SSH ja SFTP-palvelin [wiki]

[janne]

Ylläpidon huomautus, tämä ketju käsittelee ohjetta joka nykyään on wikissä: http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin

vaikka toimenpide on aika triviaali, ajattelin kirjoittaa pienen HOWTO:n ssh ja sftp -palvelimen asentamisesta.

ssh:hän on tietoturvaltaan erittäin hyvä tapa ottaa etäyhteyksiä. sftp puolestaan on tarkoitettu tiedonsiirtoon aivan kuten ftp, mutta se käyttää yhteyden (ja yhteydenoton) salaamiseen ssh:n tarjoamaan turvaa. tosin myös ssh:iä kannattaa käyttää versiota 2 jonka mukana tuo sftp:kin tuli, aikaisemman version yhteydessä sftp:n tilalla käytettiin vähän vähemmän toiminnallisuutta tarjoavaa scp:ä.

(lähes) jokaisen linuxin mukana asentuu ssc-client, jota voi käyttää yhteydenottoon ssh-palvelimen kanssa, windowsille yksi parhaista clienteista on putty joka emuloi myös kunnollista terminaalia.

tiedostojen siirtoon tarkoitetulle sftp:lle on niin ikään asennettu oletuksena komentoriviltä toimiva client nimeltään sftp. graafisella puolella sftp:tä tukevat linuxissa ainakin gftp ja Gnomen ja KDE:n file managerit (nautilus ja konqueror). windowsissa puolestaan hommaan pystyy komentoriviltä putty:n sftp-client psftp ja graafisella puolella ainakin WinSCP ja Filezilla.

toki ssh taipuu muuhunkin, sen avulla/kautta voi mm. forwardata portteja toiselle koneelle tai ajaa X-ohjelmia etäkoneella siten, että sovelluksen graafinen ikkuna näkyy kuitenkin sinun työpöydälläsi. näistä ehkä myöhemmin, ellei joku muu ehdi ensin.

eli, itse serverin asentaminen on näinkin yksinkertaista:

Koodia: [Valitse]

# apt-get install openssh-server
serveri käynnistyy samalla kuin se asennetaan, joten siihen voi heti yrittää
ottaa yhteyttä joko ssh:llä tai sftp:lla.

mutta, mutta... nythän kuka tahansa joka näkee koneen ulkoisen IP:n pystyy yrittämään koneelle sisään arvaamalla käyttäjätunnuksen ja salasanan. itseasiassa minunkin palvelimelleni tulee jatkuvasti matojen kolkutteluja ssh-porttiin ja epäonnistuneita login-yrityksiä on logissa vaikka muille jakaa.

Ubuntussa ei onneksi ole rootin tiliä aktivoituna, joten siihen kohdistuvat yritykset ovat luonnollisesti turhia. muutenkin nuo madot yrittävät yleensä arvailla englantilaisia erisnimiä, joten suomalaisilla koneilla niitä ei useinkaan onnista. olisi kuitenkin mukavaa jos pystyisi määräämään ketkä saavat ottaa koneelle yhteyttä, ja sen toki pystyykin tekemään seuraavasti:

avataan mieleisessään tekstieditorissa (rootin oikeuksin toki) tiedosto /etc/ssh/sshd_config ja muokataan sitä hieman.

ihan näönkin vuoksi muutetaan rivin:

Koodia: [Valitse]

PermitRootLogin yes
arvoksi no.

sitten lisätään vaikka jonnekin tiedoston loppupuolelle rivi joka alkaa avainsanalla AllowUsers ja listataan sen perään välilyönnillä erotettuna käyttäjät jotka saavat ottaa koneeseen yhteyden, vaikkapa näin:

Koodia: [Valitse]

AllowUsers janne mikk0 ninnnu
tallennetaan tiedosto ja käynnistetään palvelin uudestaan komentamalla:

Koodia: [Valitse]

