Accesarea de la distanta a sistemului: telnet si SSH
Serviciul telnet
Serviciul telnet reprezinta o modalitate de conectare pe masini aflate la distanta. Este un serviciu nesigur, fiindca trimite informatiile neprotejate prin retea, acestea putând fi urmarite cu ajutorul unor programe de capturare a pachetelor (de exemplu, tcpdump). Este recomandata utilizarea serviciului ssh.
Pentru folosirea aces 858p157i tui serviciu trebuie instalat pachetul telnet, continând clientul de conectare la alte masini, si pachetul telnet-server, care contine serverul ce accepta conexiuni telnet. Pornirea serverului in.telnetd se face automat, la primirea unei cereri de conectare, de catre serviciul xinetd.
Serviciul SSH
Serviciul SSH este un mod sigur de conectare pe alte masini, criptând informatiile înainte de a fi trimise în retea, prin intermediul unui sistem de chei publice si private.
Linux utilizeaza implementarea serviciului SSH numita OpenSSH. Pentru folosirea acestui serviciu este necesara instalarea pachetului openssh, optional a pachetului openssh-clients, care contine clienti de conectare la alte calculatoare, si optional a pachetului openssh-server, care contine serverul ssh, daca se doreste acceptarea de conexiuni de pe alte calculatoare. Pentru ca masina sa accepte conexiuni SSH, trebuie ca serviciul sshd sa fie pornit.
Se recomanda instalarea unei versiuni cât mai recente a acestor pachete, pentru a preveni existenta eventualelor bug-uri, de la adresa https: / 7www.isc.org.
Fisierele de configurare ale sistemului OpenSSH se gasesc în directorul /etc/ssh. Fisierul /etc/ssh/ssh_config stabileste optiunile implicite, utilizate atât de catre serverul, cât si de catre clientii ssh, astfel:
Host Determina ca declaratiile si optiunile care urmeaza sa faca
referire doar la masinile care corespund descrierii specificate. Pot fi utilizate si caracterele wildcard "?" si "*". Astfel,
Administrarea si configurarea sistemelor Linux
declaratia Host * face referire la toate masinile si constituie
valoarea implicita. ForwardAgent Specifica ce agent de autentificare a conexiunii (daca exista)
sa fie trimis celeilalte masini. Implicit: No. ForwardXll Redirectioneaza automat sesiunile XII pe cealalta masina.
Implicit: No. Permite autentificarea prin .rhosts (vezi Partea
II, cap. 4). Implicit: No. Rhosts RSA A uthentication
Permite autentificarea prin .rhosts atunci când se utilizeaza
autentificare de tip RSA (Remote System Authenticatiori).
Implicit: No. RSAA uthentication
Utilizeaza autentificarea de tip RSA, care utilizeaza chei
publice si private pentru autentificare. Implicit: Yes. Nu se
recomanda modificarea acestei valori. PasswordA uthentication
Stabileste ca autentificarea sa fie realizata pe baza parolelor de
acces. Implicit: Yes. Nu se recomanda modificarea acestei
valori. FallBackToRsh în cazul în care conexiunea cu daemonul ssh esueaza,
utilizeaza serviciul rsh. Implicit: No. Nu este recomandata
modificarea acestei valori, datorita securitatii reduse a
serviciului rsh.
UseRsh Utilizeaza serviciile rloginlrsh. Valoarea implicita este No
si
nu este recomandata modificarea acesteia. BatchMode Stabileste daca întrebarea privind numele si parola
utilizatorului la conectare va fi dezactivata (util daca se se
utilizeaza scp în scripturi). Implicit: No. CheckHostIP Verifica adresa IP a masinii de pe care se face conectarea,
pentru a detecta atacuri de tip DNS spoofmg. Implicit: Yes. StrictHostKeyChecking
Specifica daca ssh va adauga automat noile chei în
~/.ssh/known_hosts. Implicit: No. Pentru prevenirea
atacurilor de tip trojan horse ("cal troian"), se recomanda
setarea pe Yes a acestei optiuni. IdentityFile Specifica fisierul de identitate al sistemului RSA. Implicit:
-/.ssh/identity.
Port Stabileste portul la care se conecteaza ssh la distanta.
Implicit:
Cipher Stabileste tipul de criptare. Implicit: blowfish (acesta
utilizeaza blocuri de 64 biti si chei de criptare de pâna la 448
de biti). EscapeChar Specifica caracterul escape utilizat pentru suspendarea sesiunii.
