Erinevus lehekülje "OpenSSH administreerimine" redaktsioonide vahel
(→Sissejuhatus) |
(→Sissejuhatus) |
||
| 2. rida: | 2. rida: | ||
OpenSSH http://www.openssh.org/ tarkvara võimaldab võrku ühendatud seadmetele, nt arvutitele ja ruuteritele turvalist kaugligipääsu üle avaliku võrgu. OpenSSH on üks OpenBSD projekti ettevõtmistest, mis on osutunud niivõrd populaarseks, et sellest on kujunenud praktiliselt kõigi 2009 aastal kasutuses olevate vabade operatsioonisüsteemide standardne kauguligipääsu korraldamise instrument. Lisaks on OpenSSH kasutuses ka mitmete mitte-vabade lahenduste juures, nt erinevate tootjate ruuterites. | OpenSSH http://www.openssh.org/ tarkvara võimaldab võrku ühendatud seadmetele, nt arvutitele ja ruuteritele turvalist kaugligipääsu üle avaliku võrgu. OpenSSH on üks OpenBSD projekti ettevõtmistest, mis on osutunud niivõrd populaarseks, et sellest on kujunenud praktiliselt kõigi 2009 aastal kasutuses olevate vabade operatsioonisüsteemide standardne kauguligipääsu korraldamise instrument. Lisaks on OpenSSH kasutuses ka mitmete mitte-vabade lahenduste juures, nt erinevate tootjate ruuterites. | ||
| + | |||
| + | Peale võimaluse üle võrgu nö teise arvuti käsureale jõudmise sisaldab OpenSSH muu hulga selliseid võimalusi | ||
| + | |||
| + | * sftp, scp - andmete kopeerimine | ||
| + | * turvaline transport muudele programmidele, nt rsync, Subversion, pppd, X | ||
| + | * portide edasisuunamine | ||
| + | * SOCKS server | ||
===OpenSSH paigaldamine=== | ===OpenSSH paigaldamine=== | ||
Redaktsioon: 30. august 2009, kell 21:37
Sisukord
Sissejuhatus
OpenSSH http://www.openssh.org/ tarkvara võimaldab võrku ühendatud seadmetele, nt arvutitele ja ruuteritele turvalist kaugligipääsu üle avaliku võrgu. OpenSSH on üks OpenBSD projekti ettevõtmistest, mis on osutunud niivõrd populaarseks, et sellest on kujunenud praktiliselt kõigi 2009 aastal kasutuses olevate vabade operatsioonisüsteemide standardne kauguligipääsu korraldamise instrument. Lisaks on OpenSSH kasutuses ka mitmete mitte-vabade lahenduste juures, nt erinevate tootjate ruuterites.
Peale võimaluse üle võrgu nö teise arvuti käsureale jõudmise sisaldab OpenSSH muu hulga selliseid võimalusi
- sftp, scp - andmete kopeerimine
- turvaline transport muudele programmidele, nt rsync, Subversion, pppd, X
- portide edasisuunamine
- SOCKS server
OpenSSH paigaldamine
Debian Lenny paketihalduses on olemas OpenSSH tarkvara versioon 5.1, tarkvara paigaldamiseks öelda
# apt-get install openssh-server
mille paigaldamise käigus paigaldatakse ka pakett openssh-client.
OpenSSH seadistamine
OpenSSH serveri tööd kontrollib seadistusfail
/etc/ssh/sshd_config
Süsteemis kasutatava OpenSSH kliendi tööd juhib globaalselst seadistusfail
/etc/ssh/ssh_config
kusjuures lisaks kontrollivad klientide SSH kasutamist nende kodukataloogis asuva kataloog .ssh sees sisalduvad failid
...
Hosti võtmete genereerimine
TODO
OpenSSH kasutajate chrootimine
Debian Lenny sisaldab piisavalt uut OpenSSH tarkvara versiooni, mis võimaldab kasutada ChrootDirectory direktiivi kasutajate chrootimiseks
$ ssh -V OpenSSH_5.1p1 Debian-5, OpenSSL 0.9.8g 19 Oct 2007
Kasutamiseks tuleb
- moodustada chroot kasutajate kodukataloogidesse chroot keskkond, nt makejail programmi abil; makejail kasutamist on kirjeldatud tekstis Operatsioonisüsteemi Debian GNU/Linux kasutamine#makejail abil chroot keskkonna moodustamine
- seadistada OpenSSH server kasutama vastavate kasutajate jaoks ChrootDirectory direktiivi
# cat /etc/ssh/sshd_config ... Subsystem sftp internal-sftp ... Match User mart,priit ChrootDirectory /home/%u AllowTCPForwarding no X11Forwarding no
kusjuures Match sektsioon peab esinema seadistusfaili lõpus, antud juhul on lisaks neil kasutajatel keelatud tcp ja x edasisuunamine.
- kasutaja kodukataloogi ja sellest üles jäävate kataloogide omanik:grupp peab olema root:root ning neisse kataloogidesse ei tohi saada keegi peale juurkasutaja kirjutada
Tulemusena saab kasutaja süsteemi sisse logida ssh ja sftp kliendiga ning see kataloog, mis on süsteemi jaoks tema kodukataloog on tema jaoks tema juurkataloog. Oluline on seejuures, et tavaliseks ssh ligipääsuks ei ole tarvis chroot keskkonda tekitada mingeid seadmeid, ega pole vaja ühendada külge mingeid failisüsteeme (nt /proc, /dev/pty vms) - tähendab, kasutaja ei saa süsteemis liialt ringi uurida ka siis, kui ta omale ise nt netstat ja ps utiliidid kopeerib.
scp klienti selliselt seadistatud serveriga kasutada ei saa, tundub, et scp eeldab paremat varustatust serveri poolelt, muuhulgas /dev/null seadet ja scp programmi). Praktiliselt ehk ei ole tingimata scp kasutamise võimalus ka väga oluline kuna nt WinSCP klient oskab sftp protokolli samuti kasutada.
PPP kasutamine üle SSH
TODO
SSH tunneli kasutamine
TODO