# /etc/init.d/ssh restart
nyt koneelle pääsevät vain janne, mikk0 ja ninnnu, loistavaa


tuolla varmaan pärjääkin jo jonkin aikaa, mutta mitä jos ihan esimerkin vuoksi tiivistetään seulaa... otetaan käyttöön avaimet.

muokataan em. tiedostoa kohdasta:

Koodia: [Valitse]

#AuthorizedKeysFile     %h/.ssh/authorized_keys
poistetaan riviltä kommentti (se risuaita siitä alusta).

ja samoin riviltä:

Koodia: [Valitse]

#PasswordAuthentication yes
ja muutetaan lisäksi sen arvoksi no.

nyt vain tallennetaan tiedosto ja käynnistetään palvelin uudestaan. huomataan, että kukaan ei pääse sisään, itse asiassa kukaan ei pääse edes yrittämään salasanan arvaamista. nyt onkin tosi turvallista, mutta mitenkäs siihen sitten oikein pääsee sisälle...

käyttäjien pitää luoda itselleen avaimet joita tulee kaksi kappaletta, julkinen ja yksityinen. julkinen avain pitää toimittaa koneelle johon ollaan loggautumassa ja se pitää lisätä käyttäjän kotihakemistossa olevaan hakemistoon .ssh tiedostoon authorized_keys aivan kuten tuolla konffissa määrittelimme.

windows-käyttäjä voi luoda avaimen putty:n tarjoamalla softalla nimeltä puttygen. suosittelen generoimaan DSA-tyyppisen avaimen jonka pituus on vähintään 1024, mutta mielellään 2048 bittiä.

linuxissa (ja mäkissä OsX:ssä) homma hoituu komentoriviltä komennolla ssh-keygen. koko komento voisi olla vaikka seuraavanlainen:

Koodia: [Valitse]

$ ssh-keygen -b 2048 -t dsa
se luo dsa-tyyppisen avainparin jonka pituus on 2048 bittiä.

kannattanee hyväksyä tiedostojen oletussijainti ~/.ssh/id_dsa ja ~/.ssh/id_dsa.pub. noista jälkimmäinen on se julkinen avain (public) joka pitää toimittaa palvelimelle. tuo ohjelma kysyy myös salasanaa joka liitetään avaimeen ja jota käytetään jatkossa avaimen kanssa loggautuessa (se voi olla eri kuin käyttäjän kohdekoneen salasana).

kun meillä nyt on avain ja sitä vastaava salasana, voidaan avain kopioida paikoilleen. (huom. puttygenin generoiman avaimen alussa ja lopussa on kommenttirivi jotka on hyvä poistaa ennen avaimen lisäämistä käyttäjän tietoihin).

avaimen lisääminen tapahtuu vaikkapa näin:

Koodia: [Valitse]

cat <avain> >> /home/<käyttäjä>/.ssh/authorized_keys
nyt loggamista avaimeen liitetyn salasanan kanssa voi jo yrittää ja sen pitäisi onnistuakin. toisaalta murtautujan jolla ei ole privaattiavainta, pitäisi sisään päästäkseen arvata käyttäjätunnus, käyttäjän 2084 bittinen privaattiavain ja avainta vastaava salasana. heikolta näyttää murtautujan puolesta.

linuxissa tuota privaattiavainta osataan käyttää/tarjota automaattisesti jos se on tallennettu tuonne oletussijaintiin, windowsissa sovellukselle pitää kertoa missä käytettävä avain on (sitä varten sovelluksessa on joku kenttä).

windows-sovelluksia ja gftp:tä käytetään kuten mitä tahansa ftp-ohjelmaa, mutta nautilus ja konqueror toimivat hitusen eri tavalla.

nautiluksessa etäyhteys otetaan vaikkapa Places -> Connect to Server... valinnan kautta. Service type on SSH, porttia ei tarvitse antaa mutta se on 22 ellei serveri ole konffattu muuhun porttiin, ja loput kohdat ovatkin selviä.

toinen vaihtoehto on painaa nautiluksen avoimen ikkunan päällä <ctrl> + l ja kirjoittamalla riville sftp://<käyttäjätunnus>@<palvelin> ja enteriä. tuota käyttäjätunnusta ja sen jälkeen olevaa @:iä ei tarvita jos käyttäjätunnus on sama molemmilla koneilla.

