Vaikka olemme lukeneet tämän oppaan Linuxin mielessä, tämä voi koskea myös OpenSSH: ta Mac OS X: ssä ja Windows 7: ssä Cygwinin kautta.
Miksi se on turvallinen
Olemme maininneet monta kertaa, kuinka SSH on erinomainen tapa yhdistää ja tunnistaa tietotiedot luotettavasti pisteestä toiseen. Otetaan lyhyt katsaus siihen, miten asiat toimivat, jotta saat paremman käsityksen siitä, miksi asiat voivat mennä outoa joskus.
Jos ajattelemme yhteysprosessia postina, niin FTP: llä ja Telnetillä ja vastaavilla ei ole tavallisia postituskirjekuoria. Se on enemmän kuin postikorttien käyttäminen. Jos joku astuu keskelle, he voivat nähdä kaikki tiedot, mukaan lukien molempien yhteyshenkilöiden osoitteet ja lähetetyn käyttäjänimen ja salasanan. He voivat sitten muuttaa sanomaa pitämällä tiedot samana ja esittävän yhden kirjeenvaihtajan tai toisen. Tätä kutsutaan "man-in-the-middle" -hyökkäykseksi, eikä se vain vaaranna tiliäsi, mutta se kyseenalaistaa jokaisen lähetetyn viestin ja vastaanotetun tiedoston. Et voi olla varma, puhutko lähettäjälle vai ei, ja vaikka oletkin, et voi olla varma, ettei kukaan katsele kaikkea välillä.
Katsokaamme nyt SSL-salausta, sellaista, mikä tekee HTTP: stä turvallisemman. Tässä meillä on postitoimisto, joka hoitaa kirjeenvaihdon, joka tarkistaa, onko vastaanottajasi kuka hän väittää olevansa, ja sillä on lakeja, jotka suojelevat sähköpostisi katsomista. Se on turvallisempi kokonaisuudessaan ja keskusviranomainen - Verisign on yksi HTTPS-esimerkillämme - varmistaa, että henkilö, jolle lähetät sähköpostia, tarkistaa. He tekevät tämän jättämällä kortteja (salaamattomia valtakirjoja); sen sijaan ne antavat todelliset kirjekuoret.
Kun selitys on niin pitkä, niin ajattelemme, että leikkaamme sen siellä. Jos sinulla on enemmän tietoa, voit tietysti keskustella kommenteissa. Katsokaamme nyt nyt SSH: n tärkeimmän ominaisuuden, isäntätodennuksen.
Host-avaimet
Isännän tunnistus on olennaisilta osin osa, johon luotettu henkilö ottaa kirjekuoren (sinetöity magian matematiikalla) ja vahvistaa vastaanottajan osoitteen. Se on melko yksityiskohtainen kuvaus osoitteen, ja se perustuu johonkin monimutkaiseen matematiikkaan, jota me vain ohitat. Siitä on kuitenkin pari tärkeätä asiaa:
- Koska ei ole keskusviranomaista, todellinen turvallisuus on isäntäavain, julkiset avaimet ja yksityiset avaimet. (Nämä viimeksi mainitut kaksi avainta on määritetty, kun sinulla on pääsy järjestelmään.)
- Yleensä, kun muodostat yhteyden toiseen tietokoneeseen SSH: n kautta, isäntäavain tallennetaan. Tämä tekee tulevat toimet nopeammin (tai vähemmän verbaalisesti).
- Jos isäntänäppäin muuttuu, sinut todennäköisesti hälytetään ja sinun pitäisi olla varovainen!
Koska isäntänäppäintä käytetään ennen todentamista SSH-palvelimen identiteetin määrittämiseksi, varmista, että avain tarkistetaan ennen yhteyden muodostamista. Näet vahvistusikkunan, kuten alla.
Sinun ei kuitenkaan pitäisi huolehtia, vaikka! Usein, kun turvallisuus on huolenaihe, siellä on erityinen paikka, että isäntäavaimen (ECDSA: n sormenjälki edellä) voidaan vahvistaa. Täysin online-hankkeissa usein se on vain turvallinen sisäänkirjautumissivustossa. Sinun on ehkä (tai valittava!) Soittaa IT-osastasi vahvistamaan tämä avain puhelimeen. Olen jopa kuullut joillakin paikoilla, joissa avain on teidän työlistalla tai erityisellä "hätänumerot" -luettelolla. Ja jos sinulla on fyysinen pääsy kohdekoneeseen, voit myös tarkistaa itsesi!
Järjestelmän isäntäavaimen tarkistaminen
On olemassa neljää erilaista salausalgoritmia, joita käytetään avainten käyttämiseen, mutta OpenSSH: n oletusarvo aiemmin tänä vuonna on ECDSA (muutamia hyviä syitä). Keskitymme siihen tänään.Tässä on komento, jota voit käyttää SSH-palvelimella, johon sinulla on pääsy:
ssh-keygen -f /etc/ssh/ssh_host_ecdsa_key.pub -l
Tuotoksesi pitäisi palauttaa jotain tällaista:
256 ca:62:ea:7c:e4:9e:2e:a6:94:20:11:db:9c:78:c3:4c /etc/ssh/ssh_host_ecdsa_key.pub
Ensimmäinen numero on avaimen bitin pituus, sitten se on itse avain, ja lopuksi sinulla on tiedosto, johon se on tallennettu. Vertaa tätä keskiosaa siihen, mitä näet, kun sinua kehotetaan kirjautumaan etäyhteyden kautta. Sen pitäisi vastata, ja olet kaikki asetettu. Jos näin ei ole, niin jotain muuta voi tapahtua.
