SSH ja SFTP-palvelin [wiki]

[janne]

Tänään on tullut näköjään pari murto yritystä jo. Mitäs nämä tarkoittaa?

Koodia: [Valitse]

Sep 13 10:02:08 tlp sshd[11720]: reverse mapping checking getaddrinfo for 200-232-23-132.customer.tdatabrasil.net.br failed - POSSIBLE BREAKIN ATTEMPT!

Sep 13 19:30:15 tlp sshd[12920]: Address 211.72.160.38 maps to tipnet.org.tw, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!


tavallista kolkutteluahan tuo on, joskin osoitteen reverse mapping ei pelaa odotetusti, mikä voi tietty johtua spoofingista, mutta eipä sillä ole väliä... aivan samalla tavalla ne muutkin kolkuttelut ovat murtoyrityksiä vaikka niiden yhteydessä ei logissa niin lukisikaan.

Kaikenlaisia usernameja näköjään on koitettu, mutta onneksi ei ole sattunut oikeaa.
Pitää varmaan ruveta nostamaan vähän "turvatasoa"

no joo, jos käyttäjänimiä on vaikea arvata, niin se on jo pykälän verran turvallisempaa (joskin joku oli kai jo törmännyt matoon joka arvaili suomalaisilla nimillä). public key authenticationin kanssa homman pitäisi olla suht turvallista, vaikka käyttäjätunnuksenkin arvaisi oikein, sillä yhteys suljetaan silti heti, ellei oikeaa avainta tarjota samassa yhteydessä.

tietty jos kolkuttelut häiritsevät, niin ssh-palvelimen voi siirtää johonkin toiseen porttiin. madot yleensä yrittelevät vain tuota oletusporttia. aika harvoin minulle ainakaan on porttiskannauksia tullut.

[t-key]

SSH serveri toimii mainiosti sisäverkossa. Mutta haluasin päästä siihen käsiksi myös ulkoapäin ja se ei nyt pelitä. Linukassa käytän Firestarteria josta portti 22 on auki. Lisäksi minulla on SCM7004VBR kytkin/dsl-reititin. Laitteesta olen disabloinut palomuurin ja avannut linukan ip:lle portin 22. Ulkoapäin en kuitenkaan saa yhteyttä ssh-serveriini. Osaisikohan joku auttaa minua tässä ongelmassa?

[peran]

Vielä yksi kysymys ssh:sta. Saakohan jollain käskyllä mountattua ssh:hon ?

Pystyn kyllä kiertämään ko. ongelmaa, mutta olisi kätevämpää, jos ko. olisi mahdollista.

Edit - latasin paketin sshfs, mutten taidoillani onnistunut mounttaamaan sillä. 

[janne]

Vielä yksi kysymys ssh:sta. Saakohan jollain käskyllä mountattua ssh:hon ?

Pystyn kyllä kiertämään ko. ongelmaa, mutta olisi kätevämpää, jos ko. olisi mahdollista.

Edit - latasin paketin sshfs, mutten taidoillani onnistunut mounttaamaan sillä. 

Asmo Koskinen on kirjoittanut aiheesta HOWTO:n tänne foorumille:
http://forum.ubuntu-fi.org/index.php?topic=3938.0

[jhss]

Terve,

Näkyykö KAIKKI ssh-palvelimelle kohdistetut koputtelut/murtoyritykset oletuksena /var/log/auth.log:ssa? XP:n puolella F-Secure ilmoittelee aina sillon tällön porttiin 22 kohdistetuista koputteluista, mutta Ubuntun lokissa ei näy yhtä ainutta. Niin ja käytössä on julkisen avaimen autentikointi.

 - J

[janne]

Näkyykö KAIKKI ssh-palvelimelle kohdistetut koputtelut/murtoyritykset oletuksena /var/log/auth.log:ssa?

oletuksena kaikki kirjautumisyritykset ssh:n yli kirjataan sinne.

XP:n puolella F-Secure ilmoittelee aina sillon tällön porttiin 22 kohdistetuista koputteluista, mutta Ubuntun lokissa ei näy yhtä ainutta. Niin ja käytössä on julkisen avaimen autentikointi.

ehkä konettasi ei ole vielä "löydetty". voithan kokeilla itse logata joltain ulkopuoliselta koneelta omalle koneellesi ilman avainta ja katso tuleeko logiin mitään.

[Tonde]

Miten tuo käyttäjän tunnistus tapahtuisi pelkän salasanan suojaamana?

Saan yhteyden puttyllä,
voin syöttää käyttäjätunnuksen, mutta minkäänlaista salasanaa se ei hyväksy.

Muoks Putty yhdisti omaan ADSL purkkiini. Pääsin purkin tunnuksilla sisään.

[Marko]

Miten on onnistuuko tuon AllowUsers kohdan toteuttaminen niin että se hakisi ne sallitut userit tiedostosta?
Tätä kohtaa tarkoitan:

Koodia: [Valitse]

AllowUsers janne mikk0 ninnnu

[janne]

Miten on onnistuuko tuon AllowUsers kohdan toteuttaminen niin että se hakisi ne sallitut userit tiedostosta?

minkälaisessa tapauksessa olisit ajatellut käyttäväsi tuota? tai siis miksi hyväksytyt käyttäjä pitäisi luetella erillisessä tiedostossa?