Breezyssä avattuihin yhteyksiin voikin tehdä bookmarkkeja jolloin niihin pääsen helposti käsiksi myöhemmin.

konquerorilla homma onnistuu ainakin kirjoittamalla osoiteriville fish://<käyttäjätunnus>@<palvelin> ja tässäkään ei tarvita välttämättä tuota käyttäjätunnusta ja @:iä.

[Sapetsi]

(huom. puttygenin generoiman avaimen alussa ja lopussa on kommenttirivi jotka on hyvä poistaa ennen avaimen lisäämistä käyttäjän tietoihin).

Oletan että ko. rivit on:
---- BEGIN SSH2 PUBLIC KEY ----
ja
---- END SSH2 PUBLIC KEY ----

Nämä siis kannattaa poistaa? Ja muihin riveihin ei kosketa?

Kiitokset howto:sta

[janne]

Oletan että ko. rivit on:
---- BEGIN SSH2 PUBLIC KEY ----
ja
---- END SSH2 PUBLIC KEY ----

kyllä.

Nämä siis kannattaa poistaa?

kyllä.

Ja muihin riveihin ei kosketa?

ei.
tai ei kai siellä olekaan kuin yksi muu rivi. kieltämättä melko pitkä rivi, mutta kuitenkin

[Sapetsi]

Nyt on sitten ongelma josta en tunnu pääsevän yli enkä ympäri... Eli, tein howton mukaan tuon ssh palvelimen ja kaikki menikin ihan ok. Hiukan oli leikkimistä /etc/sshd_config tiedoston kanssa mutta sain lopulta asetukset niin että tuo public key + private key on ainoa tapa kirjautua koneeseen ja pelkällä salasanalla sisään ei pääse. Ettei unohdu, windowsin puolelta Puttyllä siis otin yhteyden. Tähän asti kaikki ok...
Ongelmaksi on nyt kuitenkin muodostunut tuo sftp. Toivoisin tietty että sekin hoitaisi tunnistuksen tuolla avain parilla mutta näköjään se ei ole pakollista. Kun ajaa psftp.exe ohjelman ilman avaimen määritystä, hän toteaa iloisesti että annappa salasana (koska avainta ei ollut...). Oman käyttäjän salasana tähän ja homma pelaa. Näinhän tietysti ei pitäisi olla    Eikös avain parin käyttö sftp:llä luulisi myös olevan pakollista koska ei puttylläkään koneeseen voi kirjautua pelkillä tunnuksilla...
Tähän kun saisi korjausta/tietoja niin hyvä olisi. Liitän tähän sshd_config tiedostoni tuolta palvelimelta, saa viisaammat katsoa mikä mättää

Koodia: [Valitse]

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22

# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2

# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

# Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes

# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no

# similar for protocol version 2
HostbasedAuthentication no

# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication yes

# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no

# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd yes
PrintLastLog yes
KeepAlive yes
UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

#Subsystem sftp /usr/lib/sftp-server

UsePAM yes

AllowGroups users
AllowUsers sapetsi

ClientAliveInterval 60
ClientAliveCountMax 3


Joku saattaa huomata että Subsystem rivi on kommentoitu, tämä oli yritykseni disabloida sftp kokonaan mutta eipä tuo toiminut...

[janne]

Tähän kun saisi korjausta/tietoja niin hyvä olisi. Liitän tähän sshd_config tiedostoni tuolta palvelimelta, saa viisaammat katsoa mikä mättää

tuota tuota...

Koodia: [Valitse]

#Banner /etc/issue.net

#Subsystem sftp /usr/lib/sftp-server

UsePAM yes


nopeasti katsottuna minä tekisin näin...

