SSH ja SFTP-palvelin [wiki]

[janne]

Missähän meni pieleen kun tuolla mun kotihakemistossa ei ole .ssh kansiota? Voinko tehdä sen sinne itse ja samalla tehdä itse tuon authorized_keys tiedoston?

jos hakemistoa ei löydy, niin silloin et ole käyttänyt ssh:ta vielä mihinkään. sen voi huoletta luoda itse.

Ilmeisesti palomuurista pitää myöskin avata portti 22 tuolle ssh yhteydelle? pitkääkö jotain muitakin portteja avata jotta yhteys toimisi?

portin 22 avaamisen pitäisi riittää.

[Pir3]

Tämä selvä.

Sitten vielä. Oma koneeni toimii niin sanottuna servuna. Eli tälle koneelle kopioin tuon julkisen avaimen tuonne .ssh kansioon tiedostoon authorized_keys, eikö?

Kaverin koneella on myös ubuntu ja siltä pitäisi päästä tälle minun koneelle. Otan siis tuon toisen avaimen muistitikulla mukaan ja menen kaverin luokse. Ohjelmana käytetään gftp:tä. Kysymys kuuluu minne laitan tuon avaimen kaverin koneella?

[janne]

Sitten vielä. Oma koneeni toimii niin sanottuna servuna. Eli tälle koneelle kopioin tuon julkisen avaimen tuonne .ssh kansioon tiedostoon authorized_keys, eikö?

kyllä ja kyllä.

Kaverin koneella on myös ubuntu ja siltä pitäisi päästä tälle minun koneelle.

ok.

Otan siis tuon toisen avaimen muistitikulla mukaan ja menen kaverin luokse. Ohjelmana käytetään gftp:tä. Kysymys kuuluu minne laitan tuon avaimen kaverin koneella?

parasta olisi luoda kaverin koneelle oma avain (ja mahdollisesti käyttäjätunnus sinun serverillesi), jotta kaikki avaimet eivät mene uusiksi jos yksi avain joutuu vääriin käsiin.

jos kuitenkin on jostain syystä käytettävä samaa avainta (ja tunnusta), sijoitetaan myös privaatti avain sinne .ssh hakemistoon.

[jhss]

Terve,

Osaakos joku (Janne) kertoa, miksi ssh yhteyden ottaminen omalta koneelta omaan koneeseen ei toimi julkista ip:tä käyttäen, vaikka esim. yliopistolta saan omaan koneeseeni yhteyden. Itse luulen, että vika on Telewelin EA501 reitittimessä. Reitittimessä on tällä hetkellä "palomuuri" (>>Tämä asetus mahdollistaa automaattisen hyökkäysten tunnistuksen ja eston DoS-hyökkäykset, Ping of Death, SYN Flood, Port Scan ja Land Attack hyökkäykset.<<) päällä ja jos yritän ottaa omaan koneeseeni ssh yhteyttä, niin  ei tapahdu mitään. Jos taas otan reitittimen "palomuurin" pois päältä, niin saan ilmoituksen >> ssh: connect to host *.*.* port 22: Connection refused<<. Kummassakin tapauksessa saan koneeseeni yhteyden ulkomaailmasta ja käyttäen sisäverkon ip:tä 192.168.0.100. Haluaisin vaan ymmärtää mistä oikein on kyse, kun oon puoli päivää tän kans tapellut, Sinänsähän tällä ei o väliä kun kerran yhteydet pelaa...

 - J

[janne]

jos yritän ottaa omaan koneeseeni ssh yhteyttä, niin  ei tapahdu mitään. Jos taas otan reitittimen "palomuurin" pois päältä, niin saan ilmoituksen >> ssh: connect to host *.*.* port 22: Connection refused<<. Kummassakin tapauksessa saan koneeseeni yhteyden ulkomaailmasta ja käyttäen sisäverkon ip:tä 192.168.0.100. Haluaisin vaan ymmärtää mistä oikein on kyse, kun oon puoli päivää tän kans tapellut, Sinänsähän tällä ei o väliä kun kerran yhteydet pelaa...

modeemisi on nattaavana ja koneellasi on sisäverkon IP, jolle olet modeemilta ohjennut liikenteen. ainakaan oman telewellini kanssa sisäverkosta ei pysty käyttämään modeemin ulkoista IP-osoitetta sisäverkosta käsin yhteyden ottamiseen. varmistin vielä asian suoraan telewelliltä ja voisin kuvitella, että tuon modeemin kanssa tilanne on täysin sama.

[jhss]

Kiitokset tästä. Ton kun olis tiennyt, olis säästynyt monta tuntia. Vasta monen tunnin säätämisen jälkeen löysin googlella vastaavia "ongelmia". Ei tullut mielenkään kokeilla yhteydenottoa ulkoa, kun ei se omaltakaan koneelta toiminu No loppu hyvin jne

 - J

[peran]

Vielä kun tietäis miten avataan X-ohjelma.

Herjaapi Display-asetuksista.

