Openssh pentru ferestre, securitate, admin

Tehnologia SSH (Secure Shell) protejează protocoalele simple ftp, telnet, creează tunele sigure, redirecționează porturile de rețea, ceea ce extinde foarte mult setul de instrumente pentru administratorul de sistem. OpenSSH (open shell shell) este un set de programe care oferă criptarea sesiunilor de comunicare pe rețelele de calculatoare folosind protocolul SSH. Acesta a fost creat sub îndrumarea lui Tao de Raadt ca o alternativă deschisă la software-ul de proprietate de la SSH Communications Security. Apoi, este luată în considerare instalarea serverului și a clientului OpenSSH pe platforma Windows XP.

2. Confirmați setările implicite în toate setările. Instalați server și client SSH la locația dorită (folderul% ProgramFiles% \ OpenSSH). După instalare, o fereastra de avertizare „înainte de a începe serviciul OpenSSH trebuie să editați fișierul% ProgramFiles% \ OpenSSH \ etc \ passwd. Dacă nu face acest lucru, nu va putea conecta prin serverul SSH. Vă rugăm să citiți informațiile din fișiere sau QuickStart readme.txt .txt pentru a configura corect fișierul passwd. ".

3. Urmați toate instrucțiunile din fișierul quickstart.txt. Executați cmd în folderul% ProgramFiles% \ OpenSSH, mergeți la directorul bin (Start -> Run - - cmd -> cd% ProgramFiles% \ OpenSSH -> cd bin).

4. Acum trebuie să faceți fișierul permisiunilor de grup (fișierul permisiunilor pentru grup). Acesta poate fi creat pentru grupuri locale sau de domenii, pentru care folosiți comanda mkgroup cu opțiunea -l și -d, respectiv. Aveam un computer de acasă și nu era domeniu, așa că am intrat simplu:

mkgroup -l >>. \ etc \ group

Apoi, fișierul de grup va apărea în dosar etc.

5. Acum trebuie să adăugați utilizatorii în fișierul passwd (fie numele local sau de domeniu, folosind comanda mkpasswd cu opțiunea -l și -d, respectiv). Am intrat

mkpasswd -l -u Administrator >>. \ etc \ passwd

6. Porniți serverul OpenSSH cu comanda net start comanda opensshd. sau utilizați Consola de administrare a serviciului pentru a porni un serviciu numit "Server OpenSSH". Apoi, aplicația sshd.exe ar trebui să deschidă portul TCP 22.

În acest moment, am avut o problemă - serviciul nu a vrut să ruleze în eroarea de sistem "System error 1067". Am încercat să găsesc jurnalul, a apărut în fișierul% ProgramFiles% \ OpenSSH \ var \ log \ OpenSSHd.log. A existat un astfel de mesaj:
„5 [principal] (1940) D: \ Program Files \ OpenSSH \ usr \ Sbin \ sshd.exe :. *** eroare fatală - proc nepotrivire de magie detectate - 0xEFAED2A6 / 0x704D1F7E Această problemă se datorează probabil folosind versiuni incompatibile. Cygwin DLL căutare pentru cygwin1.dll folosind Windows Start-> Find / facilitate de căutare și ștergeți toate, dar cea mai recentă versiune cea mai recentă versiune * * ar trebui să locuiască în x: .. \ cygwin \ bin, în cazul în care „x“ este pe care ați instalat distribuția cygwin. "

În rusă, acest nonsens înseamnă că versiunea de cygwin1.dll nu este adecvată. Am încercat să găsesc fișierul cygwin1.dll, a fost în mai multe locuri:

c: \ Program Files \ hypertunnelNT \ cygwin1.dll
c: \ WinAVR \ bin \ cygwin1.dll
D: \ Program Files \ OpenSSH \ bin \ cygwin1.dll

Cea mai recentă versiune (1005.23.0.0) a fost în fișierul c: \ WinAVR bin \ cygwin1.dll, iar versiunea curentă a fișierului D \: \ Program Files \ OpenSSH \ bin \ cygwin1.dll a fost 1005.10.0.0. A încercat să înlocuiască OpenSSH cygwin1.dll o nouă, de la WinAVR - si a functionat!

