[ Pobierz całość w formacie PDF ]
.Inne wa¿ne pliki to.ssh/known_hosts i.ssh/authori-zed_keys.Omówimy je dalej w podrozdziale Korzystanie z ssh.Najpierw przygotuj-my globalny plik konfiguracyjny i plik klucza u¿ytkownika.Plik /etc/ssh/ssh_config jest bardzo podobny do pliku konfiguracyjnego serwera.Ana-logicznie, zawiera wiele funkcji, które mo¿na konfigurowaæ, ale minimalna konfigu-racja wygl¹da tak, jak pokazano w przyk³adzie 12-5.Pozosta³e opcje konfiguracyjnes¹ szczegó³owo omówione na stronach podrêcznika elektronicznego sshd(8).Mo¿eszdodaæ czêSci odpowiedzialne za okreSlone hosty lub grupy hostów.Parametremdyrektywy Host mo¿e byæ zarówno pe³na nazwa hosta, jak i nazwa zapisana zapomoc¹ znaków uniwersalnych (ang.wildcards), czego u¿yliSmy w przyk³adzie, byuwzglêdniæ wszystkie hosty.MoglibySmy stworzyæ na przyk³ad wpis, który u¿y-wa³byHost *.vbrew.com; wtedy pasowa³yby do niego wszystkie hosty z dome-nyvbrew.com.Przyk³ad 12-5.Przyk³adowy plik konfiguracyjny klienta ssh# /etc/ssh/ssh_config# DomySlne opcje u¿ywane przy po³¹czeniu z hostem zdalnymHost *# Kompresowaæ dane w czasie sesji?Compression yes#.u¿ywaj¹c którego poziomu kompresji? (1 - szybka/s³aba, 9 - wolna/dobra)CompressionLevel 6# Czy skorzystaæ z rsh, je¿eli po³¹czenie bezpieczne siê nie uda?FallBackToRsh no# Czy powinniSmy wysy³aæ komunikaty o aktywnoSci?# Przydatne, je¿eli korzystasz z maskowania IPKeepAlive yes# Próbowaæ uwierzytelniania RSA?RSAAuthentication yes# Próbowaæ uwierzytelniania RSA w po³¹czeniu z# uwierzytelnianiem.rhosts?RhostsRSAAuthentication yesW podrozdziale dotycz¹cym konfiguracji serwera wspomnieliSmy, ¿e ka¿dy hosti u¿ytkownik maj¹ klucz.Klucz u¿ytkownika jest umieszczony w pliku ~/.ssh/identity.Aby wygenerowaæ klucz, pos³ugujesz siê tym samym poleceniem ssh-keygen, któres³u¿y³o do generowania klucza hosta, tylko, ¿e tym razem nie potrzebujesz podawaænazwy pliku, w którym zapisujesz klucz.ssh-keygen domySlnie umieszcza go w od-powiednim miejscu, ale pyta ciê o nazwê pliku na wypadek, gdybyS chcia³ go zapi-saæ gdzie indziej.Czasem warto mieæ kilka kluczy to¿samoSci, a wiêc ssh na to po-zwala.Tak jak przedtem, ssh-keygen pyta ciê o wprowadzenie frazy.Frazy daj¹ do-datkowy poziom bezpieczeñstwa i s¹ dobrym rozwi¹zaniem.Twoja fraza nie bêdziewySwietlana na ekranie podczas wprowadzania.Konfigurowanie zdalnego logowania i uruchamiania 225Nie ma mo¿liwoSci odtworzenia frazy, gdybyS jej zapomnia³.WymySl wiêc coS, co za-pamiêtasz, ale tak jak w przypadku wszystkich hase³, niech to nie bêdzie coS oczywiste-go, pospolity rzeczownik ani twoje imiê.Aby fraza by³a naprawdê skuteczna, powinnaliczyæ od 10 do 30 znaków i nie mo¿e byæ zwyk³ym wyra¿eniem.Spróbuj wtr¹ciæ kilkanietypowych znaków.Je¿eli zapomnisz frazy, bêdziesz musia³ wygenerowaæ nowyklucz.PowinieneS poprosiæ wszystkich swoich u¿ytkowników o uruchomienie poleceniassh-keygen, by mieæ pewnoSæ, ¿e ich klucz zosta³ stworzony poprawnie.ssh-keygenutworzy za nich katalogi ~/.ssh/ z odpowiednimi prawami dostêpu oraz stworzyklucze prywatny i publiczny odpowiednio w plikach.ssh/identity i.ssh/identity.pub.Przyk³adowa sesja powinna wygl¹daæ tak:$ ssh-keygenGenerating RSA keys:.oooooO.Key generation complete.Enter file in which to save the key (/home/maggie/.ssh/identity):Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /home/maggie/.ssh/identity.Your public key has been saved in /home/maggie/.ssh/identity.pub.The key fingerprint is:1024 85:49:53:f4:8a:d6:d9:05:d0:1f:23:c4:d7:2a:11:67 maggie@moria$Teraz ssh jest gotowe do pracy.Korzystanie z sshMamy ju¿ zainstalowane polecenie ssh wraz z towarzysz¹cymi mu narzêdziamipomocniczymi.Wszystko jest gotowe do pracy.Przyjrzyjmy siê teraz, jak mo¿na jeuruchamiaæ.Najpierw spróbujemy zalogowaæ siê do zdalnego hosta.Mo¿emy pos³u¿yæ siê pro-gramem slogin w prawie identyczny sposób, jak u¿ywaliSmy programu rlogin wewczeSniejszym przyk³adzie w tej ksi¹¿ce.Gdy za pierwszym razem próbujesz siê³¹czyæ z hostem, klient ssh odczytuje klucz publiczny hosta i pyta ciê, czy potwier-dzasz jego to¿samoSæ, pokazuj¹c skrócon¹ wersjê klucza publicznego nazywan¹ od-ciskiem palca (ang.fingerprint).Administrator hosta zdalnego powinien wczeSniej dostarczyæ ci odcisk palca klu-cza publicznego tego hosta.Ten klucz powinieneS dodaæ do swojego pliku.ssh/known_hosts.Je¿eli administrator zdalnego hosta tego nie zrobi³, mo¿esz po-³¹czyæ siê z hostem zdalnym, ale ssh ostrze¿e ciê, ¿e nie ma klucza i zapyta, czychcesz przyj¹æ ten oferowany przez host zdalny.Zak³adaj¹c, ¿e jesteS pewien, ¿e niktnie podszywa siê pod DNS i ¿e po³¹czy³eS siê z poprawnym hostem, mo¿esz wybraæodpowiedx yes.Odpowiedni klucz zostanie zapisany automatycznie w twoim pliku.ssh/known_hosts i nie bêdziesz o niego pytany po raz kolejny.Je¿eli przy nastêpnejpróbie po³¹czenia klucz publiczny uzyskany z danego hosta nie bêdzie pasowa³ dotego, który przechowujesz w pliku.ssh/known_hosts, otrzymasz ostrze¿enie, ponie-wa¿ narusza to bezpieczeñstwo.226 Rozdzia³ 12: Wa¿ne funkcje sieciowePierwsze logowanie do zdalnego hosta bêdzie wygl¹da³o jakoS tak:$ slogin vchianti.vbrew.comThe authenticity of host 'vchianti.vbrew.com' can't be established
[ Pobierz całość w formacie PDF ]