Kirjoittaja Aihe: SSH ja SFTP-palvelin [wiki]  (Luettu 141377 kertaa)

eph

  • Käyttäjä
  • Viestejä: 5
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #20 : 01.03.06 - klo:17.01 »
Saakos sshd:n asetuksista säädettyä jotenkin ip:t,  joista voi logata sisään? Itselleni riittäisi 192.168.0.100-192.168.0.105 aika hyvin...

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #21 : 01.03.06 - klo:17.27 »
Saakos sshd:n asetuksista säädettyä jotenkin ip:t,  joista voi logata sisään? Itselleni riittäisi 192.168.0.100-192.168.0.105 aika hyvin...

joissain ssh-servereissä on määreet AllowHosts ja DenyHosts, mutta openssh:ssa ei tainnut olla, ainakaan tässä versiossa joka tulee nykyisen Ubuntun mukana. periaatteessa kai noita hosteja voi rajoittaa myös teidsotojen /etc/hosts.allow ja /etc/hosts.deny avulla, mutta silloin kyse ei ole ssh-palvelimen säädöistä.

tässä kyseisessä tapauksessa IP:t ovat kuitenkin kaikki sisäverkon IP:itä, jolloin kone on itsekin NATin takana. eikös tuohon silloin riitä, että ei välitä yhteyksiä NATin ulkopuolelta ssh-porttiin koneelle jolla ajaa ssh-palvelinta?
Janne

grukti

  • Käyttäjä
  • Viestejä: 15
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #22 : 07.03.06 - klo:14.36 »
vielä nopeempi keino on pistää tavallinen proftpd servu jolloinka liikenne kulkee salaamatta mutta se käyttää lähiverkkoa siirrossa jolloinka 100 mb lähiverkolla  siirtonopeus on noin 6-8 mb/s  kun taas tuo sftp serverillä se menee netin yli joka aivan käsittämättön hitasta (varsinkin hitaalla laajakaistalla).

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #23 : 07.03.06 - klo:17.40 »
vielä nopeempi keino on pistää tavallinen proftpd servu jolloinka liikenne kulkee salaamatta mutta se käyttää lähiverkkoa siirrossa jolloinka 100 mb lähiverkolla  siirtonopeus on noin 6-8 mb/s  kun taas tuo sftp serverillä se menee netin yli joka aivan käsittämättön hitasta (varsinkin hitaalla laajakaistalla).

en tiedä mistä olet tullut siihen johtopäätökseen, että ssh ja ftp reitittäisivät liikennettä jotenkin eri tavalla(?). jos palvelin on sisäverkossa, se myös käyttää liikennöimiseen sisäverkkoa.

yhteenvetona... ylläoleva väite ei pidä paikkaansa, ei lähellekään. scp/sftp-siirto on kieltämättä hieman hitaampaa johtuen kryptauksesta, mutta ei missään nimessä mitään valtavan hidasta. jos palvelin näkyy nettiin, niin ssh-on merkittävästi turvallisempi protokolla kuin ftp, jos ei näy, niin sillä ei ole väliä. linux koneiden välille on varmaan vielä kätevämpää tehdä NFS-jakoja kuin alkaa virittämään ftp-serveriä.
Janne

grukti

  • Käyttäjä
  • Viestejä: 15
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #24 : 08.03.06 - klo:15.04 »

en tiedä mistä olet tullut siihen johtopäätökseen, että ssh ja ftp reitittäisivät liikennettä jotenkin eri tavalla(?). jos palvelin on sisäverkossa, se myös käyttää liikennöimiseen sisäverkkoa.

yhteenvetona... ylläoleva väite ei pidä paikkaansa, ei lähellekään. scp/sftp-siirto on kieltämättä hieman hitaampaa johtuen kryptauksesta, mutta ei missään nimessä mitään valtavan hidasta. jos palvelin näkyy nettiin, niin ssh-on merkittävästi turvallisempi protokolla kuin ftp, jos ei näy, niin sillä ei ole väliä. linux koneiden välille on varmaan vielä kätevämpää tehdä NFS-jakoja kuin alkaa virittämään ftp-serveriä.
Väitteeni että sftp on merkittävästi hitaampi kuin ftp pitää täysin paikansa, muutama asia selville palvelimesta: palvelin näkyy netissä, se saa ip soneran dhcp. tästä johtuen sftp liikenne vissiin tekee jonkun hienon kierto silkuman soneran päähän ja palaa takaisin. Muuta selitystä en keksi tuolla hitaalle nopeudelle.

