abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    včera 13:55 | Nová verze

    Byla vydána verze 0.77 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu nových vlastností a oprav chyb a Change Logu.

    Ladislav Hagara | Komentářů: 0
    27.5. 12:11 | Nová verze

    SteamOS (Wikipedie) byl vydán ve verzi 3.2. Přehled novinek v oznámení.

    Ladislav Hagara | Komentářů: 1
    27.5. 09:00 | Nová verze

    SecureDrop (Wikipedie, GitHub) je open source platforma pro bezpečné a důvěrné sdílení informací mezi žurnalisty a jejich zdroji. Vydána byla nová verze 2.4.0.

    Ladislav Hagara | Komentářů: 0
    26.5. 20:33 | IT novinky

    Společnost Proton AG představila novinky ve svých službách Proton Mail, Proton VPN, Proton Calendar a Proton Drive. Služby jsou přístupné z nového webu proton.me. Aktualizován byl ceník. Představen nový vizuál.

    Ladislav Hagara | Komentářů: 1
    26.5. 19:22 | Nová verze

    Týden po vydání Red Hat Enterprise Linux (RHEL) 9.0 byl vydán jeho klon AlmaLinux 9. Podrobnosti v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 6
    26.5. 15:00 | IT novinky

    Broadcom kupuje firmu VMware za 61 miliard dolarů.

    Ladislav Hagara | Komentářů: 12
    26.5. 09:55 | Nová verze

    Google Chrome 102 byl s verzí 102.0.5005.61 prohlášen za stabilní. Opraveno bylo 32 bezpečnostních chyb. Přehled novinek na Chromium Blogu nebo na Chrome Platform Status. Oficiální přehled novinek (New in Chrome, YouTube) zatím nebyl publikován. Přehled novinek v nástrojích pro vývojáře je bez videa.

    Ladislav Hagara | Komentářů: 0
    26.5. 01:55 | Komunita

    The Open Source Software Security Mobilization Plan (pdf) je konsorciem The Linux Foundation zastřešen plán na zvýšení bezpečnosti open source softwaru.

    Ladislav Hagara | Komentářů: 2
    26.5. 00:11 | Zajímavý článek

    Minulý týden proběhla hackerská soutěž Pwn2Own Vancouver 2022. Máte-li na starost bezpečnost IT, výsledky vás nepotěší. Microsoft Teams, Oracle Virtualbox, Mozilla Firefox, Microsoft Windows 11, Ubuntu Desktop, Apple Safari, Tesla Model 3 Infotainment System. Vše potopeno. Demonstrované bezpečnostní chyby ve Firefoxu jsou již opraveny ve verzi 100.0.2.

    Ladislav Hagara | Komentářů: 0
    25.5. 13:22 | Nová verze

    Lokální úložiště Stratis (Wikipedie), alternativa k úložištím s ZFS a Btrfs, bylo vydáno ve verzi 3.1.0. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 5
    Na sociálních sítích nebo jiných webových diskuzích vystupuji pod
     (60%)
     (17%)
     (23%)
    Celkem 346 hlasů
     Komentářů: 29, poslední 24.5. 00:02
    Rozcestník


    OpenSSH - více než jen Secure Shell

    3. 9. 2007 | Pavel Šimerda | Bezpečnost | 12041×

    V minulém článku jste si mohli přečíst, jak nastavit OpenSSH, aby bylo bezpečné a přitom použitelné. Dneska trochu opustíme téma bezpečnosti a podíváme se, co nám OpenSSH nabízí kromě vzdáleného shellu. Pro větší pohodlí ještě projdeme některá užitečná nastavení.

    Konfigurace klienta

    Příkaz ssh (stejně jako i další související programy) čte globální konfiguraci z /etc/ssh/ssh_config a uživatelskou konfiguraci z ~/.ssh/config. Poslední slovo mají parametry příkazové řádky.

    Globální i uživatelský soubor se skládá ze sekcí podle jednotlivých serverů. Sekce začínají direktivou Host, za kterou následuje název serveru, který zadáváte jako parametr ssh. Nastavení, která mají platit pro všechny servery, patří do sekce Host *.

    Pro začátek vám ukáži, jak si ulehčit zadávání serverů s dlouhým názvem a alternativním portem.

    cat ~/.ssh/config
    
    Host prace
      HostName server.oddeleni.example.net
      User uzivatel_b00
      Port 1111
    
    $ ssh prace

    Bash completion

    Přečtěte si článek Bash: chytré doplňování od Michala Vyskočila (nebo se podívejte po dalších zdrojích v odkazech na konci článku) a nastavte si doplňování příkazů i pro OpenSSH.

