Muokataan sivua SSH
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 1: | Rivi 1: | ||
SSH eli Secure SHell on alunperin suomalaisen Tatu Ylösen kehittämä etäkäyttöohjelmisto, jolla voidaan ottaa [[wikipedia:fi:salaus|salattuja]] yhteyksiä järjestelmästä toiseen. SSH:sta löytyy avoin [[OpenSSH]]-toteutus, joka on peräisin [[OpenBSD]]-projektista. [[PuTTY]] on [[X|X:ssä]] toimiva ssh-asiakasohjelma UNIX-järjestelmille ja Windowsille. SSH on käytännössä täysin korvannut käytössä aikaisemman salaamattoman RSH (Remote SHell) -protokollan. | |||
== Peruskäyttö == | == Peruskäyttö == | ||
Rivi 17: | Rivi 15: | ||
ssh minun.palvelin.example | ssh minun.palvelin.example | ||
ssh lyhytnimi | ssh lyhytnimi | ||
== Graafiset ohjelmat == | == Graafiset ohjelmat == | ||
Rivi 66: | Rivi 59: | ||
== Tunnistaminen avainparilla == | == Tunnistaminen avainparilla == | ||
Salasanatunnistuksen ohella varteenotettava tapa autentikoida yhteys palvelimelle on avainparimenettely. Siinä asiakaskoneella luodaan avainpari, jonka yksityinen osa jätetään omalle koneelle, ja julkinen osa siirretään kaikille niille koneille, joilla avainparitunnistusta halutaan käyttää. | Salasanatunnistuksen ohella varteenotettava tapa autentikoida yhteys palvelimelle on avainparimenettely. Siinä asiakaskoneella luodaan avainpari, jonka yksityinen osa jätetään omalle koneelle, ja julkinen osa siirretään kaikille niille koneille, joilla avainparitunnistusta halutaan käyttää. Tässä menettelyohjeet: | ||
*Luodaan avainpari ssh-keygen -ohjelmalla | |||
ssh-keygen -t rsa | |||
*Tässä vaiheessa ssh-keygen kysyy salasanaa avaimelle ja mahdollisesti polkua. Oletuspolkua (~/.ssh/id_rsa) ei yleensä pidä muuttaa, mutta salasana lisää turvallisuutta oleellisesti, jos joku pääsee käsiksi avaintiedostoon. Salasana saa olla mielivaltaisen pitkä. Tiedoston <tt>id_rsa</tt> turvallisuudesta on pidettävä huolta, sillä sen avulla kuka tahansa voi kirjautua käyttämillesi palvelimille tunnuksillasi (murrettuaan mahdollisen salasanan). | *Tässä vaiheessa ssh-keygen kysyy salasanaa avaimelle ja mahdollisesti polkua. Oletuspolkua (~/.ssh/id_rsa) ei yleensä pidä muuttaa, mutta salasana lisää turvallisuutta oleellisesti, jos joku pääsee käsiksi avaintiedostoon. Salasana saa olla mielivaltaisen pitkä. Tiedoston <tt>id_rsa</tt> turvallisuudesta on pidettävä huolta, sillä sen avulla kuka tahansa voi kirjautua käyttämillesi palvelimille tunnuksillasi (murrettuaan mahdollisen salasanan). | ||
*Sitten kopioidaan julkinen osa kaikille palvelimille missä tätä avainparia halutaan hyödyntää | *Sitten kopioidaan julkinen osa kaikille palvelimille missä tätä avainparia halutaan hyödyntää. Huomaa, että <tt>authorized_keys</tt>-tiedostossa jokaisella rivillä määritetään yksi avain. Jos et ole aiemmin käyttänyt tätä menetelmää, tiedostoa ei ole, ja oman julkisen avaimen kopioiminen etäkoneen <tt>authorized_keys</tt>-tiedostoksi ei tuota ongelmia. | ||
[[scp]] ~/.ssh/id_rsa.pub palvelin:/home/kayttaja/.ssh/authorized_keys | [[scp]] ~/.ssh/id_rsa.pub palvelin:/home/kayttaja/.ssh/authorized_keys | ||
Mikäli sinulla on jo ennestään etäkoneessa <tt>~/.ssh/authorized_keys</tt>-tiedosto, voit komentaa näin: | Mikäli sinulla on jo ennestään etäkoneessa <tt>~/.ssh/authorized_keys</tt>-tiedosto, voit komentaa näin: | ||
Rivi 91: | Rivi 76: | ||
*Pääteistunnon aluksi annetaan komento: | *Pääteistunnon aluksi annetaan komento: | ||
ssh-add -t 10800 | ssh-add -t 10800 | ||
*Seuraavaksi kysytään avaintiedoston salasanaa kerran, minkä jälkeen voit | *Seuraavaksi kysytään avaintiedoston salasanaa kerran, minkä jälkeen voit kirjautua normaalisti ssh:lla 10800 sekunnin ajan ilman salasanaa kaikille niille palvelimille, joille olet julkisen avaimesi kopioinut. | ||
