean-all
./build-ca

"Please edit the vars script to reflect your configuration,
  then source it with "source ./vars".
  Next, to start with a fresh PKI configuration and to delete any
  previous certificates and keys, run "./clean-all".
  Finally, you can run this tool (pkitool) to build certificates/keys."

Mielestäni olen kaikki nuo ehdotetut toimenpiteet tehnyt, mutta ei avainta heru  Jossain siis ilmeisesti mättää. Minulla ei siis ole minkäänlaista conf-tiedostoa tuolle serverille. Pitäisikö sellainen ensin luoda?

Jep, eli tuossa HOWTO:ssa on heikkoutensa. Kopsaa 2.0 kansiosta suoraan sisältö /etc/openvpn/easy-rsa kansioon. Unohda se 1.0.kansio. Vars tiedostosta ei tosiaan tarvitse muuttaa kuin alhaalta viimeisiä viittä riviä.

Ainut keino jolla itse pääsin eteenpäin oli eteneminen rootti bash:lla eli sudo -i.

-Walde