    OpenSSH umí doplňovat názvy SSH serverů po stisku tabulátoru podle sekcí v konfiguraci a ~/.ssh/known_hosts (seznam známých serverů a jejich klíčů).

    $ ssh p<tab>
    

    Komprese

    SSH přenosy můžou být datově náročné. Pokud jsou oba počítače rychlé a práci zdržuje kapacita linky mezi nimi, může pomoct zapnutí komprese přepínačem -C.

    $ ssh -C uzivatel@example.net
    

    Alternativně můžete nastavit kompresi v konfiguračním souboru ~/.ssh/config.

    Host *
      Compression yes
    

    Komprese musí být povolena na serveru. Výchozí nastavení OpenSSH serveru (/etc/ssh/sshd_config) ji odkládá do úspěšného dokončení autentizace.

    Compression delayed

    Pouštíme grafické aplikace – X Forwarding

    Jedním z takových datově náročnějších použití SSH je spouštění vzdálených grafických aplikací (zapíná se přepínačem -X). Zkuste si takhle na serveru pustit nejdříve jednodušší aplikace a pak zkuste třeba Inkscape.

    $ ssh -C -X uzivatel@example.net xclock
    $ ssh -C -X uzivatel@example.net inkscape
    

    Opět můžete upravit konfiguraci a nastavit, pro které servery chcete používat X Forwarding automaticky.

    Host xserver
      HostName server.example.net
      ForwardX11 yes
    

    Spouštění grafických aplikací musí být povolené v konfiguraci SSH serveru (což většinou je).

    X11Forwarding yes
    

    File transfer – scp, sftp

    Přenosy souborů zajišťuje SFTP protokol (nebo starší SCP protokol). Oba se používají ve spojení s SSH. K dispozici jsou dva konzolové programy: scp (ovládá se podobně jako cp (relativní cesty na vzdáleném stroji se vztahují k domovskému adresáři) a sftp (nabízí podobné rozhraní jako klasický příkaz ftp).

    $ scp clanek.html uzivatel@example.net:
    $ scp clanek.html uzivatel@example.net:work/
    $ scp uzivatel@example.net:/etc/hosts hosts.example
    $ scp hosts.example root@example.net:/etc/hosts
    $ sftp uzivatel@example.net
    

    Přenos souborů pomocí SSH (a SFTP) je podporován mnoha grafickými aplikacemi. Patří mezi ně všechny aplikace založené na KDE (KIO), lepší správci souborů, systémy pro správu verzí a další. Za zmínku stojí i WinSCP (nápadně podobný Total Commanderu), který se hodí, pokud se potřebujete k souborům dostat z Windows nebo po někom chcete, ať vám uloží soubory do počítače.

    SFTP subsystém musí být nastaven na serveru (většinou je).

    Subsystem       sftp    /usr/lib/misc/sftp-server

    Uživatel připojuje vzdálený adresář – sshfs

    Pro pohodlnější práci se někdy hodí připojit si vzdálený adresář do lokálního filesystému. K tomu slouží FUSE a na něm postavený sshfs (který používá SFTP protokol). Nainstalujte si ho a zkuste připojit nějaký vzdálený adresář (to můžete i jako běžný uživatel, pokud vám přípojný bod patří). Samozřejmě můžete vzdálený filesystém zase odpojit.

    $ mkdir pripojny_bod
    $ sshfs uzivatel@example.net:/adresar/ktery/chcete pripojny_bod
    $ ls pripojny_bod
    $ fusermount -u pripojny_bod
    $ rmdir pripojny_bod
    

    I když je váš počítač za IP maškarádou (často zjednodušeně nazývanou NAT), můžete pomocí SSH připojit váš lokální disk do adresáře na serveru (tzn. opačně než v předchozím příkladu). Využívá se k tomu přesměrování portů pomocí SSH, kterým se bude zabývat příští článek.

    Administrátor zpřístupňuje síťový adresář – sshfs a fstab

    Pokud chcete zpřístupnit nějaký adresář při startu systému, využijte konfigurační soubor /etc/fstab.

    Pokud root nemá ssh klíč, měli byste ho vygenerovat (aby vše fungovalo, nesmí být klíč chráněný passphrase). Na straně serveru pak doporučuji založit pro tyto účely samostatný účet a přidat mu veřejný klíč serveru. Tentokrát výjimečně provádíme všechny příkazy za roota. Ten poslední je jen pro budoucí kontrolu.

