Šta je novo?
Od:
Filteri

Pristupite svojim serverima bez sifre - ssh kljucevi - HOW TO

Stator

Stator

Čuven
Učlanjen(a)
03.02.2002
Poruke
1,964
Poena
650
Evo mali how to za one koje mrzi da kucaju sifre za kacenje na svoje servere :)
Ovo je primer ako zelite na napravite usera koji se zove bench. Vi naravno mozete da ga nazovete kako zelite.

ssh-keygen #na sva pitanja samo stiskajte enter :)
#prebacite javni kljuc na vas server
scp /home/bench/.ssh/id_rsa.pub [email protected]:/root/bench.pub
nano /etc/pam.d/su
#Odkomentarisati linije za koje pisu da treba odkomentarisati.
useradd bench
nano /etc/group
#Editovati liniju da izgleda ovako // wheel:x:10:root,bench
mkdir /home/bench/.ssh
mv /root/bench.pub /home/bench/.ssh/authorized_keys
chmod -R o-rx /home/bench/.ssh/
chown -R bench.bench /home/bench/.ssh/
 
Poslednja izmena:
Pitanje: kako je nastao /root/bench.pub?
Pretpostavljam da ga je potrebno generirati.
 
Ijao koji propust sa moje strane :) sada cu da ispravim
 
Dobar post! :) Ovako nesto mi je trebalo, al se nikad nisam uhvatio u razmisljanje :)
 
Must have za skripte koje "šaraju" po više servera :). Doduše, nikad nisam koristio pam, već klasičan način generiranja i kopiranja ključeva.
 
Poslednja izmena:
Ima to svoih prednosti sa pam-om jer ne moram da pamtim 15 root sifri od 15 servera koje odrzavam. I kada je neko ode iz firme ne moram da menjam 15 sifri nego mu samo pobrisem kljuceve :)
 
Da ... verzija za seljake koju ja obično koristim (bez pam-a, koristeći DSA algoritam za kriptiranje) izgleda ovako:

Na source mašini:
Kod: 
ssh-keygen -t dsa
Na sva pitanja odgovoriti sa enter

i zatim kopiranje ključa na destination mašinu:
Kod: 
cat ~/.ssh/id_dsa.pub | ssh <user>@<destination mašina> "cat >> ~/.ssh/authorized_keys2"

Ovlasti user home direktorija na destination mašini su obično 700, a "group" i "other" ne smiju imati write ovlasti (znači: chmod go-w <user home dir> na ono što je po difoltu)
Svaki idući ssh login bi trebao proći bez passworda.
 
Poslednja izmena:
I onda vam neko hakne masinu i ima pristup svim masinama na koje ste se ssh-ovali :)
 
Samo napred :D Mora samo prvo da prodje cisco igracke pre nego sto dodje do mene a onda ko slag na tortu :p

Kod: 
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Ali onda od kuce ne mozes remote desktop na masinu na poslu, a i ne mozes da koristis masinu na poslu kao seedbox :(
 
Naravno da mozes ako imas kljuceve na enkriptovanom USB-u. Tako da cak i ako ga izgubis nije strasno. Naravno niko ne moze da pristupi internm resorsima bilo kako drugacije sem preko VPN-a. Tako da je dosta sigurna varijanta.
 
Inače to je i cilj, na produkcijskom serveru vrtiti torrente :p.
 
Poslednja izmena:
I ja da se zahvalim... upravo sam krenuo da kopam ovo po netu i onda se setim da je neko ostavljao vec...

samo jedno pitanje (jos nisam isprobao), da li ova metoda potpuno onemogucava pristup bez kljuceva, tj da li ce i dalje moci da se pristupi sa user/pass i ako hoce kako to skroz da zabranim?
Ovo prvi put radim... inace cilj mi je da mom freenx serveru omogucim pristup (kroz ssh sto je po defaultu napravljeno), samo sa mog laptopa i desktopa na poslu...
 