Voit tarkastella kaikkia SSH: n kautta yhteydessä olleita isäntiä tarkastelemalla tunnettua tiedostosi tiedostoa. Se sijaitsee yleensä:
~/.ssh/known_hosts
Voit avata minkä tahansa tekstieditorissa. Jos näytät, yritä kiinnittää huomiota siihen, miten avaimet tallennetaan. Ne tallennetaan isäntätietokoneen nimen (tai verkko-osoitteen) ja IP-osoitteen kanssa.
Host-avainten ja ongelmien muuttaminen
On olemassa muutamia syitä, miksi isäntänäppäimet muuttuvat tai ne eivät vastaa tiedoston tunnettua tiedostoa.
- Järjestelmä asennettiin uudelleen / uudelleen.
- Isäntäavainta muutettiin manuaalisesti tietoturvaprotokollan vuoksi.
- OpenSSH-palvelin on päivittänyt ja käyttää erilaisia standardeja tietoturvaongelmien vuoksi.
- IP- tai DNS-vuokrasopimus muuttui. Tämä tarkoittaa usein, että yrität käyttää toista tietokonetta.
- Järjestelmä vaarantui jollakin tavoin siten, että isäntäavaus muuttui.
Todennäköisesti asia on yksi kolmesta ensimmäisestä, ja voit jättää muutoksen huomiotta. Jos IP / DNS-vuokrasopimus muuttui, palvelimella saattaa olla ongelma, ja sinut voidaan reitittää toiseen koneeseen. Jos et ole varma, mikä syy muutokseen on, sinun on luultavasti oletettava, että se on viimeinen luettelossa.
Miten OpenSSH käsittelee tuntemattomia isäntiä
SSH-yhteydet tuntemattomien isäntien kanssa (joiden avaimet eivät ole tiedossa tiedostossa) riippuvat kokoonpanosta riippuen.
- StrictHostKeyChecking on asetettu ei; OpenSSH muodostaa automaattisesti yhteyden mihin tahansa SSH-palvelimeen riippumatta vastaanottavan avaimen tilasta. Tämä on epäselvä ja sitä ei suositella, paitsi jos lisäät joukon isäntiä käyttöjärjestelmän uudelleenasennuksen jälkeen, minkä jälkeen muutat sen takaisin.
- StrictHostKeyChecking on asetettu kysyä; OpenSSH näyttää uudet isäntäavaimet ja pyytää vahvistusta ennen niiden lisäämistä. Se estää yhteydet menemästä muuttuneisiin isäntäavaimiin. Tämä on oletusarvo.
- StrictHostKeyChecking on asetettu kyllä; Päinvastoin kuin "ei", tämä estää sinua liittymästä johonkin isäntään, joka ei ole jo tiedossa tiedostosi tiedostossa.
Voit muuttaa tämän muuttujan helposti komentorivillä seuraavan paradigman avulla:
ssh -o 'StrictHostKeyChecking [option]' user@host
Korvaa [option] "ei", "kysy" tai "kyllä". Huomaa, että tässä muuttujaa ja sen asetusta ympäröi yksi suora lainaus. Vaihda myös käyttäjän @ isäntä, jossa palvelimen, johon olet yhteydessä, käyttäjänimi ja isäntänimi. Esimerkiksi:
ssh -o 'StrictHostKeyChecking ask' [email protected]
Muutetut avaimet estävät isännät
Jos sinulla on palvelin, jonka yrität päästä, sen avain on jo muuttunut, oletus OpenSSH-kokoonpano estää sinua pääsemästä siihen. Voit muuttaa StrictHostKeyChecking-arvoa isännälle, mutta se ei olisi täysin, perusteellisesti, paranoidisesti turvallinen, olisiko se? Sen sijaan voimme yksinkertaisesti poistaa rikkovan arvon tiedostosta known_hosts.
Sen sijaan meillä on hieno kehotus, johon voimme yksinkertaisesti vastata "kyllä".
Uusien avainsanojen luominen
Tietokannalle ei ole todellakaan mitään syytä vaihtaa isäntäsymboliasi, mutta jos tarvitset sitä koskaan, voit tehdä sen helposti.
Vaihda ensin oikeaan järjestelmänhakemistoon:
cd /etc/ssh/
Tämä on yleensä paikka, jossa globaalit isäntäsymbolit ovat, vaikka jotkut distrot ovat heidät sijoitettu muualle. Jos epäilet, tarkista dokumentaatiot!
Seuraavaksi poistetaan kaikki vanhat avaimet.
sudo rm /etc/ssh/ssh_host_*
Vaihtoehtoisesti voit halutessasi siirtää ne varmuuskopiointihakemistoon. Vain ajatus!
Sitten voimme kertoa OpenSSH-palvelimelle uudelleen määrittämään itsensä:
sudo dpkg-reconfigure openssh-server
Näet kehotteen, kun tietokone luo uusia avaimia. Ta-da!
Nyt kun tiedät SSH: n toimivan hieman paremmin, sinun pitäisi pystyä ottamaan itsesi pois kovista paikoista. Varoituksen / virheen "etäisännätunnistus on muuttunut" on se, joka heittää paljon käyttäjistä pois, jopa ne, jotka tuntevat komentorivin.
Bonuspisteissä voit tarkistaa kuinka kauko tiedostoja kopioidaan SSH: n kautta ilman salasanan syöttämistä. Sieltä oppii hieman enemmän muista salausalgoritmeista ja siitä, kuinka tärkeitä tiedostoja käytetään lisäämään turvallisuutta.