    # ssh-keygen -t dsa -N ''
    # scp /root/.ssh/id_dsa.pub root@example.net:root_id_dsa.pub
    # ssh root@example.net
    root@example.net# adduser ssh_share --system --home /data --shell `find /usr -iname sftp-server | head -1` --group
    root@example.net# mkdir -p ~ssh_share/.ssh
    root@example.net# cat /root/root_id_dsa.pub >> ~ssh_share/.ssh/authorized_keys
    root@example.net# touch ~ssh_share/funguje_to

    Samozřejmě za adresář /data můžete dosadit, co chcete. Teď vyzkoušíme, jestli je konfigurace v pořádku. Všechny příkazy voláme za roota na klientovi a musí projít bez zadávání hesla nebo passphrase.

    # mkdir test_sshfs
    # sshfs ssh_share@example.net: test_sshfs
    # ls test_sshfs
    funguje_to
    # fusermount -u test_sshfs
    # rmdir test_sshfs

    Vypsání souboru funguje_to ukazuje, že vše funguje, jak má. Už zbývá jen přidat příslušný řádek do /etc/fstab.

    sshfs#ssh_share@example.net: /mnt/data fuse allow_other 0 0

    Místo /mnt/data můžete vybrat přípojný bod, který se vám hodí. Volba allow_other znamená, že bude filesystém čitelný i pro ostatní uživatele.

    # mount -a

    Pokud vše proběhlo v pořádku, gratuluju vám k úspěšnému spuštění síťového filesystému na bázi SSH. V některých případech je použití sshfs jednodušší a účelnější než konfigurace plnohodnotného síťového filesystému.

    Závěrem

    Další aplikace zabezpečují pomocí SSH svoji komunikaci. Systém pro správu verzí Git používá SSH jako výchozí protokol pro operace se vzdálenými repozitáři. Program rsync pro synchronizaci vzdálených adresářů standardně také používá SSH ke spojení se vzdálenými stroji.

    Příště si zkusíme prostřednictvím OpenSSH přesměrovávat TCP porty (jak jsem už slíbil) a také spojit fyzické sítě ve VPN.

    Nejčtenější články posledního měsíce

    Týden na ITBiz: Excitony mohou proudit materiálem i při pokojové teplotě
    Prodej softwaru v květnu: doživotní licence Windows 10 za € 11 , Office za € 23 a až 91% slevy!
    Týden na ScienceMag.cz: Proč ve vesmíru hledat hlavně technosignatury

    Nejkomentovanější články posledního měsíce

    Jaderné noviny – přehled za duben 2022
      všechny statistiky »

    Související články

    SSH - Kompletní průvodce
    SSL - je vaše bezpečné připojení opravdu zabezpečené?
    SSL - 1 (certifikáty)
    SSL - 2 (elektronický podpis)
    IPSec na Linuxu, krok za krokem - 1
    IPSec na Linuxu, krok za krokem - 2
    IPSec v kernelu 2.6 - I
    IPSec v kernelu 2.6 - II
    Zabezpečení sítí Cisco
    Šifrované filesystémy - I
    Šifrované filesystémy - II
    IPTraf - sledování sítě v reálném čase
    Podepisování a šifrování s GnuPG
    Bezpečný FTP server: glFTPd
    MessageWall - kladivo nejen na spam
    Bezpečnost v Linuxu
    Recenze: Kniha kódů a šifer
    Velký průvodce protokoly TCP/IP: Bezpečnost
    VNC - používáme vzdálený desktop

    Odkazy a zdroje

    Wikipedia: SSH
    SSH, the Secure Shell, 2nd Edition (RFC 4251)
    OpenSSH
    ssh_config - OpenSSH SSH client configuration files
    TIP TAB-completion (Gentoo Wiki)
    An introduction to bash completion (Debian Administration)
    SSH Filesystem
    SSHFS FAQ

    Další články z této rubriky

    V sobotu se uskuteční konference CryptoFest
    Pozor na androidové aplikace
    Silent Circle představil bezpečný smartphone Blackphone 2
    Android je bezpečnější, řada hrozeb však stále přetrvává
    Avast varuje před nebezpečnými aplikacemi v Google Play
           