Imas fail

/etc/ssh/sshd_config

U njemu promeni liniju

Kod: 
PasswordAuthentication no

I neces moci da se ulogujes sa sifrom vec samo sa kljucem. Ako stavis yes onda moze i user i pass
 
Mislim da mi freenx brlja, tj ne generise mi kljuceve kako treba... sa default kljucevima je radilo... zasad sam postigao da uopste ne mogu da se ulogujem na racunar |)) tj mogu iz lokala, ali ne i kroz ssh ili freenx... admin na poslu mi je rekao da su oni batalili freenx i uzeli free verziju komercijalnog nx servera i da on bolje radi, pa cu i to probati..
 
Zar ti nije jednostavnije da imas ssh server na masini na koju hoces da se nakacis,
a onda kada se konektujes da se konektujes na neki od remote control programa.
Jednostavno za instalaciju, podesavanje i odrzavanje.

Instaliras OpenSSH, podesis ga i generises kljuceve i port na ruteru i to je to.
Naravno dobro je promeniti i default port od ssh servera radi dodatne sigurnosti.
Kasnije kada se konektujes tunelujes port od remote control servera.

Meni tako funkcionise prilicno dobro samo sto umesto NX-a koristim VNC.
Ako je sa win masine sa posla, konektujem se preko putty-ja na racunar i onda
sa tightvnc na vnc server preko ssh konekcije. Sa linux masine je jos lakse.
 
mad_max0204 je napisao(la):
Zar ti nije jednostavnije da imas ssh server na masini na koju hoces da se nakacis,
a onda kada se konektujes da se konektujes na neki od remote control programa.
Jednostavno za instalaciju, podesavanje i odrzavanje.

Instaliras OpenSSH, podesis ga i generises kljuceve i port na ruteru i to je to.
Naravno dobro je promeniti i default port od ssh servera radi dodatne sigurnosti.
Kasnije kada se konektujes tunelujes port od remote control servera.

Meni tako funkcionise prilicno dobro samo sto umesto NX-a koristim VNC.
Ako je sa win masine sa posla, konektujem se preko putty-ja na racunar i onda
sa tightvnc na vnc server preko ssh konekcije. Sa linux masine je jos lakse.
Kliknite za proširenje...

Hijack :d

Kod kuce sam podesio OpenSSH i tightvnc i koristim vnc kroz ssh tuneling, ali su performanse blago receno grozne. Posle klika na neku ikonu, cekam po 5-10 sec za bilo kakv odgovor. Nije problem do mreze, jer je u pitanju LAN.
Kada koristim RDP na Windows masinu u istoj mrezi sve radi fenomenalno.

Za pristup masini koristim sledecu skriptu
Kod: 
#!/bin/sh

ssh -f -L 5900:localhost:5900 taraba@nas \
        x11vnc -safer -localhost -nopw -once -display :0 \
        && sleep 5 \
        && vncviewer localhost:0

Idem sad da citam MAN-ove za x11vnc i vncviewer, a ako neko ima ideju neka nazvrlja nesto.
 
@mad_max Da, bas je jednostavno |))))

FreeNX je trebao da odradi sve ovo u manje vise jednom koraku, ali nesto bas nece da saradjuje...
sad pokusavam da skontam gde je zapamtio ovaj svoj default kljuc (jer mogu da pristupim sad sa oba kljuca i sa svojim i sa njegovim, a necu da dozvolim pristup sa njegovim)...
 
uspelo mi je...
problem je sto dpkg-reconfigure freenx-server jednostavno nije generisao kljuceve koje treba da generise, a cak uputstvo na ubuntu sajtu je davalo pogresnu (nepostojecu) lokaciju za kljuceve... stvar sam resio tako sto sam ponovo pustio --install skriptu od freenx-a (koja je generisala kljuceve) i onda menjao, opet rucno sshd_conf... sa tim je proslo sad ne mogu vise da se ulogujem sa default kljucem, a sa mojim mogu, jupi |>
 
@taraba

Onda verovatno nesto pogresno radis. Meni preko net-a sa posla ide sasvim solidno ceo desktop od 1920x1200 i to sa usranim uploadom od telekom adsl-a. Ne koristim kompresiju slika. U lokalu ni ne vidim da sam na drugoj masini.
Mogu pogledati sta sam sve tweakovao pa da postujem ovde. Ne znam sta drugo da ti kazem. Meni je to nekako najsigurniji nacin.