600 mb videotiedoston sftp siirtonopeus noin 200kb/s
ftp:llä sama on noin 5-6mb/s
Kuva todisteet liitteenä

[ylläpito on poistanut liitteen]

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #25 : 08.03.06 - klo:15.23 »
Väitteeni että sftp on merkittävästi hitaampi kuin ftp pitää täysin paikansa

niinhän minä sanoinkin, scp/sftp-siirto on hitaampaa kuin salaamaton, koska se salataan ja siihen kuluu aikaa. sen sijaan väitteesi siitä, että eri protokollat reititettäisiin oletuksena eri tavalla on edelleen sontaa. senkin minä taisin jo sanoa. salauksen nopeus on tietenkin riippuvainen konetehosta.

muutama asia selville palvelimesta: palvelin näkyy netissä, se saa ip soneran dhcp. tästä johtuen sftp liikenne vissiin tekee jonkun hienon kierto silkuman soneran päähän ja palaa takaisin. Muuta selitystä en keksi tuolla hitaalle nopeudelle.

no ei, jos koneella on kaksi palvelinta ja niihin otetaan yhteyttä samasta paiaksta saman IP:n perusteella niin on hyvin oletettavaa, että paetit reititetään jotakuinkin samaa kautta. valinta intranet/internet ei kuitenkaan muutu, internetissä yksittäisten pakettien reititys on toki melko satunnaista.

600 mb videotiedoston sftp siirtonopeus noin 200kb/s
ftp:llä sama on noin 5-6mb/s

niin? minä siirsin kokeeksi iso-imagea palvelimeltani koneell SSHn ja NFS:n yli ja nopeuksiksi tuli 1,3Mt/s ja 10Mt/s.

siltä varalta, ettei tätä nyt vielä ole ymmärretty, niin... SCP/SFTP on turvallinen tapa ottaa ja tarjota  tiedosnsiirtoyhteyksiä julkisesta verkosta/julkiseen verkkoon. salaus aiheuttaa toki siirtoon overheadia, mutta yleensä sillä ei ole mitään väliä toimittaessa internetin yli, eikä tietoturvaa ole mitään syytä uhrata patrin kilon nopeusedun saavuttamiseksi.

sisäverkossa sen sijaan on mahdollista käyttää salaamattomia yhteyksiä, jos sattuu olemaan vakuuttunut siitä, että turvaton palvelin ei näy julkiseen verkkoon ja sisäverkkoon ei ole mahdollista murtautua (ja aiheuttaa ongelmia verkon koneille sitä kautta).

tästäkin huolimatta etäterminaaliyhteydet kannattaa silti ajaa SSH:n yli, eikä missään tapauksessa käyttää jotain telnetiä tai rlogina. SSH-tarjoaa salatun yhteyden lisäksi paljon muutakin, mm. mahdollisuuden ohjata portteja salatusti toiselle koneelle, ajaa X-softaa etänä salatun yhteyden yli, ym.
Janne

kelju

  • Käyttäjä
  • Viestejä: 4
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #26 : 08.03.06 - klo:18.13 »
mikähän mättää kun ei saa tuohon linux koneeseen yhteyttä muualta mutta tästä windows koneelta saan. molemmat koneet menee hubin kautta nettiin.

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #27 : 08.03.06 - klo:18.43 »
mikähän mättää kun ei saa tuohon linux koneeseen yhteyttä muualta mutta tästä windows koneelta saan. molemmat koneet menee hubin kautta nettiin.

mistä muualta olet yrittänyt?
jos yrität netistä, niin millainen verkkosi rakenne on? saatko joka koneelle julkisen IP:n vai oletko NATin takana?
Janne

myssy

  • Käyttäjä
  • Viestejä: 52
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #28 : 11.03.06 - klo:11.13 »
Huomenta!

Kuinka mahtaa onnistua SSH serverin poistaminen?

meneekö suoraan komennolla apt-get remove openssh-server ?

Jostain syystä DSA avain tuottaa koneelle kirjautuessa ongelmia.. En löytänyt Puttystä, psftp:stä (ei oikein auennut, mutta vaikutti ihan pätevältä ohjelmalta) ja Winscp:stä kohtaa jonne voisin määritellä publickeyn sijainen, sen sijaan privatekey kohta löytyy. Olenko ymmärtänyt oikein, että publickey:tä verrataan myös kirjautuessa jo serverille laitettuun public avaimeen?

Saan yhteyden kaikilla clienteillä servuun ja pääsen antamaan käyttäjä tunnuksen, mutta privatekey (joka luotiin puttygenillä) ei jostain syystä kelpaa. Clientit millä yritän yhdistää, antavat sen perinteisen varoituksen, jossa näkyy varoitus.. Jostain syystä varoituksessa puhutaan RDA:sta!?
Sen verran itsekin tiedän, että RDA avain on eri juttu kuin DSA avain! Pitäisikö tämä muuttaa tarjoamaan DSA avainta?

