Creare server ssh

Ssh este un protocol ce permite transferul datelor si accesul de la distanta a unor dispozitive. Se realozeaza printr-un tunel securizat intre dispozitivele conectate la internet.
1. Instalam serverul openssh, in Debian, Ubuntu si derivate se instaleaza folosind comanda:

apt-get install openssh-server  openssh-client (openssh-client este optional, el se instaleaza doar daca se doreste si un client cli)

pentru Fedora, CentOS, etc:

yum -y install openssh-server openssh-clients (openssh-clients este optional, el se instaleaza doar daca se doreste si un client cli)

iar pentru Arch linux

 pacman -S openssh (clientul se instaleaza odata cu serverul)

2. Configurarea serverului se face modificand fisierul sshd_config din /etc/ssh/

nano /etc/ssh/sshd_config

a) Portul presetat pentru ssh este 22 dar este bine sa fie schimbat, pentru asta decomentam (stergem semnul "#" din fata liniei) linia "port" si schimbam 22 cu portul pe care il vrem

b ) Dezactivam autentificarea ca root decomentand linia PermitRootLogin si in loc de "yes" schimbam in "no"
ex:

#PermitRootLogin yes

PermitRootLogin no

c) Permitem autentificarea cu utilizatorul dorit adaugand

AllowUsers username

d) Se specifica cat timp se va pastra conexiunea fara ca utilizatorul sa se autentifice decomentand linia "LoginGraceTime" si schimbam 2m cu perioada de timp pe care o dorim (ex 50s pentru 50 de secunde)

4. Se porneste serverul, in debian, ubuntu si derivate prin:

service ssh start (pentru oprire se foloseste service ssh stop, ex service ssh stop)
update-rc.d ssh enable (pentru pornirea odata cu sistemul)

pentru centos, fedora, etc

service sshd start (pentru oprire se foloseste service sshd stop, ex service sshd stop)
systemctl enable sshd (pentru pornirea odata cu sistemul)

iar pentru arch linux

systemctl start sshd (pentru oprire se foloseste "stop", ex: systemctl stop sshd)
systemctl enable sshd (pentru pornirea odata cu sistemul)

5. Conectarea se realizeaza cu comanda

ssh -p numar_port nume_masina

pentru mai multe optiuni folositi, man ssh.

Edited by Zinus, 06 December 2014 - 00:00.

Multumesc! Am adaugat link catre material in topicul dedicat "TUTORIALE".

Un hint: dezactivati autentificarea cu parola prin ssh si activati autentificarea cu cheie, generati cheia cu ssh-keygen si gata, cine nu are cheia degeaba afla parola si portul folosit pentru ssh ca nu se poate autentifica.
Alt hint: AllowUsers user@masina daca va conectati de la un singur IP restrictioneaza ssh-ul doar de la acel IP si acel user. Dupa AllowUses e bine de pus si DenyUsers All

[root@Shouryuu ~]# grep -v "#" /etc/ssh/sshd_config
Port 2200
ListenAddress 127.0.0.1
Protocol 2
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
KeyRegenerationInterval 1h
ServerKeyBits 2048
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 1m
PermitRootLogin yes
PubkeyAuthentication yes
AuthorizedKeysFile	  .ssh/authorized_keys
PasswordAuthentication no
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
Subsystem	   sftp	/usr/lib/ssh/sftp-server
AllowUsers [email protected]
DenyUsers All
[root@Shouryuu ~]#

Generez cheia RSA, -t rsa, sau DSA, -t dsa, cheie de 2048 biti, bigger better:

[jimmy@Shouryuu ~]$ ssh-keygen -t rsa -b 2048 -C "James Wolf"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/jimmy/.ssh/id_rsa):
Created directory '/home/jimmy/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/jimmy/.ssh/id_rsa.
Your public key has been saved in /home/jimmy/.ssh/id_rsa.pub.
The key fingerprint is:
46:02:96:34:eb:b5:ee:98:d6:1b:76:bf:a0:89:25:e5 James Wolf

Se copie continutul fisierului .pub in .ssh/authorized_keys din directorul user-ului cu care ne conectam apoi conectarea se face cu ssh -p port -i identity_file -l user host:

[jimmy@Shouryuu ~]$ cat .ssh/id_rsa.pub >> .ssh/authorized_keys
[jimmy@Shouryuu ~]$ ssh -p 2200 -i .ssh/id_rsa -l jimmy localhost
Warning: Permanently added '[localhost]:2200' (RSA) to the list of known hosts.
X11 forwarding request failed on channel 0
Last login: Sat Dec  6 11:07:22 2014
[jimmy@Shouryuu ~]$ w | grep ssh
jimmy	pts/2	 11:09	2.00s  0.14s  0.01s ssh -p 2200 -i .ssh/id_rsa -l jimmy localhost

Si done teoria zice ca atata vreme cat nu se pierde cheia privata se poate accesa masina remote doar de catre persoane autorizate. Autentificarea cu parola prin ssh ca orice alta autentificare prin parola poate fi tinta unor atacuri brute force, odata aflata parola masina este compromisa. La o cheie RSA se poate adauga o fraza cheie sau nu, se vede mai sus ca la generarea cheii se cere passphrase doar ca eu nu mai folosesc asa ceva, fraza cheie, de prin 2005 - 2006 la ssh. Au fost masini sparte la munca deoarece lasau ssh-ul pe port default cu autentificare cu parola si parola slaba, putine caractere and shit.

Multumesc pentru completare, uitasem de autentificarea prin cheie.

Edited by Zinus, 06 December 2014 - 11:39.

Am un Raspberry Pi acasa in spatele routerului de la RDS F660RV1 , i am facut forward la portul 22 si il accesez de la distanta prin ssh.Problema este ca ma blocheaza dupa cateva conectari si nu stiu exact ce sa fac pt a avea acces de la distanta la Raspberry.Multumesc@