@danijel00

Danijele, meni je ovako jednostavnije jer volim da sve konfigurisem posebno. Tako su bilo kakve izmene i odrzavanje mnogo jednostavniji i nekako mi je bolja kontrola. Ako koristis Ubuntu, za sve sto pomislis da uradis vec postoji howto, a i tu sam da pomognem ako mogu.

Pozdrav
 
Pojam jednostavno je vrlo rastegljiv kad je linux u pitanju... rekao sam da hocu sve iz gui-a da uradim, ali evo stiglo je do stvari koje ne mogu nikako, ipak |> no da kazemo ovo su very advanced stvari..

Uglavnom, hvala ti na ponudi, ali umorio sam se od cackanja ovih dana |), ovo sad radi, pa sam malo mislio da ga ne diram |)) Jedino sto jos planiram da uradim je da premestim /home na drugu particiju, a da pri tom ne zeznem podatke |)
 
taraba je napisao(la):
Hijack :d

Kod kuce sam podesio OpenSSH i tightvnc i koristim vnc kroz ssh tuneling, ali su performanse blago receno grozne. Posle klika na neku ikonu, cekam po 5-10 sec za bilo kakv odgovor. Nije problem do mreze, jer je u pitanju LAN.
Kada koristim RDP na Windows masinu u istoj mrezi sve radi fenomenalno.

Za pristup masini koristim sledecu skriptu
Kod: 
#!/bin/sh

ssh -f -L 5900:localhost:5900 taraba@nas \
        x11vnc -safer -localhost -nopw -once -display :0 \
        && sleep 5 \
        && vncviewer localhost:0

Idem sad da citam MAN-ove za x11vnc i vncviewer, a ako neko ima ideju neka nazvrlja nesto.
Kliknite za proširenje...

Probaj staviti kao opciju blowfish enkripcijski algoritam, preporuča se kod kopiranja particija preko mreže (dd preko ssh), upravo zbog brzine.
 
Ace Rimmer je napisao(la):
Probaj staviti kao opciju blowfish enkripcijski algoritam, preporuča se kod kopiranja particija preko mreže (dd preko ssh), upravo zbog brzine.
Kliknite za proširenje...

Hvala na pomoci Ace.

Kljucevi su mi generisani DSA algoritmom. Kada koristim scp recimo, brzina je maksimalna za LAN tj. ~11Mb/s.

Probao sam da otvaram SSH tunel ovako
Kod: 
ssh -f -c blowfish -L 5900:localhost:5900 taraba@nas \
i ubrzanje postoji, ali je i dalje nije to - to :d

Tvoj post me naterao da se zapitam, da li gledam na pogresno mesto.
Sve vreme sam mislio da je problem do x11vnc i ssh da sam potpuno zaboravio na vncviewer za koji nisam podesio nista od parametara.
Malo sam cackao po MAN-u i promenio skriptu:
Kod: 
#!/bin/sh

ssh -f -L 5900:localhost:5900 taraba@nas \
        x11vnc -display :0 \
        && sleep 5 \
        && vncviewer [b]-encodings "copyrect tight zlib hextile"[/b]  localhost:0
i sada radi real-time kako sam i ocekivao da radi.
Problem je ocigledno bio u tome sto nisam ukljucio kompresiju. Jedino me buni sto je, bez kompresije, vncviewer koristio oko 400kb/s za transfer slike sa katastrofa performansama, sto je daleko ispod propusne moci LAN-a.
Sada, sa ukljucenom kompresijom, koristi nekih ~40kb/s i radi odlicno.

Mozda nekome bude korisno.
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno