EZ ITT A REKLÁM HELYE

lenI

Netes megaszondás - Digital Craftmanship WEB, mobil, development, on-line media, VOD, social, Android, ios, mac... God bless the content! Disclaimer: lenI az Inda-labs és index.hu főmunkatársa volt. Jelenleg Cloud ügyi Agilis PO az EU-ban

Anno: 2010.01.24
HDA success: 2010.02.15

lenI on google
Coelhos

NAPSZÁM

Magyarorszag napja az Európai Unió tagja.
A régi radiocafé 98.6 napja hallgat. R.I.P.
De 2022.12.01-el megint van barátod: 98.0-on!

Any has gone napja, és szivárványt fest nekünk.

Zsozso pedig már napja mosolyogtat.

Krisi meg napja meg nem áll napközben.

Dédi has gone napja, és fentről szórja áldásait ránk.

Címkék

2009 (3) 2010 (47) 2011 (25) 2012 (16) 2013 (4) 2014 (6) ad (12) adobe (3) amazon (3) android (6) api (3) app (9) apple (12) blog (13) blog.hu (29) bloghu (23) browser (5) bug (8) business (3) cemp (5) chrome (5) cool (6) data (3) ddos (3) design (11) desire (3) dev (27) development (3) display (3) email (3) facebook (46) facepalm (8) fail (3) fejlesztés (4) fidesz (3) film (7) fix (3) flash (4) forum (4) gemius (4) gmail (6) google (42) gui (4) hackintosh (3) hirdetés (8) htc (4) hu (31) hvg (4) inda (50) indafoto (7) indamail (6) indanet (4) indavideo (14) index (49) index.hu (18) indexvideo (3) infographics (5) internet (84) internetadó (3) ios (5) ipad (6) iphone (7) IT (3) it (38) iwiw (10) jog (4) js (3) leni (9) like (6) linkedin (3) lol (10) london (3) lumia (4) mac (6) magyar (4) magyarország (5) mail (8) maps (4) market (3) marketing (4) media (12) memento (18) microsoft (10) mobil (30) mobile (3) mood (3) myspace (6) netflix (3) news (15) nokia (9) olimpia (3) online (8) origo (21) osx (8) phone (3) php (5) pinterest (3) player (3) politika (4) redesign (3) security (3) share (8) social (14) sweb (29) tech (10) trend (3) tumblr (6) twitter (14) up (5) update (6) usa (3) ux (8) vb2010 (5) videó (3) video (30) viral (3) vod (3) web (44) webdesign (3) windows (3) wow (3) yahoo (8) youtube (12) zizz (4) Címkefelhő

2011.09.28. 18:34 Leni

SSH vagy amit akartok - [techsider]

Címkék: tech geek it internet ssh security nerd keygen

Van az a pillanat - kinek előbb, kinek később - amikor egyszercsak magábaszippantja a szerver. Mert kénytelen belenézni, vagy mert csak úgy érdeklődik, hogy mi is történik ott. Ilyenkor szokott elhangozni az a bizonyos felvetés:

- Akkor küld át a kulcsodat és betesszük.

És ilyenkor ülünk bután egy percig, már ha nem vagynk benne nap mint nap a CGI zrééében, hogy akkor mi a tüdő legyen.

De miért is SSH - SecureSHell?

Ha robosztus és üzletileg fontos rendszereket fejelsztünk, üzemeltetük, akkor - nem bull-shit - üzleti kockázatot jelent a szervereink és szoftvereint rendelkezésreállása, sérthetetlensége, azok védelme. Igyekszünk megvédeni a cuccainkat az illetéktelenektől. Ennek egyik kézenfekvő módja, hogy elhagyjuk a standard FTP vagy sima TELNET alapú hozzáféréseket, becsukjuk a kritikus rendszereket, a felesleges és nehezen védhető kapukat. De valahogy kell beszélgetni a szerverrel. Erre használjuk az SSH protokollt, mely segít biztonságban tudni a kommunikációt a kliens és a szerver között.

Az SSH (szolgáltatás és egyben protokoll) publikus-kulcs alapú titkosítást használ, melyhez szükséges kulcspárt bárki elkészítheti magának. Egyrészt a publikus kulcsot melyet a rendszergazdák szoktak elkérni azért, hogy azt elhelyezzék a megfelelő szerveren. Másrészt a privát kulcsot - aminek nincs a végén .pub felirat, - biztonságba kell helyezni azon a gépen, melyről majd be fogunk jelentkezni.

Bevallom, halogattam soká a kulcsgenerálást, nem véletlenül. Szinte rituális a jelentősége eme tevékenységnek. Bizonyos szempontból olyan hogy megvan a szolgálatba helyezhetőség lehetősége. És az nem mindig tud jó lenni.