    Hodnocení: 96 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    the.max avatar 3.9.2007 00:19 the.max | skóre: 46 | blog: Smetiště
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    moc dobra "referencni prirucka". konecne sem pochopil par veci jak pouzit spravne parametry;-)
    KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
    3.9.2007 02:17 mykhal | skóre: 6
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    neví někdo o nějaké ssh implementaci v GnuTLS ?
    3.9.2007 08:30 netservis | skóre: 6 | České Budějovice
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Perfektní článek, dík.
    3.9.2007 09:52 hanc
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    moc hezkej clanek, diky ! jen tak dal :)
    pavlix avatar 12.9.2007 10:32 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Díky všem za pochvaly, jj, jakmile bude čas, navážu dalším povídáním.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    3.9.2007 10:04 pet
    Rozbalit Rozbalit vše XForwarding
    XForwarding u ssh je velice dobra vec, bohuzel pro nektere aplikace nefunguje. Podle mych zkusenosti jsou to aplikace pouzivajici gtk2. Pokud nekdo vi co s tim, tak bych byl mooc rad.
    3.9.2007 10:54 Petr Šigut | skóre: 34 | blog: PhaX_blog
    Rozbalit Rozbalit vše Re: XForwarding
    Mi to funguje normálně z krabice... teď jsem zkusil na Gimpovi
    3.9.2007 11:58 Petr "Glubo" Sýkora | skóre: 21 | blog: Glubnik
    Rozbalit Rozbalit vše Re: XForwarding
    Běžně xforwarduji aplikace používající gtk2, nenarazil jsem na žádný problém. Jak se ta chyba projevuje?
    „O mrtvých jen v dobrém." „Pojďme se bavit o Stalinovi."
    3.9.2007 13:30 SigTERM
    Rozbalit Rozbalit vše Re: XForwarding
    tohle ti mozna pomuze, mluvi se tam cosi o ssh -Y hostname misto ssh -X hostname

    http://gentoo-wiki.com/HOWTO_X-forwarding
    3.9.2007 22:22 Peter Šantavý | skóre: 22 | blog: Obcasnik
    Rozbalit Rozbalit vše Re: XForwarding
    XForvarding funguje aj s gtk2 aplikaciami (u mna s Fedora a CentOS v roznych verziach).

    Problemom bude nieco ine...
    4.9.2007 09:49 pto
    Rozbalit Rozbalit vše Re: XForwarding
    Někde mi při problémech s gtk2 pomohlo přidat do cfg kromě:

    ForwardX11 yes

    ješte:

    ForwardX11Trusted yes
    3.9.2007 10:31 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    jen podotykam, ze FUSE a sshfs neni a nikdy nebude soucasti OpenSSH projektu!

    jinak, co jsme se dozvedeli? nic zajimaveho... skoda.
    3.9.2007 12:22 diverman | skóre: 32 | blog: život s tučňáčkem
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    tak napis pokracovani, kde se teda dozvime neco zajimaveho...
    deb http://ftp.cz.debian.org/debian jessie main contrib non-free
    3.9.2007 13:29 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    na konci I. dilu autor zadal o tipy na temata, dostal jich kopec... bohuzel zustal u zakladu, ktery zna kazdy uzivatel unixu, co neklika, jak zbesily :)

    takze staci mrknout do diskuse k I. dilu...

    napriklad jeste technicka... pri vyhradnim pouzivani sftp-serveru nefunguje scp, protoze scp neni nic jineho nez vstup presmerovany pres pipe (ssh) a vystup do remote shellu. upozornuji na slovo 'vyhradnim', ctenar muze sam vyzkouset pri pouziti ForceCommand :)

    hehe... kolega mi rekl, "kdo pouziva scp...?"... wow, ja tedy osobne pouzivam, vetsinou pouze scp :)
    3.9.2007 13:48 diverman | skóre: 32 | blog: život s tučňáčkem
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    tady nekdo sezral vsechnu moudrost sveta
    deb http://ftp.cz.debian.org/debian jessie main contrib non-free
    3.9.2007 14:03 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    na konci I. dilu autor zadal o tipy na temata, dostal jich kopec... bohuzel zustal u zakladu, ktery zna kazdy uzivatel unixu, co neklika, jak zbesily

    Vy v tom článku někde vidíte napsáno, že je tento díl poslední? Já tam naopak na konci vidím zmínku o tom, co bude v příštím dílu, očekával bych tedy, že nejméně jeden ještě bude. Takže by asi bylo lepší s hodnocením, u čeho autor zůstal nebo nezůstal, počkat až na konec seriálu…

    3.9.2007 14:39 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    no... pro mene chapave a ty, jenz se citi stale ukrivdeni a maji pocit, ze jim nekdo ublizuje (coz neni autor, ale nekteri ctenari) :), bych rad objasnil to, co jsem napsal...

    ...zatim je to porad dokola, coz je praveze skoda. aktualni dil ci podobne variace najdeme na root.cz, krypta.cz ci linuxsoft.cz - ten je povedeny dle meho nazoru - http://www.linuxsoft.cz/article.php?id_article=265

    ten, kdo ssh pouziva kazdy den, a tipuji, ze hodne lidi, to vse zna. ten, kdo nezna, tak si vystaci s prvnim dilem...

    (zde bych osobne napsal o srovnani openssh clienta a putty, napriklad v praci jsem jediny, kdo zavrhl putty a pouziva X/Cygwin...; pocity a pouzitelnost)

    napriklad je tu porad dokola dotaz na ssh a chroot. doufam, ze tohle bude neco, co autor rozhrabne, a bude to originalni clanek na poli ceskeho unix internetu. snad se to ale nezvrhne v 15minutovou pripravu se zaverem pouzivejte rssh...

    proste chtel jsem rict, ze tu chybi neco originalniho, neco co jde do hloubky, neco co resi ruzne pohledy a co je i trochu provokativni a atakuje neustale stereotypy. kvalitni clanky, plne informaci a zamysleni, jsou to, co dela jeden portal dobrym a druhym prumernym :)
    3.9.2007 14:49 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    A pro ty ještě méně chápavé: hodnotit hloubku seriálu po druhém dílu, když nevím, kolik jich bude, je blbost. Howgh.
    pavlix avatar 12.9.2007 10:33 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Ve chvíli, kdy jsem dostal tipy, byl tento díl už sepsán a bohužel autor neměl na změny ve článku čas.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    LFCIB avatar 3.9.2007 13:10 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    jinak, co jsme se dozvedeli? nic zajimaveho... skoda.
    Proč to množné číslo? Mluv za sebe laskavě. Nebo je vás tam víc? Víc machýrků co už všechno uměj, tak čtou abclinuxu?
    -=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux
    pavlix avatar 12.9.2007 10:36 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Jinak na hloubkové poznání SSH doporučuju číst manuál.

    A nepamatuju si, že bych tvrdil, že sshfs je součástí OpenSSH. V článku zmiňuju i WinSCP a toho jsi se kupodivu nechytil.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    AsciiWolf avatar 3.9.2007 11:16 AsciiWolf | skóre: 40 | blog: Blog
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Skvělý článek,hned jsem vyměnil mé vsftpd za sftp :-)
    3.9.2007 16:04 disorder | blog: weblog
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    tomuto nerozumiem? vsftpd umoznuje povolit len sifrovane spojenia (skus miesto obycajneho ftp nainstalovat ftp-ssl)
    AsciiWolf avatar 3.9.2007 21:08 AsciiWolf | skóre: 40 | blog: Blog
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    No,jde o to,že jsem vsftpd provozoval na stroji z 32MB ram + mi tam běžel ořezaný ssh server (dropbear)...

    Takže mi přišlo o moc lepší nainstalovat tam sftp modul pro sshd a odinstalovat vsftpd,který bral zbytečně 6MB RAM - ušetřil jsem 6 MB RAM :)

    4.9.2007 15:01 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    vsftpd-2.0.3 na i686 mi zabira v pameti 1740 kB.
    AsciiWolf avatar 3.9.2007 21:10 AsciiWolf | skóre: 40 | blog: Blog
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Btw. navíc na co používat 2 démony (sshd + vsftpd s šifrovaným spojením,když mohu mít jen jednoho démona (sshd) s sftp modulem ;)
    4.9.2007 00:01 disorder | blog: weblog
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    ssh a ftp nie su volne zamenitelne sluzby :)
    8.9.2007 13:35 jaja
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    v tomto se ale vsftp s sftp potkava. a o tom tu je rec.

    duvodem proc to nedelat je rychlost. sftp je temer o rad pomalejsi. coz se vsak u beznych operaci neprojevuje. pouze pokud sdilite velky objem dat je sftp nevyhodne - je vsak pravdou, ze tam uz nedostacuje ani vsftp. obvykle se tam pouziva nfs. jakmile do toho jeste zamichame spotrebu syst. zdroju (ram,cpu) tak nalezeni vhodne technologie je netrivialni.
    8.9.2007 22:50 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    sftp je temer o rad pomalejsi. coz se vsak u beznych operaci neprojevuje.

    V jakém smyslu je "téměř o řád pomalejší"?

    pavlix avatar 12.9.2007 10:38 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Dík, jsem rád, že pomohlo, btw, co to provozuješ za mašinu?
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    3.9.2007 15:19 Radek Hladik | skóre: 20
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Reším takový "jednoduchý" problém. Chtěl bych, aby se root mohl přihlásit jenom z localhostu. Nebo alespoň aby se ze sítě mohl přihlásit jen klíčem a z localhostu i heslem.

    Myslel jsem si, že to bude poměrně jednoduché, OpenSSH má přece AllowUsers direktivy a spol... Jenže po chvíli laborování a koukání do zdrojáků, se mi zdá, že to nepůjde.

    Zjistil jsem totiž, že OpenSSH u vyhodnocování direktiv *Users víceméně ignoruje znak ! jako negaci. U vyhodnocení části s username se volá funkce match_pattern, která ! už nevyhodnocuje. U vyhodnocení adresy se sice volá fce match_patterns, která sice ! v potaz bere, ale poměrně zamotaně, což ve finále vede k tomu, že to také nefunguje.

    Takže nápady jako AllowUsers root@localhost !root nebo DenyUsers root@!localhost bohužel nefungují.

    Stejně tak omezení uživatele pomocí direktivy Match mi nepomůže, protože nemůžu omezit nic významného.

    Neřešil jste někdo podobný problém? Rád bych to vyřešil přímo v sshd, vím že to můžu udělat třeba přes pam_access, ale tohle by přece SSH daemon mohl zvládnout...

    Radek
    3.9.2007 15:21 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    novejsi verze OpenSSH maji Match v man sshd_config

    a posledni verze OpenSSH to rozsiruje i pro definovani zpusobu autentifikace.
    3.9.2007 15:23 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config
    Match   Introduces a conditional block.  If all of the criteria on the
            Match line are satisfied, the keywords on the following lines
            override those set in the global section of the config file, un-
            til either another Match line or the end of the file.  The argu-
            ments to Match are one or more criteria-pattern pairs.  The
            available criteria are User, Group, Host, and Address.  Only a
            keyword.  Available keywords are AllowTcpForwarding, Banner,
            ForceCommand, GatewayPorts, GSSApiAuthentication,
            KbdInteractiveAuthentication, KerberosAuthentication,
            PasswordAuthentication, PermitOpen, RhostsRSAAuthentication,
            RSAAuthentication, X11DisplayOffset, X11Forwarding, and
            X11UseLocalHost.
    3.9.2007 15:30 Radek Hladik | skóre: 20
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Tuhle man page na netu jsem taky potkal, leč ve Fedoře 5,6 a 7, ve kterých to potřebuju, je bohužel zatím jen toto:

    Available keywords are AllowTcpForwarding, ForceCommand,GatewayPorts, PermitOpen, X11DisplayOffset, X11Forwarding, and X11UseLocalHost.

    Nevím proč to tak je, ale obávám se, že balíček s novou verzí pro všechny verze Fedory asi nebude. A použití nedistribučních balíčků bych se rád vyhnul. Na druhou stranu, pokud už se rozhodnu použít jiný, tak si tam můžu přidat i patch na podporu LDAPu, který by se mi tam docela taky hodil :-)

    Radek
    3.9.2007 18:07 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    no tak to se musis rozhodnout sam, jestli pouzivat distro s obstarozni verzi OpenSSH nebo ne :)

    myslim, ze ./configure && make install funguje stale :)

    patch na LDAP? no nevim, ale na Linuxech se to resi pres PAM...
    $ uname -sr ; ssh -V
    OpenBSD 4.1
    OpenSSH_4.6, OpenSSL 0.9.7j 04 May 2006
    3.9.2007 18:18 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    no a taky by to snad slo (pouze prihlaseni) pres /etc/hosts.allow, pokud je sshd zkompilovano proti TCPWrappers
    $ ldd /usr/sbin/sshd  | grep wrap
            libwrap.so.0 => /lib/libwrap.so.0 (0xb7f54000)
    10.9.2007 12:19 Jouda
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    s/autentifikace/autentizace/