Setari avansate ale sistemului
Informatii suplimentare pot fi obtinute prin mân ssh.
Fisierul /etc/ssh/sshd_config stabileste optiunile utilizate de daemonul ssh. Principalele optiuni recunoscute sunt urmatoarele:
Port Specifica portul la care ssh asteapta conexiuni. Implicit: 22.
ListenAddress Specifica adresa IP a interfetei de retea pe care va fi conectat
socketul
daemonului ssh. Implicit: 0.0.0.0 (toate interfetele).
HostKey Specifica
fisierul în care se afla cheile private. Implicit:
/etc/ssh/ssh_host_key. ServerKeyBits Stabileste numarul de biti utilizat de cheia serverului. Aceasta
valoare este folosita la pornirea daemonului, pentru a-si
genera propria cheie RSA. LoginGraceTime Stabileste timpul de asteptare, în secunde, în care utilizatorul
nu va fi deconectat daca nu a intrat cu succes pe masina.
Implicit: 600. KeyRegenerationlnterval
Specifica intervalul de timp, în secunde, în care ssh îsi
regenereaza cheia de criptare. Implicit: 3600. PermitRootLogin Permite utilizatorului root sa se conecteze prin ssh. Implicit:
No. Nu trebuie setata pe Yes. IgnoreRhosts Stabileste daca .rhosts va fi utilizat sau nu în procesul de
autentificare. Implicit: No. Ignore UserKnownHosts
Ignora continutul fisierului ~/.ssh/known_hosts în cadrul
autentificarii RSA. Implicit: Yes. StrictModes Verifica permisiunile utilizatorului în directorul home înainte
de a accepta intrarea acestuia în sistem (pentru a verifica, de
exemplu, daca directorul utilizatorului nu are drepturi de
scriere pentru oricine). Implicit: Yes. XllForwarding Activeaza/dezactiveaza redirectionarea sesiunilor XII.
Implicit: No.
PrintMotd Afiseaza continutul fisierului /etc/motd
(asa-numitul "mesaj
al zilei") atunci când un utilizator se conecteaza interactiv la
sistem. Implicit: Yes. SyslogFacility Stabileste clasa de jurnalizare utilizata de syslog. Implicit: A UTH.
Pentru detalii privind clasele de jurnalizare, vezi cap. 10.
Loglnfo Stabileste
nivelul de jurnalizare utilizat de syslog. Implicit:
INFO. Rhosts A uthentication
Permite autentificarea prin .rhosts. Implicit: No. Nu este
recomandata setarea pe Yes.
Administrarea si configurarea sistemelor Linux
RhostsRSAA ulhentication
Permite autentificarea prin .rhosts atunci când este utilizat
sistemul RSA. Implicit: No. RSAA uthentication
Utilizeaza sistemul de autentificare RSA. Implicit: Yes. Nu
este recomandata modificarea acestei valori. PasswordA uthentication
Stabileste ca autentificarea sa fie realizata pe baza parolelor de
acces. Implicit: Yes. Nu se recomanda modificarea acestei
valori. PermitEmptyPasswords
Permite folosirea de parole vide. Daca se doreste utilizarea scp
în scripturi, aceasta optiune trebuie setata pe Yes. Implicit:
No.
AllowUsers Specifica ce utilizatori pot accesa serviciile
ssh.
CheckMail Informeaza utilizatorii privind existenta mesajelor noi atunci
când se face conectarea.
UseLogin Executa programul login dupa conectare.
Banner Specifica un fisier a carui continut va fi afisat dupa conectare
(de exemplu, /etc/issue.net).
Detalii suplimentare pot fi obtinute apelând mân sshd. în continuare prezentam un exemplu de fisier /etc/sshd_conf ig:
portul pe
care sunt acceptate conexiuni
Port 22
l nu permite intrarea utilizatorului root în sistem PermitRootLogin no
clasa de
jurnalizare syslog
SyslogFacility AOTHPRIV
t nivelul de jurnalizare LogLevel INFO
utilizeaza
sistemul de autentificare RSA
RSAAuthentication yes
autentificarea
se face pe baza parolelor de acces
PasswordAuthentication yes
nu
accepta parole vide
PermitEmptyPasswords no
lista de
utilizatori carora li se permite intrarea în sistem
AllowUsers dragos sabin
|