[Marko]

Siis tarkoitukseni on luoda skripti joka lisää käyttäjiä koneelle ja antaa tarvittaessa ssh:n kautta pääsyn.
Siksi ajattelin että olisi hyvä laittaa skripti luomaan käyttäjät erillisiin tiedostoon.
Mutta voiko tämän toteuttaa myös muulla tavalla? Muuten kuin käsin sorkkimalla aina tuota tiedostoa 

[janne]

Siis tarkoitukseni on luoda skripti joka lisää käyttäjiä koneelle ja antaa tarvittaessa ssh:n kautta pääsyn.
Siksi ajattelin että olisi hyvä laittaa skripti luomaan käyttäjät erillisiin tiedostoon.
Mutta voiko tämän toteuttaa myös muulla tavalla? Muuten kuin käsin sorkkimalla aina tuota tiedostoa 

luo joku ryhmä ssh:n käyttämistä varten (vaikka sitten sshusers), lisää luodut käyttäjät tähän ryhmän ja käytä ssh-palvelimen konffissa määrettää AllowGroups johon sijoitat tuon luomasi ryhmän.

[Marko]

Lähdin taas tapani mukaan ajattelemaan liian monimutkasesti tätä asiaa

[Risto H. Kurppa]

Vielä tähän liittyen: ilmainen xserver - softa windowsille jota kuulin asioista tietävän tahon mainostavan: Xming

http://freedesktop.org/wiki/Xming


r

[JJK]

SSH yhteydet toimii loistavasti avainten kans ja X-ohjelmiakin voi ajaa. Kiitos Jannelle hyvistä ohjeista.

Anopilla sattuu "joskus" olemaan hieman ongelmia Ubuntun kans. Ja puhelimessa on hiemen hankala selittää, että kirjoita osoiteriville, kun se kirjoittaa kuitenkin googlen hakuriville. Ja ihmettelee, kun ei täällä ole sellaista mistä minä puhun. Tai jotain vastaavaa. 
Onko SSH:lla mahdollista nähdä mitä etäkoneen työpöydällä tapahtuu? Niin kuin VNC:ssä.

[janne]

Onko SSH:lla mahdollista nähdä mitä etäkoneen työpöydällä tapahtuu? Niin kuin VNC:ssä.

ei itsessään. ssh:n yli voi ajaa suoraan graafisia sovelluksia toiselta koneelta, mutta toisella koneella jo pyörivien sovellusten näyttäminen ei suoraan toimi. ssh:n kanssa voi kyllä käyttää myös vnc:tä. vnc-istunnon voi putkittaa turvallisesti internetin yli ssh-protokollan sisällä.

[JJK]

vnc-istunnon voi putkittaa turvallisesti internetin yli ssh-protokollan sisällä.

Nyt muistinkin, että olen lukenut siitä jostain.

Ehkäpä täältä
http://forum.ubuntu-fi.org/index.php?topic=2634.msg47762

[JJK]

Nyt sitten yritin Puttyllä ottaa yhteyttä toiseen koneeseen mutta logiin tupsahtaa tämä.

Koodia: [Valitse]

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2006.11.27 21:18:31 =~=~=~=~=~=~=~=~=~=~=~=
Using username "xxx".
Unable to use key file "D:\xxxx\id_dsa" (OpenSSH SSH-2 private key)
No supported authentication methods left to try!

Samaisesta koneesta kyllä Ubuntulla pääsee. Mutta toi Windows 
Mikähän asetus Puttyssä on perseellään?

[Nahjus]

Mikäs mulla on ongelmana kun lisään uuden käyttäjän ja yritän siihen putyssä mennä niin se antaa kyllä tunnuksen kirjoittaa mutta mitään salasanaa se ei hyväksy?

[Tonde]

Mikäs mulla on ongelmana kun lisään uuden käyttäjän ja yritän siihen putyssä mennä niin se antaa kyllä tunnuksen kirjoittaa mutta mitään salasanaa se ei hyväksy?

Mulla oli ensimmäisellä kerralla sellanen vika, että yhdistäminen ssh:n kautta ei tapahtunutkaan koneelle, vaan ADSL-reitittimelle. Yritä reitittimen tunnuksilla sisään, jos pääsee, konfaa reitittimen asetukset kuntoon.

Toinen vaihtoehto, että olet estänyt tuon käyttäjän kirjautumisen konffitiedosotossa.

[Nahjus]

Mikäs mulla on ongelmana kun lisään uuden käyttäjän ja yritän siihen putyssä mennä niin se antaa kyllä tunnuksen kirjoittaa mutta mitään salasanaa se ei hyväksy?

Mulla oli ensimmäisellä kerralla sellanen vika, että yhdistäminen ssh:n kautta ei tapahtunutkaan koneelle, vaan ADSL-reitittimelle. Yritä reitittimen tunnuksilla sisään, jos pääsee, konfaa reitittimen asetukset kuntoon.

Toinen vaihtoehto, että olet estänyt tuon käyttäjän kirjautumisen konffitiedosotossa.

Mulla ei kyllä ole reititintä. Tuo on kait vaan ihan normaali jakaja että saa useamman koneen samaan nettiin.