Tartteis käyttää scanneria etänä - tai olis kätevää jos vois käyttää Scanneria etänä.
Sitähän pystyy myös käyttämään komentoriviltä, mutten osaa sitäkään. 

Muistelen joskus nähneeni ko. asetuksia, vaikkaan ei ollut ssh-yhteydellä ja tais olla sunin unix.

[janne]

Vielä kun tietäis miten avataan X-ohjelma.

Herjaapi Display-asetuksista.

Tartteis käyttää scanneria etänä - tai olis kätevää jos vois käyttää Scanneria etänä.
Sitähän pystyy myös käyttämään komentoriviltä, mutten osaa sitäkään. 

Muistelen joskus nähneeni ko. asetuksia, vaikkaan ei ollut ssh-yhteydellä ja tais olla sunin unix.

ssh:n yli pystyy ajamaan X-ohjelmia jos käynnistää ssh-istunnon parametrilla -X ja ssh-serverillä on (muistaakseni) X11Forwarding päällä.

[peran]

ssh:n yli pystyy ajamaan X-ohjelmia jos käynnistää ssh-istunnon parametrilla -X ja ssh-serverillä on (muistaakseni) X11Forwarding päällä.

Jeps, -X vipu auttoi. Löysin Englanninkieliseltä foorumilta, kun en arvannut man-sivujen kertovan asiaa.

Koodia: [Valitse]

ssh -X <tunnus>@<ip>
Tällä sain pelittämään - tietenkin on huomioitava, että tallennukset menevät etäkoneelle. Hyvin kyllä toimii.

[apositio]

Kaks kysymystä:

Voiko oman koneen ip-tunnuksen muuttaa joksikin nimeksi (kirjainyhdistelmäksi). Numerosarjaa kun on vaikeampi muistaa ulkoa...

Ssh-yhteys toiselta koneelta omalle onnistuu, tiedostot siirtyvät jne., mutta jos loggaan koneellleni komentaen "ssh -X tunnus@ip" ja sitten kirjoitan kotikoneeni komentoriville vaikkapa Kate ohjelma ei käynnisty, vaan tulee virheilmoitus "kate: cannot connect to X server".

Mitens?

(Loisto Howto, vaikka Jannen mielestä "triviaali". Meitsille tuli ihan tarpeeseen tämäkin... )

[janne]

Kaks kysymystä:

Voiko oman koneen ip-tunnuksen muuttaa joksikin nimeksi (kirjainyhdistelmäksi). Numerosarjaa kun on vaikeampi muistaa ulkoa...

juu... sitähän nuo kaikki webbiosoitteet ovat
joudut rekisteröimän domainin (ja tietty hoitamaan tiedot DNS-palvelimelle) tai käyttämään jotain ilmaispalvelua.

domainin voi rekisteröidä vaikkapa täällä (tarjoaa myös DNS-palveluita ja mailiforwardeja):
http://joker.com/

ja ilmaispalveluita (maksullisin lisäpalveluin) ovat mm. nämä:
http://www.dyndns.com/
http://www.no-ip.com/

Ssh-yhteys toiselta koneelta omalle onnistuu, tiedostot siirtyvät jne., mutta jos loggaan koneellleni komentaen "ssh -X tunnus@ip" ja sitten kirjoitan kotikoneeni komentoriville vaikkapa Kate ohjelma ei käynnisty, vaan tulee virheilmoitus "kate: cannot connect to X server".

miltä koneelta olet yhteyden ottanut? pyöriihän sillä varmasti X-palvelin joka osaa näyttää tuon kyseisen sovelluksen ikkunan?

[apositio]

Hmmm... Yliopiston Unix-koneelta, jota käytin SSH:lla pöytäkoneeltä, otin yhteyden. Ehkäpä siinä tosiaan ei pyöri tota palvelinta... Milläs ton tsekkaa, että pyöriikö? Tnks! (Eh... täytyy kyl myöntää, etten kuuluis osastolle "ohjeita edistyneille" .. )

[Risto H. Kurppa]

Jos näet yliopiston koneella jotain graafista, esim. KDE tai Gnome tai vastaava työpöytäympäristö (kuin kotona Ubuntussasi) niin kyllä siinä varmastikin X pyörii. Tai jos saat käyntiin esim. firefoxin tai konquerorin yliopiston koneella niin pitäisi pelaa..

Windowsin puolella saman homman saa toimimaan softalla nimeltä winaXe (joka on siis X - serveri windowsille).

r

[apositio]

Jeps, toi winaXe oli tarpeen. Kiitos!

[Juhhe1]

Tulipa tuossa sellainen mieleen, että saanko jollain tapaa määritettyä että netistä päin ei pääsisi kirjautumaan ssh:lla käyttäjällä sisään jolla on sudo:t, mutta sisäverkosta pääsisi kirjautumaan myös sillä sisään?
Tämä on nyt vaan sen takia että en viitsisi pelata noiden avainten kanssa (ja ilmeisesti sitten ei onnistuisi esim albumin päivitys JAlbum softalla), mutta haluaisin kuitenkin hieman lisää turvaa (jos joku hoksaa käyttäjänimen ja saa murrettua salasanan niin silloinhan pääsee tekemään aivan mitä haluaa).

