LINUXSOFT.cz
Nazwa użytkownika: Hasło:     
    CZ UK PL

> Komentarze :: Poradna Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP

Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 30.3.2007 16:28
Temistokles

Dobrý deň,

snažil som sa všemožne, ale konkrétne informácie k môjmu problému som nezohnal. Potreboval by som zabezpečiť, aby sa na server mohol prihlásiť len mnou povolený úžívateľ (teraz sa mi nejedná o Web prístup, ale o prístup cez PuTTy a SCP). Bolo by nejako možné jednoznačne podvrdiť užívateľovi právo na prístup ešte niečím iným ako heslom? Počul som, ale veľmi nekonkrétne, že by sa to dalo pomocou certifikátov. Teda, že by som vpustil dnu len užívateľa, ktorý má platný certifikát a vie heslo. Jednalo by sa o prístup asi pre 5 ľudí. Je toto možné? Alebo exituje nejaké lepšie riešenie? Ak o niečom viete, prosím, skúste to aj podrobnejšie opísať, ako by som na to mal ísť.

Ďakujem za Váš čas.

Temistokles

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 30.3.2007 20:03
Aleš Hakl

Pokud jste nekde slysel, ze je vhodne pouzivat jakesi certifikaty, tak jste slzsel spatne, certifikat by mel neco certifikovat, soubor, jehoz obsahem je soukromy klic a jakysi textovy komentar opravdu nic necertifikuje.

Jak uz muzete tusit z vyse uvedeneho, ssh opravdu umi mechanizmus s velice podobnymi vlastnostmi. Uzivatel prokazuje serveru znalost sveho soukromeho klice, ktery server overuje vuci verejnym klicum, ktere ziskava z nejruznejsich na konfiguraci zavislych mist (treba ~/.ssh/authorized_keys). Jedna se principialne o tentyz mechanizmus, kterym klient overuje identitu serveru.

Klic vyrobite nastrojem ssh-keygen(1) (prekvapive), pokud si spravne vzpominam, PuTTY pouziva nejaky vlastni nekompatibilni format, ktery je ovsem mozne trivialne konvertovat jakymsi nastrojem distribuovanym spolu s PuTTY. Neni trivialni (a vlastne to ani moc nedava smysl) kombinovat heslo a verejne klice, nicmene verejny klic jako takovy je mozno chranit heslem.

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 31.3.2007 10:31
Temistokles

Asi som sa zle vyjadril. Myslel som certifikát, ktorý by slúžil na overenie užívateľa, rovnako ako sa overuje server. Teda by šlo o overovanie "kľúčov". Doteraz som žil v tom, že sa jedná o certifikáty (aspoň som sa vždy stretol s týmto pomenovaním). Ono je to ale vlastne jedno ako to nazveme :-D.

Ešte položím niekoľko ďalších otázok. Vygenerujem si kľúč. Kam ho na serveri uložím? Do ~/.ssh/authorized_keys? A ako zamedzímserveru, aby sa vôbec "rozprával" s ľudmi, ktorých certifikát nepovažujem za dôveryhodný?

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 31.3.2007 15:06
Aleš Hakl

Certifikat spojuje klic s nejakou entitou ktera jim disponuje, to znamena ze v sobe obsahuje i identifikaci te entity a je typicky nekym podepsan. Nicmene mate pravdu, ze se tento termin pouziva i v teto souvislosti, je to zpusobeno tim, ze klientske certifikaty funguji z pohledu uzivatele uplne stejne.

Pote co vygenerujete klic, dostanete dva soubory, jeden velky, ktery obsahuje (volitelne sifrovanou) dvojici soukrommy+verejny klic a jeden maly, ktery obsahuje pouze verejny klic. Do authorized_keys nakopirujete verejne klice, ktere maji byt dostatecne pro prihlaseni tohoto uzivatele.

Je rozumne, aby uzivatel sve heslo znal, pokud chcete zamezit tomu, aby se uzivatel prihlasil heslem vzdalene musite zakazat duverovani heslum v nastaveni sshd a pripadne upravit nastaveni PAM tak, aby nebylo mozne heslo pouzivat ani tam (teoreticky jde zakazat pouzivani PAM v nastaveni sshd, ale mam pocit, ze to ma jeste nejake dalsi, obvykle nezadouci, dusledky).