Koitan vielä säätää, mutta jos menee liian vaikeaksi, niin koitan ihan perinteistä sambaa. Tässä SSH2 kiinnostaa datan siiron lisäksi myös mahdollisuus käyttää mm. irssiä etänä :)


janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #29 : 11.03.06 - klo:11.36 »
Kuinka mahtaa onnistua SSH serverin poistaminen?

meneekö suoraan komennolla apt-get remove openssh-server ?

menee.

Jostain syystä DSA avain tuottaa koneelle kirjautuessa ongelmia.. En löytänyt Puttystä, psftp:stä (ei oikein auennut, mutta vaikutti ihan pätevältä ohjelmalta) ja Winscp:stä kohtaa jonne voisin määritellä publickeyn sijainen, sen sijaan privatekey kohta löytyy. Olenko ymmärtänyt oikein, että publickey:tä verrataan myös kirjautuessa jo serverille laitettuun public avaimeen?

olet ymmärtänyt hieman väärin. public key pitää olla vain koneella jonne kirjaudutaan. kirjautumista yrittävä ohjelma käyttää vain private keytä.

Saan yhteyden kaikilla clienteillä servuun ja pääsen antamaan käyttäjä tunnuksen, mutta privatekey (joka luotiin puttygenillä) ei jostain syystä kelpaa. Clientit millä yritän yhdistää, antavat sen perinteisen varoituksen, jossa näkyy varoitus.. Jostain syystä varoituksessa puhutaan RDA:sta!?
Sen verran itsekin tiedän, että RDA avain on eri juttu kuin DSA avain! Pitäisikö tämä muuttaa tarjoamaan DSA avainta?

muokkasithan puttygenin luomaa avainta neuvotulla tavalla ja lisäsit sen ilman mitään ylimääräistä sen authorized_keys-tiedoston loppuun?

sikäli kun tarkoitata RSA:ta, niin kyllä senkin pitäisi periaatteessa toimia.

Koitan vielä säätää, mutta jos menee liian vaikeaksi, niin koitan ihan perinteistä sambaa. Tässä SSH2 kiinnostaa datan siiron lisäksi myös mahdollisuus käyttää mm. irssiä etänä :)

ei tuota public key authenticationia ole pakko ottaa käyttöön vaikka se tietoturvaa parantaakin. suomalaiset ovat monesti siinä onnellisessa asemassa, että heidän käyttäjätunnuksiaan ei yleensä arvata millään scriptillä ja ubuntussa roottina kirjautuminen on muutenkin estetty, joten toimivan käyttäjätunnuksenkin arvaamisessa on yleensä oma hommansa.
Janne

myssy

  • Käyttäjä
  • Viestejä: 52
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #30 : 11.03.06 - klo:12.23 »
Jahas, nyt sain homman toimimaan :)

Poistin kyllä comment kohdan aina, mutta olin tehnyt ensimmäisellä kerralla väärin, niin väärä public key oli jo tallennettuna authorized_keys tiedostoon. Suoritin tiedoston tyhjennyksen ja lisäsin uuden avain puhtaaseen tiedostoon. Eli olin aina lisännyt uutta avainta vanhan perään  ::)

Tein muutenkin homman varman päälle ja en tallentanut public keytä tiedostoon vaan otin copy/pastella puttygenin kentästä.  ;)
Pienen säädön jälkeen homma näyttää toimivan hyvin!

Voiko miltä tahansa koneelta kirjautua samaan käyttäjätunnukseen jos vain siirtää privatekeyn jokaiselle? vai onko luotu avain aina tietokone kohtainen?

Kiitokset selvennyksestä private/publickeyn tarkoituksesta!


Ps. Voisiko janne valaista, miten voin poistaa samban koneelta kun kerkesin sitäkin vähän säätämään. En viitsi turhaan pitää montaa palvelua koneella :)

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #31 : 11.03.06 - klo:12.50 »
Jahas, nyt sain homman toimimaan :)

hyvä juttu :)

Voiko miltä tahansa koneelta kirjautua samaan käyttäjätunnukseen jos vain siirtää privatekeyn jokaiselle? vai onko luotu avain aina tietokone kohtainen?

aivain ei ole konekohtainen, vaan sitä voi käyttää miltä koneelta tahansa. tosin privaattiavain on sen kaltaista dataa, että sen siirtämisen kanssa kannattaa olla varovainen. sitä ei pitäisi siirtää netin yli, ainakaan salaamattomasti.

