SSH ja SFTP-palvelin [wiki]

[Ilokaasu]

Toivottavasti joku lukee vielä tätäkin

Eli 1. sivun jannen ohjeen mukaan konfattu, rootlogin juttu laitettu pois ja salausavaimiin päästy. Hieman yleisesti ensin että
a) pubkey ja private key..."mitä nämä ovat"...eli ensikäsitykseksi muodostui itselleni se että privat olis niin kuin kotiavain ?

b) koitin laittaa nämä avaimet käyttöön mutta aina kun työkoneelta puttyn kanssa yhdistän omaan ip osoitteeseeni niin se menee suoraan login kohtaan johon se hyväksyy konffeissa merkatut käyttäjänimet+niiden salasanat.

Eli b) kohdassa se tavallaan ohittaa nuo avaimet, tai ainakaan ei kysy niitä missään vaiheessa. Joten miten saisin nämä avaimet käyttöön. Vai mikä onkaan tämän hetken turvallisin suojaus ? Tuskin pelkkä käyttäjätunnus+salasana?

[janne]

Eli 1. sivun jannen ohjeen mukaan konfattu, rootlogin juttu laitettu pois ja salausavaimiin päästy.

ok.

Hieman yleisesti ensin että
a) pubkey ja private key..."mitä nämä ovat"...eli ensikäsitykseksi muodostui itselleni se että privat olis niin kuin kotiavain ?

julkinen ja yksityinen avain ovat molemmat kytköksissä toisiinsa, ne muodostavat avainparin jonka avulla kirjautuminen on mahdollista. julkinen avain on julkinen siitä syystä, että sitä voi periaatteessa jakaa missä tahansa ja kenelle tahansa. se mahdollistaa kirjautumisen yksityisen avaimen (ja mahdollisesti lisäksi salasanan) avulla, mutta sen perusteella ei pysty päättelemään mitään yksityisestä avaimesta ja/tai salasanasta.

yksityinen avain puolestaan sisältää 'loput' tarvittavasta tiedosta, jonka perusteella autentikointi tai autentikointiin vaadittava salasana on mahdollista todeta validiksi. molempien avainten haltijan on myös mahdollista ajan kanssa murtaa yksityiseen avaimeen mahdollisesti liitetty salasana. siksipä yksityinen avain pitää aina pitää salassa, eikä sitä saa siirtää esim. netin yli  salaamattomalla yhteydellä. julkisen avaimen voi huoletta lähettää sähköpostilla, IM-sovelluksella tai vaikka laittaa nettisivulle saataville.

b) koitin laittaa nämä avaimet käyttöön mutta aina kun työkoneelta puttyn kanssa yhdistän omaan ip osoitteeseeni niin se menee suoraan login kohtaan johon se hyväksyy konffeissa merkatut käyttäjänimet+niiden salasanat.

onhan myös tämä tehtynä:
http://forum.ubuntu-fi.org/index.php?topic=503.msg2769#msg2769

periaatteessa se kannattaisi ehkä lisätä siihen ensimmäiseen viestiin, jotta asia ei jäisi epäselväksi.

Eli b) kohdassa se tavallaan ohittaa nuo avaimet, tai ainakaan ei kysy niitä missään vaiheessa. Joten miten saisin nämä avaimet käyttöön. Vai mikä onkaan tämän hetken turvallisin suojaus ? Tuskin pelkkä käyttäjätunnus+salasana?

kyllä tuo public key authentication on turvallisin, mutta sen toimimiseksi pitää tosiaan ottaa pois käytöstä kaikki käyttäjätunnus+salasana -loggautumisen mahdollistavat metodit, myös tuo PAM.

[edit]
nyt kun jaksoin kurkata, niin näyttää, että opas on siirretty ilman tuota PAM-kohtaa myös tänne. se pitäisi varmaan jossain välissä korjata... kenellähän mahtaa olla oikeudet muuttaa sitä?

[Tonde]

[edit]
nyt kun jaksoin kurkata, niin näyttää, että opas on siirretty ilman tuota PAM-kohtaa myös tänne. se pitäisi varmaan jossain välissä korjata... kenellähän mahtaa olla oikeudet muuttaa sitä?

Olen ymmärtänyt, että kaikilla on oikeus muokkailla wikiä.

