SSH zerbitzariak hiru zerbitzu nagusi eskaintzen dizkigu:

• Telnet moduko konexio bat abian jartzea zerbitzariarekin, baina konexio segurua erabiliz (informazioa enkriptatuta doa)
• SCP komandoak FTP protokoloaren antzera datuak mugitzeko aukera ematen digu, baina segurtasuna eskainiz, ssh protokoloa erabiltzen bait du.
• X Zerbitzaria daukagunean (linux batetik adibidez), zerbitzarian dauden aplikazio grafikoak erabiltzeko aukera ematen digu. Adibidez, suebakian dagoen fwbuilder exekutatu dezakegu, eta gure ordenagailuan ikusiko genuke fwbuilder programaren interfazea, nahiz eta gure ordenagailuan fwbuilder ez izan.
  

SSHk bi bertsio ditu, SSH1 eta SSH2. Seguruena SSH2a da, nahiz eta SSH1 mantentzen den bateragarritasunagatik.

Gure konfigurazioaren ezaugarriak hauek izango dira:

• SSH2 erabiliko dugu, eta zerbitzaria konfiguratzerakoan SSH1 ez onartzeko esango diogu.
  
• Konexioa burutu ahal izateko, ezinbestekoa izango da SSHren pasahitza (passphrase) erabiltzea, eta ez digu utziko zerbitzarian erabiltzaile moduan daukagun pasahitza erabiltzen.
• Root erabiltzailea ezin izango da konektatu. Konexioa erabiltzaile arrunt batekin sortu beharko dugu, eta gero “su -” erabiliz, root bihurtu beharko gera root bezala zerbait egin behar dugunean.
  

Adibideak Debian Sarge bat erabiliz egingo dugu. Hauxe bera RedHat8 baten ere instalatu izan dut, eta pausoak berdinak dira.

Paketea instalatzeko aukera desberdinak dauzkagu:

• www.openssh.org web gunean begiratu eta azkeneko bertsioa jaitsi.

• Debian erabiltzen baduzu, “apt-get install ssh” exekutatu

• Fedora eta beste distribuzioetan, paketeak instalatzeko erabiltzen den programa erabiliz, ssh paketea aukeratu eta instalatu.

Instalazioak ez dauka beste sekreturik.  :)

Instalazioa egin ondoren ssh konfiguratuta geratzen da. Zerbitzua sshd izeneko deabruak (deamon) kontrolatzen du.

Zerbitzua abian jartzeko:

/etc/init.d/ssh start

Zerbitzua gelditzeko:

/etc/init.d/ssh stop

Konfigurazioa aldatzeko, /etc/ssh/sshd_config izeneko fitxategia ireki eta aldatu egin behar dugu.

Aldatu beharreko lerroak hauek dira:

# root erabiltzailea ezingo da sartu ssh bidez
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
RhostsAuthentication no
hostsRSAAuthentication no
HostbasedAuthentication no
# Aplikazio grafikoak urrutitik abiarazteko
X11Forwarding yes 
PasswordAuthentication no
PermitEmptyPasswords no
#hau jarri ezkero, “passphrase” erabiliz bakarrik sartu gaitezke
ChallengeResponseAuthentication no

Irudi honetan ikusten dugun adibidean, ssh konexio bat egiten saiatzen gara baina ssh pasahitza (pssphrase) eskatzen duenean, ez diogu ezer sartzen, “enter” sakatzen dugu.

Zerbitzariak ez digu aukerarik eman zerbitzarian erabiltzaile bezala daukagun pasahitza erabiltzeko, zuzenean bota egin gaitu.

Erabiltzaile honek (pedro) zerbitzarian ssh gako publikoa konfiguratuta duenez, zerbitzariak baimendu egin du konexio saiakera, nahiz eta gero ez dugun lortu konexioa burutzea.

Zerbitzarian gako publikoa konfiguratua ez duen erabiltzaile batek konexioa egin nahi badu, zerbitzariak ez dio utziko saiatzen ere ez, eta zuzenean konexio saiakera moztu egingo du.

Kasu honetan, zerbitzariak konexio saiakera moztu egin du, izen horretako erabiltzailerik ez dagoela badakielako.

SCP erabiliz, zerbitzarian dauzkagun fitxategiak kopiatu ditzakegu, eta alderantziz, gure makinan dauzkagun fitxategiak zerbitzarira eraman.

Hau oso erosoa da segurtasun kopiak kudeatzeko unean. Demagun DMZn zerbitzari bat daukagula, eta zerbitzari horretan ez daukagula backup sistemarik datuak kopiatzeko.

Barruko sarean aldiz, backup sistemak gauero kopiatzen ditu beste zerbitzarien datuak.

Hau horrela izanik, egin beharreko bakarra scp bat da, horrela DMZko datuak barruko zerbitzari batera ekartzen ditugu, eta gure backup sisteman gordetzen dira.

SSH erabili ahal izateko, lehenengo gakoak sortu behar ditugu. Gakoak sortzerakoan, bi fitxategi sortuko dira, bata gure gako pribatuarekin, eta bestea gure gako publikoarekin.

SSH zerbitzarietan gako publikoa jarriko dugu, eta gako pribatua guk bakarrik izango dugu. Oso garrantzitsua da gure gako pribatua inori ez ematea.

Honela, ssh bitartez 5 zerbitzari kudeatu nahi baditugu, gure gako publikoa 5 zerbitzari horietan konfiguratu, gako pribatua gure ordenagailuan konfiguratu, eta arazorik gabe konektatu ahal izango gara.

Gakoak linux-en nola sortu

Gakoak sortzeko, gakoak erabiliko duen erabiltzailea bezala egon behar gera. Root bezala sortzen baditugu, root-ak bakarrik erabili ahal izango ditu.

ssh-keygen -t rsa

berak karpeta helburu bat proposatzen digu, home barruan, ~/.ssh/id_rsa
izeneko karpeta. Guk hori onartuko dugu.

Gero ssh pasahitza edo paraphrase sartzeko eskatuko digu. Pasahitz hau, sisteman daukagunaren berdina ez izatea komeni da.

Hau egin ondoren, bi fitxategi sortzen ditu:

• Gako pribatua: ~/.ssh/id_rsa
• Gako publikoa: ~/.ssh/id_rsa.pub

Gero ssh karpetaren eskubideak aldatu egin behar dira:

chmod 755 ~/.ssh

Gakoak Windows-en nola sortu

Windows batekin posible izango dugu bezero moduan ssh erabili. Horretarako putty erabiliko dugu.

Putty OpenSSHkoek egindako ssh bezero bat da windows sistementzako. SSH1 eta SSH2 erabiltzeko aukera emango digu, eta baita ere scp-ren antzera datuak kopiatzeko aukera PSCP erabiliz.

http://www.openssh.org/windows.html

Putty deskargatzeko orria hau da:

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Putty ez da programa bakar bat, programa talde bat baizik. Hauen artean, gakoak sortzeko erabiliko duguna, puttygen.exe izenekoa da.

SSH2-RSA gakoa sortzeko esango diogu, eta gakoa 1024 bitekoa izan behar dela.

Hauek dira berak defektuz ematen dizkigun aukerak, eta horrela utziko dugu.

“Generate” botoiari emango diogu, eta sagua mugituko dugu leiho gainetik. Berak datu horiekin gakoa sortuko du.

Hau egin ondoren, passphrase sartzeko eskatzen digu. Passphrase hau ssh erabiltzen dugunean erabiliko dugun pasahitza izango da. Ez dugu sartuko zerbitzarietan erabiltzaile bezala dauzkagun pasahitzak, baizik eta ssh gakoren pasahitza.

Orain, gakoak gordetzea falta zaigu. Gogoratu gako publikoa zerbitzarietan jartzeko dela, eta ez dago galtzeko beldurrik, baina gako pribatua ez du inork izan behar, hau ondo gordeta izan behar dugu.

Gako pribatua ppk formatuan gordetzen du, puttyk erabiltzen duen formatuan.

Gako publikoa ere gorde dezakegu, edo putty-ren leihoan dagoen laukitik kopiatu eta beste fitxategi batean itsatsi.

Gako publikoa zerbitzarira eraman

Orain falta zaiguna, gako publikoa zerbitzariko ~/.ssh/authorized_keys fitxategira eramatea da.

Hau oso garrantzitsua da, hemen kopiatu eta itsatsi ondo egitea ezinbestekoa da. Karaktere bat gutxiago edo gehiago jartzen badugu, ez dugu inoiz konexioa lortuko.

Gakoa linuxen sortu badugu, ~/.ssh/id_rsa.pub fitxategiaren edukia zerbitzariko ~/.ssh/authorized_keys fitxategian kopiatu behar dugu.

Gakoa puttygen.exe erabiliz sortu badugu, puttygen-eko leihoan gako publikoa kopiatu eta zerbitzariko ~/.ssh/authorized_keys fitxategian itsatsi.

Zerbitzarian ~/.ssh/authorized_keys izeneko fitxategirik ez badago, berri bat sortuko genuke.

Dokumentu hau sortzeko software askea erabili da:

• The Gimp irudientzako ( http://www.gimp.org/)
• Debian Sarge sistema eragilea (http://www.debian.org/)
• OpenSSH, (http://www.openssh.org/)

 

Dokumentua idazterakoan erabilitako informazio iturriak:

• http://www.europe.redhat.com/documentation
• http://www.openssh.org

 

 

Egilea:

Pedro Arreitunandia

Data:

2005-eko maiatzaren 11a

Lizentzia: Creative Commons by-sa/2.0