[ Pobierz całość w formacie PDF ]
.ssh/config, który moe zawiera opcje o wy-szym priorytecie ni te w pliku /etc/ssh/ssh_config, plik.ssh/identity, który zawiera224 Rozdzia 12: Wane funkcje siecioweprywatny klucz uytkownika, oraz odpowiedni plik.ssh/identity.pub zawierajcypubliczny klucz uytkownika.Inne wane pliki to.ssh/known_hosts i.ssh/authori-zed_keys.Omówimy je dalej w podrozdziale Korzystanie z ssh.Najpierw przygotuj-my globalny plik konfiguracyjny i plik klucza uytkownika.Plik /etc/ssh/ssh_config jest bardzo podobny do pliku konfiguracyjnego serwera.Ana-logicznie, zawiera wiele funkcji, które mona konfigurowa, ale minimalna konfigu-racja wyglda tak, jak pokazano w przykadzie 12-5.Pozostae opcje konfiguracyjnes szczegóowo omówione na stronach podrcznika elektronicznego sshd(8).Moeszdoda czSci odpowiedzialne za okreSlone hosty lub grupy hostów.Parametremdyrektywy Host moe by zarówno pena nazwa hosta, jak i nazwa zapisana zapomoc znaków uniwersalnych (ang.wildcards), czego uyliSmy w przykadzie, byuwzgldni wszystkie hosty.MoglibySmy stworzy na przykad wpis, który uy-wabyHost *.vbrew.com; wtedy pasowayby do niego wszystkie hosty z dome-nyvbrew.com.Przykad 12-5.Przykadowy plik konfiguracyjny klienta ssh# /etc/ssh/ssh_config# DomySlne opcje uywane przy poczeniu z hostem zdalnymHost *# Kompresowa dane w czasie sesji?Compression yes#.uywajc którego poziomu kompresji? (1 - szybka/saba, 9 - wolna/dobra)CompressionLevel 6# Czy skorzysta z rsh, jeeli poczenie bezpieczne si nie uda?FallBackToRsh no# Czy powinniSmy wysya komunikaty o aktywnoSci?# Przydatne, jeeli korzystasz z maskowania IPKeepAlive yes# Próbowa uwierzytelniania RSA?RSAAuthentication yes# Próbowa uwierzytelniania RSA w poczeniu z# uwierzytelnianiem.rhosts?RhostsRSAAuthentication yesW podrozdziale dotyczcym konfiguracji serwera wspomnieliSmy, e kady hosti uytkownik maj klucz.Klucz uytkownika jest umieszczony w pliku ~/.ssh/identity.Aby wygenerowa klucz, posugujesz si tym samym poleceniem ssh-keygen, któresuyo do generowania klucza hosta, tylko, e tym razem nie potrzebujesz podawanazwy pliku, w którym zapisujesz klucz.ssh-keygen domySlnie umieszcza go w od-powiednim miejscu, ale pyta ci o nazw pliku na wypadek, gdybyS chcia go zapi-sa gdzie indziej.Czasem warto mie kilka kluczy tosamoSci, a wic ssh na to po-zwala.Tak jak przedtem, ssh-keygen pyta ci o wprowadzenie frazy.Frazy daj do-datkowy poziom bezpieczestwa i s dobrym rozwizaniem.Twoja fraza nie bdziewySwietlana na ekranie podczas wprowadzania.Konfigurowanie zdalnego logowania i uruchamiania 225Nie ma moliwoSci odtworzenia frazy, gdybyS jej zapomnia.WymySl wic coS, co za-pamitasz, ale tak jak w przypadku wszystkich hase, niech to nie bdzie coS oczywiste-go, pospolity rzeczownik ani twoje imi.Aby fraza bya naprawd skuteczna, powinnaliczy od 10 do 30 znaków i nie moe by zwykym wyraeniem.Spróbuj wtrci kilkanietypowych znaków.Jeeli zapomnisz frazy, bdziesz musia wygenerowa nowyklucz.PowinieneS poprosi wszystkich swoich uytkowników o uruchomienie poleceniassh-keygen, by mie pewnoS, e ich klucz zosta stworzony poprawnie.ssh-keygenutworzy za nich katalogi ~/.ssh/ z odpowiednimi prawami dostpu oraz stworzyklucze prywatny i publiczny odpowiednio w plikach.ssh/identity i.ssh/identity.pub.Przykadowa sesja powinna wyglda tak:$ ssh-keygenGenerating RSA keys:.oooooO.Key generation complete.Enter file in which to save the key (/home/maggie/.ssh/identity):Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /home/maggie/.ssh/identity.Your public key has been saved in /home/maggie/.ssh/identity.pub.The key fingerprint is:1024 85:49:53:f4:8a:d6:d9:05:d0:1f:23:c4:d7:2a:11:67 maggie@moria$Teraz ssh jest gotowe do pracy.Korzystanie z sshMamy ju zainstalowane polecenie ssh wraz z towarzyszcymi mu narzdziamipomocniczymi.Wszystko jest gotowe do pracy.Przyjrzyjmy si teraz, jak mona jeuruchamia.Najpierw spróbujemy zalogowa si do zdalnego hosta.Moemy posuy si pro-gramem slogin w prawie identyczny sposób, jak uywaliSmy programu rlogin wewczeSniejszym przykadzie w tej ksice.Gdy za pierwszym razem próbujesz si곹czy z hostem, klient ssh odczytuje klucz publiczny hosta i pyta ci, czy potwier-dzasz jego tosamoS, pokazujc skrócon wersj klucza publicznego nazywan od-ciskiem palca (ang.fingerprint).Administrator hosta zdalnego powinien wczeSniej dostarczy ci odcisk palca klu-cza publicznego tego hosta.Ten klucz powinieneS doda do swojego pliku.ssh/known_hosts.Jeeli administrator zdalnego hosta tego nie zrobi, moesz po-czy si z hostem zdalnym, ale ssh ostrzee ci, e nie ma klucza i zapyta, czychcesz przyj ten oferowany przez host zdalny.Zakadajc, e jesteS pewien, e niktnie podszywa si pod DNS i e poczyeS si z poprawnym hostem, moesz wybraodpowiedx yes.Odpowiedni klucz zostanie zapisany automatycznie w twoim pliku.ssh/known_hosts i nie bdziesz o niego pytany po raz kolejny.Jeeli przy nastpnejpróbie poczenia klucz publiczny uzyskany z danego hosta nie bdzie pasowa dotego, który przechowujesz w pliku.ssh/known_hosts, otrzymasz ostrzeenie, ponie-wa narusza to bezpieczestwo.226 Rozdzia 12: Wane funkcje sieciowePierwsze logowanie do zdalnego hosta bdzie wygldao jakoS tak:$ slogin vchianti.vbrew.comThe authenticity of host 'vchianti.vbrew.com' can't be established.Key fingerprint is 1024 7b:d4:a8:28:c5:19:52:53:3a:fe:8d:95:dd:14:93:f5.Are you sure you want to continue connecting (yes/no)? yesWarning: Permamently added 'vchianti.vbrew.com,172.16.2.3' to the list of/known hosts.maggie@vchianti.vbrew.com's password:Last login: Thu Feb 1 23:28:58 2000 from vstout.vbrew.com$Zostaniesz poproszony o podanie hasa, które powinieneS wprowadzi na konto nahoScie zdalnym, a nie lokalnym.Haso to nie pojawia si na ekranie w czasie wpi-sywania
[ Pobierz całość w formacie PDF ]