Server pochopitelne musi komunikovat s kymkoli, aby byl schopny zjistit, ze protistrana disponuje klicem, kteremu duveruje. Pokud chcete omezit to kymkoli, musite tak ucinit na urovni TCP/IP.

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 2.4.2007 21:10
Temistokles

Super. Podarilo sa mi dosiahnuť, aby sa na server dalo prihlásiť pomocou certifikátu. Je ešte teda možné vypnúť prihlasovanie ľudí, ktorí platný certifikát nemajú? Teda nedovoliť prihlasovanie cez heslo. Celkom som to totiž nepochopil :-)

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 2.4.2007 22:16
Temistokles

Jedná sa o položku
PasswordAuthentication yes -> no?

Nerád by som si zrušil prístup na server :D

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 2.4.2007 23:22
Aleš Hakl

To je jedna z casti. Druhou je overit, ze ani zadne jine povolene autentizacni metody neumoznuji prihlasit se heslem (jednou z nich je treba keyboard-interactive, na kterou je navesen prave vyse zmineny PAM).

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 4.4.2007 14:53
Temistokles

Super, podarilo sa mi vyradiť to heslo opísaným spôsobom. Následne som si vygeneroval certifikáty. Kde nájdem nastavenia ostatných spomínaných možností prihlásenia heslom? Je možné PAM vypnúť úplne? Čo by to malo za následky?

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 4.4.2007 15:36
Aleš Hakl

Nastaveni PAMu najde prekvapive v nastaveni PAMu (/etc/pam.d/). Vypnout PAM uplne pravdepodobne neni nejlepsi napad, nicmene muzete zkusi vypnout pozivani
PAMu v sshd (UsePAM, mam takovy pocit, ze default v mnoha distribucich je vypnuto, takze by to zrejme melo fungovat dobre).

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 5.4.2007 22:22
Temistokles

Pekne ďakujem, veľmi mi to pomohlo.

Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 6.5.2007 10:02
Temistokles

Dobrý deň,

došiel som ešte k jednej záludnosti. Pokúšal som sa podobný software ako WinSCP a PuTTy rozbehať aj na Linuxe (konkrétne Ubuntu). PuTTy som zohnal, dokázal som do neho vložiť aj svoj kľúč, čo je však väčší problém, nedokázal som nájsť vhodnú alternatívu k WinSCP. Teda všetky, ktoré som našiel boli samozrejme veľmi podobné, ale čo je podstatné, nedokázal som do nich nijak vložiť svoj kľúč. Existuje nejaký WinSCP podobný software pre Linux (ale potrebujem, aby podporoval importovanie kľúčov).

Vďaka za odpoveď.


KOMENTARZE
Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 30.3.2007 16:28 Temistokles
  |- Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 30.3.2007 20:03 Aleš Hakl
  | L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 31.3.2007 10:31 Temistokles
  |   L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 31.3.2007 15:06 Aleš Hakl
  |     L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 2.4.2007 21:10 Temistokles
  |       L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 2.4.2007 22:16 Temistokles
  |         L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 2.4.2007 23:22 Aleš Hakl
  |           L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 4.4.2007 14:53 Temistokles
  |             L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 4.4.2007 15:36 Aleš Hakl
  |               L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 5.4.2007 22:22 Temistokles
  L Re: Overovanie užívateľov na serveri pomocou jednoznačného spôsobu (nielen hesla) na PuTTy a SCP 6.5.2007 10:02 Temistokles
Tylko zarejestrowani użytkownicy mogą dopisywać komentarze.
> Szukanie oprogramowania
1. Pacman linux
Download: 4851x
2. FreeBSD
Download: 9044x
3. PCLinuxOS-2010
Download: 8541x
4. alcolix
Download: 10916x
5. Onebase Linux
Download: 9631x
6. Novell Linux Desktop
Download: 0x
7. KateOS
Download: 6219x

1. xinetd
Download: 2383x
2. RDGS
Download: 937x
3. spkg
Download: 4693x
4. LinPacker
Download: 9918x
5. VFU File Manager
Download: 3173x
6. LeftHand Mała Księgowość
Download: 7171x
7. MISU pyFotoResize
Download: 2776x
8. Lefthand CRM
Download: 3540x
9. MetadataExtractor
Download: 0x
10. RCP100
Download: 3089x
11. Predaj softveru
Download: 0x
12. MSH Free Autoresponder
Download: 0x
©Pavel Kysilka - 2003-2024 | mailatlinuxsoft.cz | Design: www.megadesign.cz