7. Evenimentele de succes ale conexiunilor de succes sunt scrise în jurnalul de aplicații Windows. Intrarea în jurnal este controlată de tastele SyslogFacility și LogLevel din fișierul etc \ sshd_config. Eu însumi am ajustat aceste opțiuni astfel:

SyslogFacility AUTH
LogLevel VERBOSE

Deoarece activitatea hackerilor pe Internet este mare, jurnalul de aplicații se va umple rapid, deci este logic să măriți mărimea jurnalului de aplicații (am crescut la 5120 octeți) și să activați intrările de jurnal de suprascriere după cum este necesar (suprascrieți evenimentele după cum este necesar).

Acum, cu serverul OpenSSH pe Windows, obținem următoarele caracteristici:

- puteți ajunge la linia de comandă cmd, în mod legitim sub utilizatorul specificat în parola (în exemplul meu Administrator). Calea curentă este obținută, așa cum este scrisă în variabila de mediu% USERPROFILE% Windows. Sub FreeBSD, puteți utiliza clientul ssh:

- Midnight Commander poate fi deschis cu panoul Shell Link, cu toate beneficiile acestui încă puțin - am deschis la conectarea folderul bin într-un loc foarte neașteptat - c: \ WinAVR \ Utils \ bin \, și au fost disponibile numai fișiere în interiorul acestuia.

- puteți utiliza o conexiune ftp sigură (Secure FTP sau SFTP). Sub FreeBSD, puteți utiliza clientul sftp:

La fel ca în cmd prin utilitarul ssh, calea curentă este% USERPROFILE%, iar toate fișierele din directorul curent și din subfolderele sale vor fi disponibile. Puteți să vă deplasați la un nivel în folderul% SystemDrive% \ Documents and Settings \.

Dacă încercați să mergeți la un nivel suplimentar, nu veți ajunge la folderul% ProgramFiles% \ OpenSSH așa cum ați așteptat pe unitatea% SystemDrive%. Acest dosar este considerat rădăcină și nu puteți merge nicăieri mai mult. Pentru a reveni la folderul% USERPROFILE%, trebuie să introduceți cd / home / Administrator.

- puteți utiliza utilitarul securizat de copiere scp. De exemplu, în cadrul FreeBSD, ar arăta astfel:

$ scp backstore / 080106archive.tar Administrator @ IP_or_server_name_OpenSSH:.

Aceasta înseamnă - copiați backstore-ul / 080106archive.tar în directorul curent (.) Al utilizatorului Administrator (rețineți că acesta va fi folderul% USERPROFILE%).

- tunneling de conexiuni de rețea, uneori acest lucru se numește "port forwarding printr-un tunel SSH".

[Autentificare fără parolă pe baza cheilor publice / private]

Ca și în exemplele cu ssh, SFTP, utilitate scp va solicita parola de administrator de utilizator. Nu pentru a introduce o parolă, de exemplu, pentru a copia de la BAT-fișier, aveți nevoie pentru a genera chei și apoi să le utilizeze. Procesul de pași (presupunând că serverul este instalat pe Windows XP SP2, există un administrator de utilizator, iar clientul este folosit pe FreeBSD, versiunea de kernel 6.2-release-P8, sunt de lucru sub utilizatorul de către utilizator, numele mașinii host.agava.net).