    to první je nesmysl pane jiří ;-)
    pavlix avatar 12.9.2007 10:40 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Spíš drobná chybka, když jde jen o komentář :).
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    3.9.2007 15:28 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    A chcete, aby se root z localhost u připojoval přes ssh? Pokud ne, stačí PermitRootLogin no. Pokud z nějakého důvodu potřebujete povolit lokální přihlášení roota přes ssh, asi bude dobré prozdradit důvod, proč to tak potřebujete (třeba se najde jiné řešení).
    3.9.2007 15:37 Radek Hladik | skóre: 20
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Právě, že bych rád aby se přihlašoval přes SSH. Protože bych tak poměrně elegatně obešel su. V současnosti řešíme administraci serverů tak, že se přihlásí uživatel a pak si udělá su. K tomu musí znát rootovské heslo. Já bych rád, aby se to udělalo tak, že se uživatel přihlásí svým klíčem a potom udělá ssh root@localhost a root bude mít nastavené klíče, které se smí přihlásit. Půjde tak lépe hlídat kdo se smí přihlásit a lépe půjde odebrat někomu možnost přihlásit se jako root, než mu mlátit do hlavy, aby zapoměl heslo. :-) Na druhou stranu bych chtěl nechat možnost přihlásit se heslem, pokud tohle nějak selže.

    Když tak teď o tom přemýšlím, tak možná bude stačit, když zapnu PermitRootLogin without-password a to su zůstane jako ta nouzovka. Ale pak se půjde ze sítě přihlásit jako root rovnou, bez použití neroot uživatele... Ale to by možná nemuselo zas až tak vadit...

    Radek
    3.9.2007 15:41 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    A nebylo by jednodušší použít pam_wheel, které přesně k tomuhle slouží?
    3.9.2007 15:52 Radek Hladik | skóre: 20
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Tak a jsem zase jednou za debila :-) Tolik jsem se soustředil na použití SSH a klíčů, že jsem znova vymýšlel kolo (a to doslova :-) ) A přitom pam_wheel používáme na omezení, kdo vůbec smí udělat su. Tak mu jen nahodim sufficient a bude to. Díky za nakopnutí...

    Radek
    3.9.2007 18:31 CentrinO | skóre: 12
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Ahoj,
    jeste bych pridal ze podobnou zalezitost je asi vhodne resit i pomoci sudo, ktere je na neco podobneho taky delane. Hezky den preje
    3.9.2007 18:59 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    sudo je dobre, ale ne vselekem. jestli ma nekdo blbe napsany /etc/sudoers, tak nekdo muze z povoleneho programu ziskat root shell a je po logovani :)

    takze, bud verime, a mame tu nejakou dohodu s uzivateli... nebo holt se podivame po paranoidnim resenim - tj. auditing a RBAC a MAC.
    5.9.2007 11:59 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    A kdyz udela su - tak nebude mit root shell? IMHO je v tomto mnohem lepsi pouzit sudo nez dat uzivateli moznost prihlasit se suckem. Kdyz ma nekdo blbe napsany sudoers tak to je jeho problem. To uz muzete taky argumentovat, ze kdyz nekdo nema na roota heslo, tak nekdo taky muze ziskat root shell :)
    Překladač ti nikdy neřekne: "budeme kamarádi"
    Milan 3.9.2007 21:23 Milan "Nemo" Cingroš | skóre: 27 | blog: Nautilus | Plzeň
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Příkazem sudo -s dostaneme root shell a uživatel zadává vlastní heslo. Ale pravidla bezpečnosti stejně říkají, že pokud měl někdo přístup k root shellu, tak jediná možnost, jak zajistit bezpečnost po jeho odchodu je přeinstalovat počítač...
    Soutěžte na české LinuxWiki a vyhrajte plyšového Tuxe.
    3.9.2007 21:37 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Na systému se standardním bezpečnostním modelem… Takový SELinux nebo LIDS dokážou i toho roota docela efektivně přidusit. Vlastně i AppArmor…
    3.9.2007 21:45 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - vice nez jen Secure Shell
    no bylo to mysleno tak, ze spousty programu maji moznost jit do shellu - vi/vim, ftp atd...

