nixp.ru v3.0

19 октября 2017,
четверг,
06:30:09 MSK

DevOps с компанией «Флант»
neogeisha написала 5 июля 2007 года в 07:34 (598 просмотров) Ведет себя как женщина; открыла 53 темы в форуме, оставила 266 комментариев на сайте.

Проверьте пожалуйста на правильность, безопасность.

Что еще можно добавить, удалить, оптимизировать?

При инсталяции ssh создаються ключи, как их снова сгенерировать, а то что то параметр не увидела?

Part I — Install

# apt-get install ssh zlib openssl

# /etc/init.d/ssh stop

# tar -xzf openssh-4.6p1.tar.gz

# cd openssh-4.6p1

# ./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh --disable-X11-forwarding

# make clean

# make

# make install

# chown -R root:root /etc/ssh

# chmod 755 /etc/ssh

# chmod 600 /etc/ssh/ssh_host_key

# chmod 644 /etc/ssh/ssh_host_key.pub

# chmod 600 /etc/ssh/ssh_host_dsa_key

# chmod 644 /etc/ssh/ssh_host_dsa_key.pub

# chmod 600 /etc/ssh/ssh_host_rsa_key

# chmod 644 /etc/ssh/ssh_host_rsa_key.pub

# chmod 644 /etc/ssh/ssh_config

# chmod 644 /etc/ssh/sshd_config

# vim /etc/ssh/sshd_config:

Port 22

ListenAddress 0.0.0.0

Protocol 2

Compression yes

PermitRootLogin no

PermitEmptyPasswords no

PasswordAuthentication no

AllowUsers frogi

AllowGroups frogi

UseLogin no

LoginGraceTime 120

ServerKeyBits 2048

PubkeyAuthentication yes

AuthorizedKeysFile %h/.ssh/authorized_keys

RSAAuthentication no

Ciphers blowfish-cbc,3des-cbc

IgnoreRhosts yes

RhostsRSAAuthentication no

IgnoreUserKnownHosts yes

SyslogFacility AUTH

LogLevel INFO

X11Forwarding no

PrintMotd no

PrintLastLog no

TCPKeepAlive no

Part II — Key

Создание ключей на клиенте:

# mkdir .ssh

# chmod 700 .ssh

# ssh-keygen -t rsa -b 2048 -f .ssh/id_rsa

# chmod 400 .ssh/id_rsa

# chmod 440 .ssh/id_rsa.pub

//or DSA: ssh-keygen -t вsa -b 2048 -f .ssh/id_rsa

Создание ключей на сервере:

скопируем наш публичный ключ на сервер:

# scp .ssh/id_rsa.pub frogi@192.168.1.1:.ssh/my.identity.pub

# cat .ssh/my.identity.pub >> .ssh/authorized_keys

# rm -rf .ssh/my.identity.pub

# chmod 640 .ssh/authorized_keys

Проверяем:

# ssh -i .ssh/id_rsa frogi@192.168.1.1

# Enter passphrase for key '.ssh/id_rsa’:

:~#

Part II — Key for Windows

копируем id_rsa на виндовый клиент

puttygen.exe

1. conversions-> import key-> id_rsa

2. SSH2 RSA

3. save private key, сохраняем как 192.168.1.1_priv.PPK

Проверка

putty.exe

1. Session -> Host Nam (or IP address) 192.168.1.1

2. Connection -> SSH -> 2 only

3. Auth -> Attempt «keyboard-interactive» authentication (SSH2)

4. Private key file for authentication: 192.168.1.1_priv.PPK

5. Session -> Saved Sessions: server

6. Session -> Saved Sessions: Save

7. OPEN

login as: frogi

Authenticating with public key «imported-openssh-key»

Passphrase for key «imported-openssh-key»:

:~#

fly4life
neogeisha
При инсталяции ssh создаються ключи, как их снова сгенерировать, а то что то параметр не увидела?

Ты про ssh_host_*? Эти ключи создаются не при инсталляции, а при старте демона, если их нет. Намёк понятен? ;).

neogeisha
fly4life
Ты про ssh_host_*? Эти ключи создаются не при инсталляции, а при старте демона, если их нет. Намёк понятен? ;).

ага, про них,то есть каждый раз они новые там?

а как на счет конфига моего, он нормальный?

fly4life
neogeisha
ага, про них,то есть каждый раз они новые там?

Нет =). Новые появятся, если ты удалишь старые ;).

neogeisha
а как на счет конфига моего, он нормальный?

Сайдёт =).

neogeisha
fly4life
Нет =). Новые появятся, если ты удалишь старые ;).

Сайдёт =).

хм.. сойдет да и =)

значит что то тут не так, что?

fly4life
neogeisha
хм.. сойдет да и =)

значит что то тут не так, что?

Протокол версии 2 поставила, rhosts и по паролю логиниться запретила, руту — тоже, список разрешённых пользователей — указала. С точки зрения безопасности всё выглядит достаточно параноидально =).

Anarchist
neogeisha
# tar -xzf openssh-4.6p1.tar.gz

# cd openssh-4.6p1

# ./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh --disable-X11-forwarding

# make clean

# make

# make install

# chown -R root:root /etc/ssh

# chmod 755 /etc/ssh

# chmod 600 /etc/ssh/ssh_host_key

# chmod 644 /etc/ssh/ssh_host_key.pub

# chmod 600 /etc/ssh/ssh_host_dsa_key

# chmod 644 /etc/ssh/ssh_host_dsa_key.pub

# chmod 600 /etc/ssh/ssh_host_rsa_key

# chmod 644 /etc/ssh/ssh_host_rsa_key.pub

# chmod 644 /etc/ssh/ssh_config

# chmod 644 /etc/ssh/sshd_config

А вот это ты наверное зря.

fly4life
Anarchist
А вот это ты наверное зря.

Эээ.. Что именно зря? (я понял, что ответ адресован не мне, но не понял к чему он).

metal

Может действительно зря, если у ssh есть свой пользователь и группа. Под каким пользователем стартует ssh?

Anarchist
fly4life
Эээ.. Что именно зря? (я понял, что ответ адресован не мне, но не понял к чему он).

Я захватил лишнего.

Имелось в виду:

# tar -xzf openssh-4.6p1.tar.gz
# cd openssh-4.6p1
# ./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh --disable-X11-forwarding  
# make clean
# make
# make install
neogeisha
fly4life
Протокол версии 2 поставила, rhosts и по паролю логиниться запретила, руту — тоже, список разрешённых пользователей — указала. С точки зрения безопасности всё выглядит достаточно параноидально =).

не!!!1

параноидально, это када +меняешь банер в version.h и чрутишь ssh!

=))

neogeisha
metal
Может действительно зря, если у ssh есть свой пользователь и группа. Под каким пользователем стартует ssh?

под собой

neogeisha
Anarchist
Я захватил лишнего.

Имелось в виду:

# tar -xzf openssh-4.6p1.tar.gz
# cd openssh-4.6p1
# ./configure --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh --disable-X11-forwarding
# make clean
# make
# make install

а что тут нитак?

можно поподробнее?

Anarchist
neogeisha
а что тут нитак?

можно поподробнее?

Мешать нормальную с стандартной source-based установку в package-based дистрибутиве — путь к превращению оного дистрибутива в помойку.