UsePAM -> no

ja kommentit pois noista kahdesta muusta. kommenttien poistaminen ei kyllä vaikuta tähän kyseiseen ongelmaan, vaan kyse on mitä luultavammin tuosta PAM:sta.

tuo Banner määrittää tiedoston joka tulostetaan konsolille ennen salasanan kysymistä, siihen voi laittaa mitä itse haluaa, toinen tiedosto joka käyttäytyy hieman samalla tavalla on /etc/motd (message of the day) joka tulostetaan aina kun sisään on kirjauduttu.

Joku saattaa huomata että Subsystem rivi on kommentoitu, tämä oli yritykseni disabloida sftp kokonaan mutta eipä tuo toiminut...

juu, se saa kyllä olla olemassa.

[Sapetsi]

UsePAM -> no

Kiittää ja kumartaa! Tuosta se siis kiinni näytti olevan. Nyt on mahottoman turvallinen olo taas 

[frantic0]

Moi!

Tarttis vähän selvennystä avaimien siirto kohtaan, tahtoo sanoa että no such file or directory. Onko <avain> kohtaan tarkoitus laittaa key fingerprint vai mitä? Kiitos.

[janne]

Tarttis vähän selvennystä avaimien siirto kohtaan, tahtoo sanoa että no such file or directory. Onko <avain> kohtaan tarkoitus laittaa key fingerprint vai mitä? Kiitos.

siis tuo ssh-keygen luo kaksi tiedostoa, toisessa on se julkinen ja toisessa privaattiavain. tuohon <avain> kohtaan on tarkoitus antaa se tiedosto jossa on se julkinen avain.

[Nakkisormi]

avataan mieleisessään tekstieditorissa (rootin oikeuksin toki) tiedosto /etc/ssh/sshd_config ja muokataan sitä hieman.

Erh, "avataan rootin oikeuksin" va? alotin justiinsa linuksin käytön, elikkäs miten avataan/ajetaan jokin ohjelma "rootin oikeuksin"?

[Speque]

avataan mieleisessään tekstieditorissa (rootin oikeuksin toki) tiedosto /etc/ssh/sshd_config ja muokataan sitä hieman.

Erh, "avataan rootin oikeuksin" va? alotin justiinsa linuksin käytön, elikkäs miten avataan/ajetaan jokin ohjelma "rootin oikeuksin"?

Tässä tapauksessa kirjoittamalla komentoriville

Koodia: [Valitse]

sudo /etc/ssh/sshd_config
ja antamalla pyydettäessä Ubuntun asennuksen yhteydessä annettu salasana.

[LittleLion]

Tässä tapauksessa kirjoittamalla komentoriville

Koodia: [Valitse]

sudo /etc/ssh/sshd_config
ja antamalla pyydettäessä Ubuntun asennuksen yhteydessä annettu salasana.

Ei noin. Koska tuo yrittää ajaa tuota tiedostoa, mutta kun se piti avata niin vaikkapa näin:
sudo nano -w /etc/ssh/sshd_config

[Speque]

Tässä tapauksessa kirjoittamalla komentoriville

Koodia: [Valitse]

sudo /etc/ssh/sshd_config
ja antamalla pyydettäessä Ubuntun asennuksen yhteydessä annettu salasana.

Ei noin. Koska tuo yrittää ajaa tuota tiedostoa, mutta kun se piti avata niin vaikkapa näin:
sudo nano -w /etc/ssh/sshd_config

Ups. Jotain jäi välistä. My bad. Kiitos korjauksesta.