[GoRDoN]

Tulipa tuossa sellainen mieleen, että saanko jollain tapaa määritettyä että netistä päin ei pääsisi kirjautumaan ssh:lla käyttäjällä sisään jolla on sudo:t, mutta sisäverkosta pääsisi kirjautumaan myös sillä sisään?
Tämä on nyt vaan sen takia että en viitsisi pelata noiden avainten kanssa (ja ilmeisesti sitten ei onnistuisi esim albumin päivitys JAlbum softalla), mutta haluaisin kuitenkin hieman lisää turvaa (jos joku hoksaa käyttäjänimen ja saa murrettua salasanan niin silloinhan pääsee tekemään aivan mitä haluaa).

Pohdin itse samaa ongelmaa jokin aika sitten ja en suoraa ratkasua löytäny. Kiersin ongelman kuitenki siten, että määrittelin ssh:lle että vain käyttäjät, joilla ei ole sudo:n oikeuksia, saivat kirjautua.(Eli lisäsin sinne ssh:n asetustiedostoon vain käyttäjiä, joilla tuo sudo ei toiminut) Kirjaudun ensin tällaisella oikeudettomalla tunnuksella sisään, ja sitten vaihdan käyttäjän täksi toiseksi, jolla on sudo-oikeudet su-komennolla eli siis "su kayttaja_jolla_on_sudo_oikeudet ja tämän salasana.

[Juhhe1]

Tulipa tuossa sellainen mieleen, että saanko jollain tapaa määritettyä että netistä päin ei pääsisi kirjautumaan ssh:lla käyttäjällä sisään jolla on sudo:t, mutta sisäverkosta pääsisi kirjautumaan myös sillä sisään?
Tämä on nyt vaan sen takia että en viitsisi pelata noiden avainten kanssa (ja ilmeisesti sitten ei onnistuisi esim albumin päivitys JAlbum softalla), mutta haluaisin kuitenkin hieman lisää turvaa (jos joku hoksaa käyttäjänimen ja saa murrettua salasanan niin silloinhan pääsee tekemään aivan mitä haluaa).

Pohdin itse samaa ongelmaa jokin aika sitten ja en suoraa ratkasua löytäny. Kiersin ongelman kuitenki siten, että määrittelin ssh:lle että vain käyttäjät, joilla ei ole sudo:n oikeuksia, saivat kirjautua.(Eli lisäsin sinne ssh:n asetustiedostoon vain käyttäjiä, joilla tuo sudo ei toiminut) Kirjaudun ensin tällaisella oikeudettomalla tunnuksella sisään, ja sitten vaihdan käyttäjän täksi toiseksi, jolla on sudo-oikeudet su-komennolla eli siis "su kayttaja_jolla_on_sudo_oikeudet ja tämän salasana.

Tällaista ratkaisua itsekin ajattelin, mutta meinasin että jos ssh:n saisi jollain tapaa toimimaan tuolla mainitsemallani tavalla.
Entäs onnistuuko sellainen että rakentaisi ainakin apachen ja ssh:n chroot ympäristöön jotka toimisivat nettiin päin ja sitten sisäverkolle oma ssh joka toimii normaali ympäristössä?

[janne]

Tällaista ratkaisua itsekin ajattelin, mutta meinasin että jos ssh:n saisi jollain tapaa toimimaan tuolla mainitsemallani tavalla.

veikkaan, että tuota varten tarvitset kaksi sshd-prosessia eri configuraatioilla.

Entäs onnistuuko sellainen että rakentaisi ainakin apachen ja ssh:n chroot ympäristöön jotka toimisivat nettiin päin ja sitten sisäverkolle oma ssh joka toimii normaali ympäristössä?

eiköhän tuokin onnistu.

[Juhhe1]

Tänään on tullut näköjään pari murto yritystä jo. Mitäs nämä tarkoittaa?

Koodia: [Valitse]

Sep 13 10:02:08 tlp sshd[11720]: reverse mapping checking getaddrinfo for 200-232-23-132.customer.tdatabrasil.net.br failed - POSSIBLE BREAKIN ATTEMPT!

Sep 13 19:30:15 tlp sshd[12920]: Address 211.72.160.38 maps to tipnet.org.tw, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!

Kaikenlaisia usernameja näköjään on koitettu, mutta onneksi ei ole sattunut oikeaa.
Pitää varmaan ruveta nostamaan vähän "turvatasoa"

[raimo]

Entäs onnistuuko sellainen että rakentaisi ainakin apachen ja ssh:n chroot ympäristöön jotka toimisivat nettiin päin ja sitten sisäverkolle oma ssh joka toimii normaali ympäristössä?

Jailkit voisi olla tutustumisen arvoinen (Bluefish:n isin projekti): http://olivier.sessink.nl/jailkit/

Ei en ole testannut/sen tarkemmin tutustunut, mutta tuosta voisi olla apua?