    tyhle pravidla bezpecnosti jsou vtipny :) u nas v praci ma rootshell desitka lidi, no nevsiml, jsem si ze to porad preinstalovavaji :)
    Milan 5.9.2007 10:02 Milan "Nemo" Cingroš | skóre: 27 | blog: Nautilus | Plzeň
    Rozbalit Rozbalit vše Re: OpenSSH - vice nez jen Secure Shell
    Vždycky se musí udělat kompromis mezi "absolutní" bezpečností a použitelností. Obvykle se po prvním průšvihu snižuje použitelnost a zvyšuje bezpečnost :-) A když má rootshell desítka lidí, tak je to asi stejně jedno :-)
    Soutěžte na české LinuxWiki a vyhrajte plyšového Tuxe.
    pavlix avatar 12.9.2007 10:42 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Dá se to nakonfigurovat i bez hesla.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    3.9.2007 16:06 disorder | blog: weblog
    Rozbalit Rozbalit vše ssh -X / ssh -Y
         -Y      Enables trusted X11 forwarding.  Trusted X11 forwardings are not
                 subjected to the X11 SECURITY extension controls.
    
    vsetko je v manuale
    3.9.2007 16:09 Dr.Tič
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Mne se ten clanek taky libi. I kdyz programy z baliku OpenSSH (a z doplnkovych baliku) pouzivam kazdy den a podobnych clanku jsem uz par cetl, tak i presto jsem tu nasel nekolik veci, ktere pro me byly nove nebo jsem si aspon upresnil nektere informace. Takze celkovy dojem - dobry clanek.
    3.9.2007 20:12 laoce
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Aj mne sa ten clanok velmi pacil ..ssh pouzivam denne v praci ale mnohe veci tu uvadzane mi boli nie uplne jasne :o) takze moc diki za clanok a pevne nervy v pokracovani :o) drzim palce!!! :o))
    4.9.2007 09:03 alanos | skóre: 24 | blog: alanos
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Pokud si spustím nějakou aplikaci přes ssh -C -X , dá se nějak udělat aby aplikace běžela dál na vzdáleném počítač i po ukončení na mém X.? Konkrétně když si ze vzdáleného počítače pustím třeba GFTP a dám něco stahovat aby to běželo dál . Já to sice řeším přes VNC ale jen se chci zeptat jestli to jde nějak přes ssh.
    4.9.2007 11:48 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    rekl bych, ze ne. X client je svazan s urcitym displayem a ten by zmizel...
    4.9.2007 11:50 alanos | skóre: 24 | blog: alanos
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Já si to myslel ale za optáni člověk nic nedá :o) . V navodech jsem taky nic nevyčetl.
    4.9.2007 14:22 Abraxis
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Co takhle "nohup"? Ale uz se asi k aplikaci znovu nepripojis...
    5.9.2007 01:12 jiri.b | skóre: 30 | blog: jirib
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    to je podle me nesmysl, X client musi mit platny X display...

    ...vsak si zkuste spustit X aplikaci v konzoli, skocite na X diplay problemu
    pavlix avatar 12.9.2007 10:47 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Neznám způsob, ale neřekl bych, že je to úplně nemožné.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    fabian avatar 4.9.2007 10:48 fabian | skóre: 18
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Pekny clanek. O sshfs jsem nevedel a hned se mi to hodi. Diky:)
    8.9.2007 22:23 y
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Peknej clanek. Akorat je skoda ze tu neni vic informaci o sftp. :-( Na vsftpd pouzivam chroot uzivatelu, ale u sftp se mi nic podobneho zatim nepodarilo. Byl bych rad kdyby se o to v pokracovani clanku neco objevilo.
    8.9.2007 22:51 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Měl by to umět scponly.
    pavlix avatar 12.9.2007 10:45 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Taky už jsem přemýšlel o tom chrootu, díky.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    7.5.2020 19:04 statybosabc
    Rozbalit Rozbalit vše Re: OpenSSH - více než jen Secure Shell
    Baigti darbą statybosabc.lt Gaisro atkūrimas Kadravimas: Mediena ir metalas Žaliasis pastatas Istorinis išsaugojimas Institucinės / mokyklos Interjero dizainas Tapyba Šalčio statybos statybos paslaugosVandentiekiavimas Remodeling Atsinaujinančiosios energijos projektai Stogų Saulės Atšaka Plieno pastatai Plieno Smeigės/Gipskartonio Struktūrinis remontas / armatūra

    Kai kurios su darbu susijusių paslaugų ir techninės priežiūros darbų paslaugų apimtis apima (bet jomis neapsiribojame):

    Tvoros įrenginiai Sienų demo/statyba Dailidžių ir (arba) remonto įrenginiai. Lubų remontas/įrenginiai Betono remontas Leidžiantis Tapyba Durų remontas ir (arba) įrengin

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.