Jos haluaa kirjautua automaattisesti, esimerkiksi cron-työn yhteydessä, joutuu käyttämään salasanatonta avaintiedostoa. Tähän käyttöön voi luoda rinnakkaisen avaimen, jota pidetään eri tiedostossa (johon viitataan ssh:n vivulla <code>-i</code>) ja avaimen valtuuksia voi rajoittaa laittamalla tiedoston authorized_keys tämän avaimen kohdalle rivin alkuun "optioita", esimerkiksi (huomaa pilkkujen, lainausmerkkien ja välilyöntien käyttö): | Jos haluaa kirjautua automaattisesti, esimerkiksi cron-työn yhteydessä, joutuu käyttämään salasanatonta avaintiedostoa. Tähän käyttöön voi luoda rinnakkaisen avaimen, jota pidetään eri tiedostossa (johon viitataan ssh:n vivulla <code>-i</code>) ja avaimen valtuuksia voi rajoittaa laittamalla tiedoston authorized_keys tämän avaimen kohdalle rivin alkuun "optioita", esimerkiksi (huomaa pilkkujen, lainausmerkkien ja välilyöntien käyttö): | ||
from="*.kotiverkko.example.org,työkoneeni.example.com",no-port-forwarding,no-X11-forwarding jatässäitsejulkinenavainkaikkinensa | from="*.kotiverkko.example.org,työkoneeni.example.com",no-port-forwarding,no-X11-forwarding jatässäitsejulkinenavainkaikkinensa | ||
''HUOM! Jos SSH- | ''HUOM! Jos SSH-palvelin on esim. Ubuntu ja siinä on eCryptfs:llä salatut kotihakemistot, joutuu SSH joka tapauksessa aina kysymään salasanaasi, koska sitä tarvitaan kotihakemiston salauksen avaamiseen.'' | ||
== Tunneli == | == Tunneli == | ||
Rivi 114: | Rivi 99: | ||
Tämän jälkeen voisit jollakin ohjelmalla ottaa yhteyttä osoitteeseen ja porttiin localhost:123 ja tunnelin ansiosta siinä vastaisikin sisäverkon koneen portti 1337. Kun olet valmis, katkaise SSH-istunto näppäinyhdistelmällä Ctrl+C. | Tämän jälkeen voisit jollakin ohjelmalla ottaa yhteyttä osoitteeseen ja porttiin localhost:123 ja tunnelin ansiosta siinä vastaisikin sisäverkon koneen portti 1337. Kun olet valmis, katkaise SSH-istunto näppäinyhdistelmällä Ctrl+C. | ||
=== Käänteinen tunneli === | === Käänteinen tunneli === | ||
Rivi 146: | Rivi 123: | ||
===Murtautuminen=== | ===Murtautuminen=== | ||
Se, että ssh-liikenne on salattua, ei estä murtautumasta ssh-palvelimen kautta suoraan. Itse palvelimessa ei ole ollut kovin paljon reikiä, mutta heikkoja salasanoja voi hyödyntää ssh-palvelimen kautta. Joissakin [[jakelu]]issa palvelin on oletuksena päällä, koska koneita on tarkoitettu etäylläpidettäviksi. Tällöin on tärkeää rajoittaa miltä koneilta ja mille tunnuksille ssh:lla pystyy kirjautumaan ja varmistamaan, että näillä tunnuksilla on hyvät salasanat – ellei salasanalla kirjautumista ssh:lla estetä kokonaan (katso [[#Tunnistaminen | Se, että ssh-liikenne on salattua, ei estä murtautumasta ssh-palvelimen kautta suoraan. Itse palvelimessa ei ole ollut kovin paljon reikiä, mutta heikkoja salasanoja voi hyödyntää ssh-palvelimen kautta. Joissakin [[jakelu]]issa palvelin on oletuksena päällä, koska koneita on tarkoitettu etäylläpidettäviksi. Tällöin on tärkeää rajoittaa miltä koneilta ja mille tunnuksille ssh:lla pystyy kirjautumaan ja varmistamaan, että näillä tunnuksilla on hyvät salasanat – ellei salasanalla kirjautumista ssh:lla estetä kokonaan (katso [[#Tunnistaminen avainpareilla|tunnistaminen avainpareilla]] yllä). | ||
Katso myös [[SSH-turvatoimet]]. | Katso myös [[SSH-turvatoimet]]. | ||
Rivi 200: | Rivi 177: | ||
==Katso myös== | ==Katso myös== | ||
*[[SSH-turvatoimet]] | *[[SSH-turvatoimet]] | ||
*[[ClusterSSH]] | *[[ClusterSSH]] | ||
*[[SFTP]] | *[[SFTP]] | ||
*[[SCP]] | *[[SCP]] | ||
*[[Telnet]] | *[[Telnet]] | ||
==Aiheesta muualla== | ==Aiheesta muualla== | ||
* [[wikipedia:fi:SSH|SSH Wikipediassa]] | * [[wikipedia:fi:SSH|SSH Wikipediassa]] | ||
* [http://www.openssh.com/ OpenSSH] | * [http://www.openssh.com/ OpenSSH] | ||
* [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] | * [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] | ||
Rivi 218: | Rivi 192: | ||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] | ||
[[Luokka:Komentorivin erikoisohjelmat]] | [[Luokka:Komentorivin erikoisohjelmat]] | ||