De azt vallom, jobb ha van és nem kell, mint ha nincs mikor kéne!

SSH keygen


És Én is néztem bambán, a fenti kérdésre, igaz csak 10 másodpercig. Aztán megérdeztem Kövit, hogy mivel is generálom a kulcsom OSX alatt - mert persze, hogy a Windows világban ott az univerzál Putty, de szerencsére nincs Windows.

Hát ez mint kiderült pofon egyszerű. Mindössze nyitni kell egy terminált és bepötyögni:
ssh-keygen -t RSA

Csupán azért RSA, mert leginkább ez a használatos. A program megfut és megkérdezi, hogy mi is legyen a keyfile neve. Ez esetben jobb egy olyan filenevet adni, ami alapján majd a remote rendszergazda azonosítani tud minket, mint forrást. Persze a keygen kiírja azt is, hogy defaultból hová is kéne tenni ezeket a file-okat - az esetek nagy százalélában csak meggenerálja a kulcsokat abba a könyvtárba ahonan éppen futtatjuk. 

A generáltor még bekér egy jelszót is, amivel a keyfile-t tudjuk védeni. Ha elsőként csinálunk ilyet, inkább ne adjunk meg semmit, csak próbáljuk beüzemelni a környezetet.

Két file jön létre:

lenikulcsa
lenikulcsa.pub

Értelem szerűen az utóbbi a publikus kulcsunk - azaz amelyet majd át kell lőni a rendzergazninak. Az előbbi pedig a mi privát kulcsunk, amit viszont érdemes jó biztonságba helyezni. (chmod 600)

Igen ám, de hová is kell tenni a kulcsot?

mint a keygen is mondja, és ezze egybehangzóan Kövi is, a privát kulcsot el kell helyezni az ssh számára megfelelő könyvtárba. Ez pedig az alábbi:

~/.ssh/

Ha ide berakjuk a kulcspot akkor remek. Persze lehet szofisztikát az ember és berakja a ~/.ssh/id_rsa alá, de akkor garantáltan ugat majd az SSH, hogy úr isten nem álltítottad be megfelelően a jogosultságokat. Ehhez jo tolni egy chmod 600 -t a kulcs filera.

És akkor várunk míg meg nem jön a visszaigazolás, hogy az elküldött .pub kulcs a helyére került.

Küzd és bízva bízzál.

Mindig figyelni kell arra amit a rendszergazik mondanak. Minden egyes szóra! Alapesetben a helyzet az, hogy a kulcspár valójában géphez és emberhez - azaz a gépen a userhez - tartozik. Amikor defaultból nekiduráljuk magunkat, hogy akkor ssh leniszerver.com akkor érhetnek nagy meglepetések. Erre az esetre jó ha megjegyezzük - amit én is Kövitől lestem el - a verbose mód kapcsolóját.

ssh -v leniszerver.com

Ilyenkor az SSH szépen mutatja a konzoon a folyamatokat. Az esetleges probléma okat. Gyorsan fény derülhet arra, hogy még sincs helyén a kulcs, vagy arra, hogy rossz userrel próbálkozunk.

Defaultból az SSH lepattintja a környezetből, hogy ki is a user a munkamentben. Ha azonban ez a user nem létezik a remote host-on akkor lehet nekünk bármilyen kulcsunk gondban vagyunk. Ugyanakkor a rendszergazda szokta mondani, hogy akkor most Pityipalko-ként kell bejelentkezni. Na ez amit én is elfelejtettem. 

ssh -v pityipalko@leniszerver.com

Ezzel lehet is garázdálkoni. Ugyanakkor innentől csak óvatosan. Ha véletlen rossz felé nyúlnk, akár a full rendszert beleküldhetük a dev null-ba!

Geek Update

Kövi már minap mondta, hogy Ő személy szerint konfigot szokott írni, mert ki tudja, hogy melyik géphez melyik kulcs és különben is. Beláttam tök igaza van. Főleg miután megírta a konfigot, amit szintén a fent említett könyvtárba kell helyezni config név alatt.

Host leniserver
HostName leniserver.com
IdentifyFile ~/.ssh/leni
User pityipalko
ForwardAgent yes  

Ha ezzel megvagyunk akkor már kezdődhet is rutinból a garázdálkodás. De tényleg, csak óvatosan.

Linkek: SSH config Unprotect WIKI 

Szólj hozzá!

EZ ITT A REKLÁM HELYE

A bejegyzés trackback címe:

https://leni.blog.hu/api/trackback/id/tr913263219

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása