ARCHIV

Dobrý deň,

snažil som sa všemožne, ale konkrétne informácie k môjmu problému som nezohnal. Potreboval by som zabezpečiť, aby sa na server mohol prihlásiť len mnou povolený úžívateľ (teraz sa mi nejedná o Web prístup, ale o prístup cez PuTTy a SCP). Bolo by nejako možné jednoznačne podvrdiť užívateľovi právo na prístup ešte niečím iným ako heslom? Počul som, ale veľmi nekonkrétne, že by sa to dalo pomocou certifikátov. Teda, že by som vpustil dnu len užívateľa, ktorý má platný certifikát a vie heslo. Jednalo by sa o prístup asi pre 5 ľudí. Je toto možné? Alebo exituje nejaké lepšie riešenie? Ak o niečom viete, prosím, skúste to aj podrobnejšie opísať, ako by som na to mal ísť.

Ďakujem za Váš čas.

Temistokles

Pokud jste nekde slysel, ze je vhodne pouzivat jakesi certifikaty, tak jste slzsel spatne, certifikat by mel neco certifikovat, soubor, jehoz obsahem je soukromy klic a jakysi textovy komentar opravdu nic necertifikuje.

Jak uz muzete tusit z vyse uvedeneho, ssh opravdu umi mechanizmus s velice podobnymi vlastnostmi. Uzivatel prokazuje serveru znalost sveho soukromeho klice, ktery server overuje vuci verejnym klicum, ktere ziskava z nejruznejsich na konfiguraci zavislych mist (treba ~/.ssh/authorized_keys). Jedna se principialne o tentyz mechanizmus, kterym klient overuje identitu serveru.

Klic vyrobite nastrojem ssh-keygen(1) (prekvapive), pokud si spravne vzpominam, PuTTY pouziva nejaky vlastni nekompatibilni format, ktery je ovsem mozne trivialne konvertovat jakymsi nastrojem distribuovanym spolu s PuTTY. Neni trivialni (a vlastne to ani moc nedava smysl) kombinovat heslo a verejne klice, nicmene verejny klic jako takovy je mozno chranit heslem.

Asi som sa zle vyjadril. Myslel som certifikát, ktorý by slúžil na overenie užívateľa, rovnako ako sa overuje server. Teda by šlo o overovanie "kľúčov". Doteraz som žil v tom, že sa jedná o certifikáty (aspoň som sa vždy stretol s týmto pomenovaním). Ono je to ale vlastne jedno ako to nazveme :-D.

Ešte položím niekoľko ďalších otázok. Vygenerujem si kľúč. Kam ho na serveri uložím? Do ~/.ssh/authorized_keys? A ako zamedzímserveru, aby sa vôbec "rozprával" s ľudmi, ktorých certifikát nepovažujem za dôveryhodný?

Certifikat spojuje klic s nejakou entitou ktera jim disponuje, to znamena ze v sobe obsahuje i identifikaci te entity a je typicky nekym podepsan. Nicmene mate pravdu, ze se tento termin pouziva i v teto souvislosti, je to zpusobeno tim, ze klientske certifikaty funguji z pohledu uzivatele uplne stejne.

Pote co vygenerujete klic, dostanete dva soubory, jeden velky, ktery obsahuje (volitelne sifrovanou) dvojici soukrommy+verejny klic a jeden maly, ktery obsahuje pouze verejny klic. Do authorized_keys nakopirujete verejne klice, ktere maji byt dostatecne pro prihlaseni tohoto uzivatele.

Je rozumne, aby uzivatel sve heslo znal, pokud chcete zamezit tomu, aby se uzivatel prihlasil heslem vzdalene musite zakazat duverovani heslum v nastaveni sshd a pripadne upravit nastaveni PAM tak, aby nebylo mozne heslo pouzivat ani tam (teoreticky jde zakazat pouzivani PAM v nastaveni sshd, ale mam pocit, ze to ma jeste nejake dalsi, obvykle nezadouci, dusledky).

Server pochopitelne musi komunikovat s kymkoli, aby byl schopny zjistit, ze protistrana disponuje klicem, kteremu duveruje. Pokud chcete omezit to kymkoli, musite tak ucinit na urovni TCP/IP.

Super. Podarilo sa mi dosiahnuť, aby sa na server dalo prihlásiť pomocou certifikátu. Je ešte teda možné vypnúť prihlasovanie ľudí, ktorí platný certifikát nemajú? Teda nedovoliť prihlasovanie cez heslo. Celkom som to totiž nepochopil :-)

Jedná sa o položku
PasswordAuthentication yes -> no?

Nerád by som si zrušil prístup na server :D

To je jedna z casti. Druhou je overit, ze ani zadne jine povolene autentizacni metody neumoznuji prihlasit se heslem (jednou z nich je treba keyboard-interactive, na kterou je navesen prave vyse zmineny PAM).

Super, podarilo sa mi vyradiť to heslo opísaným spôsobom. Následne som si vygeneroval certifikáty. Kde nájdem nastavenia ostatných spomínaných možností prihlásenia heslom? Je možné PAM vypnúť úplne? Čo by to malo za následky?

Nastaveni PAMu najde prekvapive v nastaveni PAMu (/etc/pam.d/). Vypnout PAM uplne pravdepodobne neni nejlepsi napad, nicmene muzete zkusi vypnout pozivani
PAMu v sshd (UsePAM, mam takovy pocit, ze default v mnoha distribucich je vypnuto, takze by to zrejme melo fungovat dobre).

Pekne ďakujem, veľmi mi to pomohlo.

Dobrý deň,

došiel som ešte k jednej záludnosti. Pokúšal som sa podobný software ako WinSCP a PuTTy rozbehať aj na Linuxe (konkrétne Ubuntu). PuTTy som zohnal, dokázal som do neho vložiť aj svoj kľúč, čo je však väčší problém, nedokázal som nájsť vhodnú alternatívu k WinSCP. Teda všetky, ktoré som našiel boli samozrejme veľmi podobné, ale čo je podstatné, nedokázal som do nich nijak vložiť svoj kľúč. Existuje nejaký WinSCP podobný software pre Linux (ale potrebujem, aby podporoval importovanie kľúčov).

Vďaka za odpoveď.