[Ilokaasu]

noni oma moka taas. En huomannut ottaa "#PasswordAuthentication yes" kohdasta ollenkaan risuaitaa pois vaan laitoin suoraan arvoksi "no"

Ja nyt kun koitti windowsista käsin puttyllä yhdistellä niin tuli joku authentication method tms error, en muista tarkkaa tekstiä. Elikkä jos nyt tajusin oikein niin mun pitää puttygenillä tehdä avain, toimittaa julkinen avain oman linux koneen authorized_keys tiedostoon ?

Vai olenko aivan hakoteillä?

[GasPipe]

Terve, minullakin on ongelma tämän kanssa.

Eli, tein ssh-keygenillä 1024bit DSA avaimet ja laitoin authorized_keys2 tiedotstoon tuon publicin. Nyt kun yritän ottaa Puttyllä yhteyttä se sanoo:
Unable to use key file "C:\Program Files\Putty\id_dsa" (OpenSSH SSH-2 private key)
login as: <tähän laitoin usernamen minkä asetin AllowedUsers kohtaan>

Ja virheikkuna sanoi: Putty fatal error:
Disconnected: No supported authentication methods available.

Mitä tässä pitäisi yrittää? Use PAM on no.

[Tuplanolla]

Eli, tein ssh-keygenillä 1024bit DSA avaimet ja laitoin authorized_keys2 tiedotstoon tuon publicin. Nyt kun yritän ottaa Puttyllä yhteyttä se sanoo:
Unable to use key file "C:\Program Files\Putty\id_dsa" (OpenSSH SSH-2 private key)
login as: <tähän laitoin usernamen minkä asetin AllowedUsers kohtaan>

Puttylle (windowsille) pitää tehdä oma avain puttygen -nimisellä ohjelmalla. Tee sillä avain ja toimita public key palvelimelle.

[Pir3]

Tuleekos tuonne authorized_keys tiedostoon laittaa vaan seuraavalle riville seuraava public key , jos avaimia on enemmän kuin yksi?

[Tuplanolla]

Tuleekos tuonne authorized_keys tiedostoon laittaa vaan seuraavalle riville seuraava public key , jos avaimia on enemmän kuin yksi?

Näin on.
Varmista, että yksi avain tulee tosiaan yhdelle riville.

[Pir3]

hip hei hienosti toimii! 
Tämmöisen  http://s2putty.sourceforge.net/ kun asensin vielä nokian N80 luuriin niin pääsee säätää kännyllä missä vaan konetta. 

[Melmacian]

Päivittelin aika melkoisesti opasta ja lisäsin sinne ohjeita keychainin ja -X vivun käyttöön.

http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin

[mikaxxx]

Itselläni on myöskin ongelma tuon putty:n kanssa. Pelkällä salasanalla saan kyllä yhteyden ssh-palvelimeen mutta kun yritän saada tunnistautumisen toimimaan noilla avaimilla tulee herja putty:ssä : "No supported authentication methods available".

Olen yrittänyt tehdä avaimet puttygen:llä, olen poistanut ne kaksi riviä, ei toimi, olen yrittänyt ssh-yhteyden kautta windowsista copy-pastella siirtää avaimen authorized_keys tiedostoon, ei toimi, olen yrittänyt tehdä avaimet ubuntussa, ja siirtää sieltä private-avaimen xp:lle jossa putty kyllä tunnistaa sen oikein ja muokkaa siitä haluamansa tiedoston (privatekey:n) mutta aina sama herja tulee silti. Olen yrittänyt putty:n asetuksista eri vaihtoehtoja mm. "Keyboard-Interactive mode" on/off ym, sama herja. Vinkkejä? Kennelläkään?

käyttäjä/.ssh/ hakemistossa tulee olla siis vain tuo authorized_keys-tiedosto? Miten voin poistaa kaikki asetustiedostot, kun apt-get remove openssh jättää noita filuja mm /etc/ssh hakemistoon?

Alla uusin Ubuntu 8.04.

[gdm]

käyttäjä/.ssh/ hakemistossa tulee olla siis vain tuo authorized_keys-tiedosto? Miten voin poistaa kaikki asetustiedostot, kun apt-get remove openssh jättää noita filuja mm /etc/ssh hakemistoon?

Alla uusin Ubuntu 8.04.

Ja siellä authorized_keys tiedostossa pitää olla se luotetun yhteydenottajan avain.

Onko ohjeen kirjoittaja samaa mieltä että, wikissä olevan ohjeen, kohta
Yksityisen ja julkisen avaimen käyttöönotto
Pitäisi siirtää ensimmäiseksi?
Monella voi mennä sormi suuhun...

