Accesarea de la distanta a sistemului: telnet si SSH
Serviciul telnet
Serviciul telnet reprezinta o modalitate de conectare pe masini aflate la distanta. Este un serviciu nesigur, fiindca trimite informatiile neprotejate prin retea, acestea putānd fi urmarite cu ajutorul unor programe de capturare a pachetelor (de exemplu, tcpdump). Este recomandata utilizarea serviciului ssh.
Pentru folosirea aces 858p157i tui serviciu trebuie instalat pachetul telnet, continānd clientul de conectare la alte masini, si pachetul telnet-server, care contine serverul ce accepta conexiuni telnet. Pornirea serverului in.telnetd se face automat, la primirea unei cereri de conectare, de catre serviciul xinetd.
Serviciul SSH
Serviciul SSH este un mod sigur de conectare pe alte masini, criptānd informatiile īnainte de a fi trimise īn retea, prin intermediul unui sistem de chei publice si private.
Linux utilizeaza implementarea serviciului SSH numita OpenSSH. Pentru folosirea acestui serviciu este necesara instalarea pachetului openssh, optional a pachetului openssh-clients, care contine clienti de conectare la alte calculatoare, si optional a pachetului openssh-server, care contine serverul ssh, daca se doreste acceptarea de conexiuni de pe alte calculatoare. Pentru ca masina sa accepte conexiuni SSH, trebuie ca serviciul sshd sa fie pornit.
Se recomanda instalarea unei versiuni cāt mai recente a acestor pachete, pentru a preveni existenta eventualelor bug-uri, de la adresa https: / 7www.isc.org.
Fisierele de configurare ale sistemului OpenSSH se gasesc īn directorul /etc/ssh. Fisierul /etc/ssh/ssh_config stabileste optiunile implicite, utilizate atāt de catre serverul, cāt si de catre clientii ssh, astfel:
Host Determina ca declaratiile si optiunile care urmeaza sa faca
referire doar la masinile care corespund descrierii specificate. Pot fi utilizate si caracterele wildcard "?" si "*". Astfel,
Administrarea si configurarea sistemelor Linux
declaratia Host * face referire la toate masinile si constituie
valoarea implicita. ForwardAgent Specifica ce agent de autentificare a conexiunii (daca exista)
sa fie trimis celeilalte masini. Implicit: No. ForwardXll Redirectioneaza automat sesiunile XII pe cealalta masina.
Implicit: No. Permite autentificarea prin .rhosts (vezi Partea
II, cap. 4). Implicit: No. Rhosts RSA A uthentication
Permite autentificarea prin .rhosts atunci cānd se utilizeaza
autentificare de tip RSA (Remote System Authenticatiori).
Implicit: No. RSAA uthentication
Utilizeaza autentificarea de tip RSA, care utilizeaza chei
publice si private pentru autentificare. Implicit: Yes. Nu se
recomanda modificarea acestei valori. PasswordA uthentication
Stabileste ca autentificarea sa fie realizata pe baza parolelor de
acces. Implicit: Yes. Nu se recomanda modificarea acestei
valori. FallBackToRsh īn cazul īn care conexiunea cu daemonul ssh esueaza,
utilizeaza serviciul rsh. Implicit: No. Nu este recomandata
modificarea acestei valori, datorita securitatii reduse a
serviciului rsh.
UseRsh Utilizeaza serviciile rloginlrsh. Valoarea implicita este No
si
nu este recomandata modificarea acesteia. BatchMode Stabileste daca īntrebarea privind numele si parola
utilizatorului la conectare va fi dezactivata (util daca se se
utilizeaza scp īn scripturi). Implicit: No. CheckHostIP Verifica adresa IP a masinii de pe care se face conectarea,
pentru a detecta atacuri de tip DNS spoofmg. Implicit: Yes. StrictHostKeyChecking
Specifica daca ssh va adauga automat noile chei īn
~/.ssh/known_hosts. Implicit: No. Pentru prevenirea
atacurilor de tip trojan horse ("cal troian"), se recomanda
setarea pe Yes a acestei optiuni. IdentityFile Specifica fisierul de identitate al sistemului RSA. Implicit:
-/.ssh/identity.
Port Stabileste portul la care se conecteaza ssh la distanta.
Implicit:
Cipher Stabileste tipul de criptare. Implicit: blowfish (acesta
utilizeaza blocuri de 64 biti si chei de criptare de pāna la 448
de biti). EscapeChar Specifica caracterul escape utilizat pentru suspendarea sesiunii.
Setari avansate ale sistemului
Informatii suplimentare pot fi obtinute prin mān ssh.
Fisierul /etc/ssh/sshd_config stabileste optiunile utilizate de daemonul ssh. Principalele optiuni recunoscute sunt urmatoarele:
Port Specifica portul la care ssh asteapta conexiuni. Implicit: 22.
ListenAddress Specifica adresa IP a interfetei de retea pe care va fi conectat
socketul
daemonului ssh. Implicit: 0.0.0.0 (toate interfetele).
HostKey Specifica
fisierul īn care se afla cheile private. Implicit:
/etc/ssh/ssh_host_key. ServerKeyBits Stabileste numarul de biti utilizat de cheia serverului. Aceasta
valoare este folosita la pornirea daemonului, pentru a-si
genera propria cheie RSA. LoginGraceTime Stabileste timpul de asteptare, īn secunde, īn care utilizatorul
nu va fi deconectat daca nu a intrat cu succes pe masina.
Implicit: 600. KeyRegenerationlnterval
Specifica intervalul de timp, īn secunde, īn care ssh īsi
regenereaza cheia de criptare. Implicit: 3600. PermitRootLogin Permite utilizatorului root sa se conecteze prin ssh. Implicit:
No. Nu trebuie setata pe Yes. IgnoreRhosts Stabileste daca .rhosts va fi utilizat sau nu īn procesul de
autentificare. Implicit: No. Ignore UserKnownHosts
Ignora continutul fisierului ~/.ssh/known_hosts īn cadrul
autentificarii RSA. Implicit: Yes. StrictModes Verifica permisiunile utilizatorului īn directorul home īnainte
de a accepta intrarea acestuia īn sistem (pentru a verifica, de
exemplu, daca directorul utilizatorului nu are drepturi de
scriere pentru oricine). Implicit: Yes. XllForwarding Activeaza/dezactiveaza redirectionarea sesiunilor XII.
Implicit: No.
PrintMotd Afiseaza continutul fisierului /etc/motd
(asa-numitul "mesaj
al zilei") atunci cānd un utilizator se conecteaza interactiv la
sistem. Implicit: Yes. SyslogFacility Stabileste clasa de jurnalizare utilizata de syslog. Implicit: A UTH.
Pentru detalii privind clasele de jurnalizare, vezi cap. 10.
Loglnfo Stabileste
nivelul de jurnalizare utilizat de syslog. Implicit:
INFO. Rhosts A uthentication
Permite autentificarea prin .rhosts. Implicit: No. Nu este
recomandata setarea pe Yes.
Administrarea si configurarea sistemelor Linux
RhostsRSAA ulhentication
Permite autentificarea prin .rhosts atunci cānd este utilizat
sistemul RSA. Implicit: No. RSAA uthentication
Utilizeaza sistemul de autentificare RSA. Implicit: Yes. Nu
este recomandata modificarea acestei valori. PasswordA uthentication
Stabileste ca autentificarea sa fie realizata pe baza parolelor de
acces. Implicit: Yes. Nu se recomanda modificarea acestei
valori. PermitEmptyPasswords
Permite folosirea de parole vide. Daca se doreste utilizarea scp
īn scripturi, aceasta optiune trebuie setata pe Yes. Implicit:
No.
AllowUsers Specifica ce utilizatori pot accesa serviciile
ssh.
CheckMail Informeaza utilizatorii privind existenta mesajelor noi atunci
cānd se face conectarea.
UseLogin Executa programul login dupa conectare.
Banner Specifica un fisier a carui continut va fi afisat dupa conectare
(de exemplu, /etc/issue.net).
Detalii suplimentare pot fi obtinute apelānd mān sshd. īn continuare prezentam un exemplu de fisier /etc/sshd_conf ig:
portul pe
care sunt acceptate conexiuni
Port 22
l nu permite intrarea utilizatorului root īn sistem PermitRootLogin no
clasa de
jurnalizare syslog
SyslogFacility AOTHPRIV
t nivelul de jurnalizare LogLevel INFO
utilizeaza
sistemul de autentificare RSA
RSAAuthentication yes
autentificarea
se face pe baza parolelor de acces
PasswordAuthentication yes
nu
accepta parole vide
PermitEmptyPasswords no
lista de
utilizatori carora li se permite intrarea īn sistem
AllowUsers dragos sabin
|