Ps. Voisiko janne valaista, miten voin poistaa samban koneelta kun kerkesin sitäkin vähän säätämään. En viitsi turhaan pitää montaa palvelua koneella :)

luulisin, että ihan sudo apt-get remove samba riittää hoitamaan homman (tai synapticin kautta sama). homma ei ole ihan niin selvä, sillä esim. gnome ja kde taitavat käyttää jotain samban osia. tuo samba on silti ihan turvallista poistaa, mutta kaikkea samba-alkuista en menisi poistamaan.
Janne

myssy

  • Käyttäjä
  • Viestejä: 52
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #32 : 11.03.06 - klo:13.16 »
Selvä!

Ajattelin USB-tikulla siirtää avaimen myös läppäriin, pääsen sillä myös säätämään konetta :)

Sambakin poistui suosiolla!

Kiitokset! Nyt vaan irssin kimppuun..  :o

Tushaka

  • Käyttäjä
  • Viestejä: 19
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #33 : 12.03.06 - klo:14.58 »
Miten kirjaudutaan sisään puttyn kautta? Olen tehnyt kaiken mainitun siihen asti, missä määritettiin ketkä pääsevät koneelle, sillä en oikein ymmärtänyt kuinka ne kahdet avaimet sun muut tehdään. Pitääkö putty:ssa kirjoittaa koneen IP kenttään jossa lukee: Host Name (or IP adress)?
Kuin tein niin, putty sanoi "no route to host".

Vapaan koodin kananmuna

  • Käyttäjä
  • Viestejä: 1536
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #34 : 12.03.06 - klo:15.02 »
Onko sulla koneet kytketty suoraankytketyllä cat-kaapelilla? Kahden koneen välissä pitäisi olla ristiinkytketty, jos ei ole reititintä.
En Vastaa Vaikeisiin Kysymyksiin.

chrisu

  • Käyttäjä
  • Viestejä: 12
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #35 : 12.03.06 - klo:17.30 »
Asensin eilen ubuntu 5.10. Kaikki meni hyvin mutta en oikeen saa tätä ssh:ta toimimaan, kun pitäisi saada siiretty tiedostoja tuolta toiselta koneelta jossa on win xp sp2. XP konessa on SSH client.

Asensin näiden ohjeiden  mukaan openssh-serverin ja laitoin noi root ja allowuser asetukset. Mutta kun yritän kirjautua tuolta toiselta koneelta niin serveriä ei löydy. Eli nyt pitää oikeen kysyä että onko se ihan tämä julkinen ip jolle pitää kirjautua vai joku muu?

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #36 : 12.03.06 - klo:18.46 »
Asensin eilen ubuntu 5.10. Kaikki meni hyvin mutta en oikeen saa tätä ssh:ta toimimaan, kun pitäisi saada siiretty tiedostoja tuolta toiselta koneelta jossa on win xp sp2. XP konessa on SSH client.

ssh-clientilla ei saa siirrettyä tiedostoja, mutta usean ssh-clientin mukana tulee scp/sftp client joka hommaan toki sopii.

Asensin näiden ohjeiden  mukaan openssh-serverin ja laitoin noi root ja allowuser asetukset. Mutta kun yritän kirjautua tuolta toiselta koneelta niin serveriä ei löydy. Eli nyt pitää oikeen kysyä että onko se ihan tämä julkinen ip jolle pitää kirjautua vai joku muu?

pitää käyttää sitä IP-osoitetta joka on näkyvissä toiselle koneelle. millainen verkko sinulla on noiden kahden koneen välillä, ja miten yrität ottaa yhteyttä? lisäksi mitä se ssh-client ilmoittaa virheeksi?
Janne

chrisu

  • Käyttäjä
  • Viestejä: 12
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #37 : 12.03.06 - klo:19.39 »
pitää käyttää sitä IP-osoitetta joka on näkyvissä toiselle koneelle. millainen verkko sinulla on noiden kahden koneen välillä, ja miten yrität ottaa yhteyttä? lisäksi mitä se ssh-client ilmoittaa virheeksi?
Tuota noin. Ensin molemmat koneet tulevat hubiin josta ne menevät yksi-porttiseen reittimeen josta ne sit pääsevät internetin ihmeelliseen maailmaan.

Kokeilin Filezilla:lla myös ja se ilmoittaa "Unable to connect".

Tushaka

  • Käyttäjä
  • Viestejä: 19
    • Profiili
Re: SSH ja SFTP-palvelin
« Vastaus #38 : 12.03.06 - klo:21.03 »
Siis, kysynpä nyt varmistaakseni, ssh käytetään irssin, vai olenko väärässä?

JPK1990

  • Vieras
Re: SSH ja SFTP-palvelin
« Vastaus #39 : 12.03.06 - klo:21.48 »
 :) kätevää