Eli serverin asennus, salausavainten laittaminen, tietorurvan päälle laittaminen.

Edit: en saa edes omasta viestistä selvää.
Traumatisoiduin kun kävelin äsken kotiin, pikkupikkupupu hyökkäsi kimppuun

[wirtanen]

Kuinkas siinä tapauksessa jos kone johon otetaan yhteyttä on dual boottina 2 linuxia.
Minulla on asettuna kannettava jossa ubuntu ja debian. Ubuntuun saan yhteyden pöytäkoneen molemmista linuxeista, ja ubuntulla pöytä koneen molempiin linuxeihin. käytössä rsa avain parit. Debianiin ei saa koska tulee ilmoitus:

Koodia: [Valitse]

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
67:16:ec:3c:d5:15:d4:84:c2:50:f2:74:.........
ei tunnu auttavan google eikä haut forumeilla. olenko sit puusilmä taas kerran, se voi olla.
olen pariin otteeseen uusinu avaimet ja muut tiedostot mutta aina sama tulee vastaan.

[Kullervo]

Kuinkas siinä tapauksessa jos kone johon otetaan yhteyttä on dual boottina 2 linuxia.
Minulla on asettuna kannettava jossa ubuntu ja debian. Ubuntuun saan yhteyden pöytäkoneen molemmista linuxeista, ja ubuntulla pöytä koneen molempiin linuxeihin. käytössä rsa avain parit. Debianiin ei saa koska tulee ilmoitus:

Koodia: [Valitse]

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
67:16:ec:3c:d5:15:d4:84:c2:50:f2:74:.........
ei tunnu auttavan google eikä haut forumeilla. olenko sit puusilmä taas kerran, se voi olla.
olen pariin otteeseen uusinu avaimet ja muut tiedostot mutta aina sama tulee vastaan.

Uudelleen nimeä, siirrä tai poista ~/.ssh/know_hosts tiedosto

[wirtanen]

Joo kiitokset, kumma ettei tullut mieleen.

Ainoa vaan että tuon authorized_keys tiedoston uudelleen nimeäminen esti yhteyden saamisen ubuntuun, mutta debianiin saatin yhteys. Siinä samalla Debianiin uus fingerprint, Jonka lisääminen alkuperäiseen authorized_keys tiedostoon ratkaisi ongelman.
Nyt toimii molempien koneiden molemmista linuxeista yhteydet molempiin suuntiin rsa avaimen kanssa.
Joskus se ratkaisu vaan piilee säätämisen saloissa

[juuseri]

Wikissä on juttua, että

" Graafisia ohjelmia pystyy käyttämään suoraan ssh:n läpi kunhan yhteys otetaan -X vivun kanssa. Ennen kuin tätä voidaan käyttää täytyy se aktivoida ssh-palvelimen asetuksista.
....
Nyt graafisten ohjelmien etäkäyttö pitäisi onnistua."

Niin kai pitäisi, mutta ssh-clientillä tarttis olla kirjoitusoikeus  kotikoneen .Xauthority tiedostoon. Onkohan jollain tarjolla virallinen tietoturvallinen ratkaisu, ties vaikka joku tarttis tämän ongelman ratkaisua?

[Tha-Fox]

Wikissä on juttua, että

" Graafisia ohjelmia pystyy käyttämään suoraan ssh:n läpi kunhan yhteys otetaan -X vivun kanssa. Ennen kuin tätä voidaan käyttää täytyy se aktivoida ssh-palvelimen asetuksista.
....
Nyt graafisten ohjelmien etäkäyttö pitäisi onnistua."

Niin kai pitäisi, mutta ssh-clientillä tarttis olla kirjoitusoikeus  kotikoneen .Xauthority tiedostoon. Onkohan jollain tarjolla virallinen tietoturvallinen ratkaisu, ties vaikka joku tarttis tämän ongelman ratkaisua?

Jos nyt oikein ymmärrän, niin tuo .Xauthority sijaitsee palvelimella käyttäjän kotihakemistossa. Olettaisin, että jos se on käyttäjän kotihakemistossa, käyttäjällä pitäisi olla oikeudet siihen. Ja jos tänä käyttäjänä otat ulkoa SSH-yhteyden, sinulla on silloin oikeus tiedostoon. Tuon tiedoston oikeudet voisi varmaankin sotkea käyttämällä sudoa graafisten ohjelmien yhteydessä. Tarkistapa, onko tuo tiedosto kyseisen käyttäjän omistuksessa.