[basse]

Toteutin tässä juuri tuon ohjeen siihen avainten lisäämiskohtaan asti. Lisäsin AllowUseriksi ainoan koneella määritellyn käyttäjän ja hyvinhän yhteys toimii, ehkä vähän liiankin hyvin, sillä se ei kysy mitään useria eikä passwordia missään vaiheessa. Riittää kun näpyttelee koneelle ip:n ja portin gnomen työpöydällä ja on sisällä että heilahtaa. En tehnyt /etc/ssh/sshd_config tiedostoon muita muutoksia kuin vaihdoin rootin -> no ja lisäsin käyttäjän sekä kokeilin sitä Pamia molemmilla no ja yes, mutten huomannut mitään eroa. Delete ei onnistu mutta siirtelin juuri kuvia ton toisen netin takana olevan koneen työpöydälle. Ei kai ton ihan noin "asiakasystävällinen" pitäisi olla. Joo ja restartit on aina tehty.

[basse]

Toinen kerta toden sanoi. Kokeilin palvelimen asentamista uudelleen ja nyt kaikki meni kuten yllä on esitetty. Olkoon toi mun edellinen kommentti varoituksena muille mahdollisille sörsselsöneille. Kone voi olla asentelun jäljiltä todella auki.

[Ubuntuu]

Tämä nyt ei ihan suoraan liity yllä olevaan ohjeeseen, mutta aiheeseen kuitenkin. Eli siirryttyäni Hoarysta Breezyyn on SSH ja SFTP yhteyksiin tullut todella suuri viive (n. 7 sek) ennen kuin palvelin pyytää salasanaa. Mistä tämä voisi johtua? On todella rasittavaa kirjatua koneelle, kun saa odottaa sen 7 sekuntia sitä salasana promptia. Onko tuo viive säädettävissä jotenkin vai mistä tämä voisi johtua?

[Melmacian]

Olisikohan tuo IPv6:n vika. Lueppas: http://www.ubuntuforums.org/archive/index.php/t-84399.html&e=10384

[Ubuntuu]

Kiitos vinkistä, mutta tuo ei ikävä kyllä tällä kertaa auttanut. 

[myssy]

Kiitokset hyvistä ohjeista!

Kuitenkin vastaan tuli yksi ongelma, avaimen kopiointi ei toimi jostain syystä. Eli teen sen seuraavasti:

cat salasana >> /home/käyttäjä/.ssh/authorized_keys

mutta  saan seuraavan virheilmoitukset:

cat salasana >> /home/käyttäjä/.ssh/authorized_keys
cat: salasana: No such file or directory

avainta luodessa kysyttiin passpharea, tämä on varmaakin salasana jota kysytään kirjautuessa? joka tapauksessa "salasana" kohtaan kirjoitin kyseisen rimpsun! Missä vika?

Kiitokset avusta!

[janne]

cat salasana >> /home/käyttäjä/.ssh/authorized_keys

mutta  saan seuraavan virheilmoitukset:

cat salasana >> /home/käyttäjä/.ssh/authorized_keys
cat: salasana: No such file or directory

tuo komento cat tulostaa sille annetut tiedostot peräkkäin ruudulle ja tuossa rimpsussa >> ohjaa tulostuksen ruudun sijasta tiedsoton /home/käyttäjä/.ssh/authorized_keys loppuun.

avainta luodessa kysyttiin passpharea, tämä on varmaakin salasana jota kysytään kirjautuessa?

aivan oikein ja se voi olla jotain aivan muuta kuin koneella oleva shellin salasana.

joka tapauksessa "salasana" kohtaan kirjoitin kyseisen rimpsun! Missä vika?

tuohon salasanan kohdalle ei ole tarkoitus kirjoittaa omaa salasanaa, vaan antaa sille parametriksi se luotu julkinen avain.

[basse]

Tämä on täysin hatusta vedetty oletus. Tätä sivustoa lukee myös joukko ihmisiä, joille nämä hienoimmat viilaukset eivät aina avaudu. Yritin itse käyttää tätä ssh systeemiä kolmen koneeni välisessä liikenteessä, mutta huomasin varsin pian, että muistitikku ajaa saman asian huomattavasti nopeammin ja varmemmin. Tämä vain vinkiksi itseni kaltaiselle pölkky-osastolle.