1. Generați cheile de pe client (DSA, Digital Signature Algorithm):

# accesați utilizatorul utilizatorului de domiciliu
$ ssh-keygen -t dsa
Generarea perechii de chei publice / private dsa.
Introduceți fișierul în care doriți să salvați cheia (/home/user/.ssh/id_dsa): # aici apăsați Enter
Introduceți expresia de acces (goală fără o expresie de acces): # aici apăsați Enter, fără parolă
Introduceți din nou aceeași frază de acces: # aici, doar apăsați Enter, fără parolă
Identificarea dvs. a fost salvată în /home/user/.ssh/id_dsa.
Cheia dvs. publică a fost salvată în /home/user/.ssh/id_dsa.pub.
Dacã amprenta cheie este:
hh: hh: hh: hh: hh: hh: hh: hh: hh: ah: hh: hh: hh: hh [email protected]

În loc de hh, vor fi cifre HEX ale hash-ului cheie. Este nevoie de ceva timp pentru a genera cheile (în funcție de puterea mașinii, mi-a luat aproximativ 20 de secunde). După această operație, în directorul .ssh vor apărea 2 fișiere - id_dsa (cheie privată, privată, folosit pentru a decripta datele) și id_dsa.pub (cheia publică, utilizată pentru criptarea datelor).

2. Copiați fișierul id_dsa.pub de la client la server, la dosarul de utilizator Administrator, la subfolderul .ssh (am avut calea completă, cum ar fi d: \ Documents and Settings \ Administrator \ .ssh \). Redenumiți id_dsa.pub la authorized_keys. Uneori poate fi necesar să utilizați un alt nume - authorized_keys2, pentru detalii, consultați informațiile din fișierul% ProgramFiles% \ OpenSSH \ docs \ key_authentication.txt.

4. Reporniți serverul SSH:

net stop opensshd
net start opensshd

Încercați comanda scp, sftp, ssh pe client (vedeți exemplele de mai sus) - parola nu este solicitată de utilizatorul Administrator!

B kachectve ydobnogo (și becplatnogo!) SSH-KLIENTA mozhno icpolzovat chit. Ego tozhe icpolzovat mozhno pentru aytentifikatsii bezpapolnoy ÎN TIMPUL konnekte la SSH-server. Ca nactpoit, Po shagam La proces (ppedpolagaetcya chto klient chit pabotaet nA Windows XP, un server SSH - pentru FreeBSD nA, vepciya yadpa 6.2-RELEASE-P8, pabotaem utilizator pod Tam polzovatelem, numele host.agava.net mashiny):

1. Generarea cheilor nA kliente (Signature DSA, Digital Algorithm), pentru a chego zapyctite ppogpammy PuTTYgen.exe. Ona idet în polnom komplekte chit, și dacă voi y Bac pochemy adevărat net eo, adevărat mozhno site-ul ckachat [3] sau compila din surse. După pornirea PuTTYgen.exe selectați tipul de cheie (am ales DSA SSH-2, deși creatorii de chit recomandăm insistent să nu aleagă DSA și RSA), bitul cheie (am lăsat implicit 1024), apăsați pe butonul Generate. mouse-ul Poelozte pe ecran - în acest proces este generat de un număr aleatoriu pentru cheia. Cheia va fi generată. În câmpul „Cheie expresie de acces:“ și „Confirmați expresia de acces:“ practic nu intră nimic, pentru că avem nevoie pentru a scăpa de parola. Faceți clic pe Salvare cheie publică, salvați cheia publică, faceți clic pe Salvare cheie privată, pentru a salva cheia privată. Cheile este mai bine să păstreze într-un loc secret (mai ales cheia privată), astfel încât să nu pentru a obține inamic =).

2. Acum trebuie să trageți cheia publică generată la serverul SSH. Programul PuTTYgen.exe din fereastra „cheia publică pentru lipirea în OpenSSH autorizate fișier chei:“ copia tot textul, a crea un nou fișier authorized_keys și introduceți textul acolo, salvați fișierul la server SSH în directorul .ssh (directorul trebuie să fie localizat în rădăcina utilizator de director de domiciliu pe FreeBSD). PuTTYgen.exe program de închidere, executați putty.exe.

Gata! Acum puteți să faceți clic pe butonul Deschidere, sesiunea va începe și nu este necesar să introduceți parola.

1. Site-ul OpenSSH: sourceforge.net.
2. FreeBSD: setarea sshd - cum se ridică serverul SSH pe FreeBSD.
3. PuTTY Descărcați pagina de pagină: chiark.greenend.org.uk.

Articole similare