Triky s OpenSSH. 4. listopadu 2012. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.



Podobné dokumenty
Zajímavé funkce OpenSSH

SSH: dálková správa serveru

SSH nejen pro vzdálenou správu Linuxu

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Secure Shell. X Window.

Bezpečnost vzdáleného přístupu. Jan Kubr

Zapomeňte už na FTP a přenášejte soubory bezpečně

SSL Secure Sockets Layer

Bezpečnější pošta aneb DANE for SMTP

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

ové služby a IPv6

Demo: Multipath TCP. 5. října 2013

Ochrana soukromí v DNS

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

VPN - Virtual private networks

OpenSSL a certifikáty

Uživatelská dokumentace

Linux a Vzdálená plocha

Falšování DNS s RPZ i bez

DNSSEC na vlastní doméně snadno a rychle

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 13. března 2014

Co musíte vědět o šifrování

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Bezpečnější pošta díky DANE

Ondřej Caletka. 27. března 2014

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

StartSSL: certifikáty zdarma

Od CGI k FastCGI. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Audit bezpečnosti počítačové sítě

Uživatel počítačové sítě

DNS, jak ho (možná) neznáte

Jen správně nasazené HTTPS je bezpečné

RadSec a IPsec. metody zabezpečeného připojení k národnímu RADIUS serveru. Jan Tomášek <jan.tomasek@cesnet.cz> CESNET, z. s. p. o.

Úvod do Operačních Systémů

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Směry rozvoje v oblasti ochrany informací KS - 7

Směry rozvoje v oblasti ochrany informací PS 7

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Bezpečnější bezpečnější díky DANE

Jak se měří Internet

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Zkušební provoz wifi sítě na SPŠ a VOŠ Písek

Ondřej Caletka. 2. března 2014

DNSSEC na vlastní doméně snadno a rychle

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

OpenVPN. Ondřej Caletka.

1. Obecná konfigurace autentizace osob. 2. Konfigurace klienta Windows Vista

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Použití čipových karet v IT úřadu

Certifikáty a jejich použití

Co musíte vědět o šifrování

Novinky TIA Portal V14

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Certifikační autorita EET Modelové postupy vytvoření souboru žádosti o certifikát

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 7

Radim Dolák Gymnázium a Obchodní akademie Orlová

Ondřej Caletka. 21. října 2015

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

epasy - cestovní doklady nově s otisky prstů Projekt CDBP

Návod na nastavení klienta pro připojení k WiFi síti SPŠE Brno

Počítačová síť TUONET a její služby

Jak se měří Internet

Mobilita a roaming Možnosti připojení

Dual-stack jako řešení přechodu?

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Možnosti nastavení zobrazíte volbou Konfigurace > Nastavení elektronické komunikace.

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

Knot DNS Knot Resolver

Modul ekomunikace. Uživatelský návod. Návod Dokumentace. Verze 1.1 poslední změna Modul ekomunikace strana 1/5

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Josef Hajas.

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Z internetu do nemocnice bezpečně a snadno

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Let s Encrypt nahoďte šifrování na webu

SMART KARTY V LINUXU A PROČ BY VÁS MĚLY ZAJÍMAT JAKUB JELEN, RED HAT

DoS útoky v síti CESNET2

Stručná instalační příručka SUSE Linux Enterprise Server 11

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Ing. Jitka Dařbujanová. TCP/IP, telnet, SSH, FTP

Desktop systémy Microsoft Windows

Ondřej Caletka. 5. listopadu 2013

Univerzita Pardubice. Návod na připojení k bezdrátové síti Eduroam Windows 7. V případě nejasností volejte

Metody zabezpečeného přenosu souborů

PŘIPOJENÍ K WI-FI SÍTI EDUROAM NA OSTRAVSKÉ UNIVERZITĚ

Vyšší odborná škola a Střední průmyslová škola, Šumperk, Gen. Krátkého 1

Transkript:

Triky s OpenSSH Ondřej Caletka 4. listopadu 2012 Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 1 / 13

OpenSSH Svobodná implementace protokolu SSH od tvůrců OpenBSD. Používaná snad ve všech unixových OS. Nejde zdaleka jen o šifrovaný telnet. Standardizováno v IETF. Přednáška bude zaměřená na ukázky. Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 2 / 13

Bězné přihlášení Server drží privátní klíče od každého algoritmu. Klient při prvním přihlášení potvrdí pravost otisku veřejného klíče. Vazbu adresy a klíče si uloží klient v ~/.ssh/known_hosts Uživatel se představí heslem. Spustí se shell. Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 3 / 13

Jednoduchá vylepšení Vylepšete svého klienta v souboru ~/.ssh/config. RandomArt obrázek VisualHostKey yes Udržení spojení ServerAliveInterval 10 Ukončení mrtvého spojení pomocí Enter ~. Napovídání jmen z known_hosts pomocí bash-completion vyžaduje nehashovaná jména serverů: HashKnownHosts no Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 4 / 13

Použití uživatelského klíče Vygenerujeme klíč pomocí ssh-keygen Dobrá praxe vyplnit smysluplný komentář -C O.Caletka Klíč chráníme silným heslem. V zájmu maximální kompatibility nepoužíváme ECDSA klíče. (Podporováno od OpenSSH 5.7.) Kopírování na server ručně nebo pomocí ssh-copy-id Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 5 / 13

Sdílené spojení Jedním SSHv2 spojením může být multiplexováno více nezávislých relací. Realizováno pomocí řídicího soketu. Master jej vytvoří a vede sít ové spojení, slave jej otevře a komunikuje prostřednictvím mastera. Autentizaci provádí pouze master. Příklad konfigurace sdílení ControlMaster auto ControlPath ~/.ssh/controlsock-%h-%p-%r ControlPersist 30 Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 6 / 13

SSH agent Klíčenka s privátními klíči uživatele. Nepustí privátní klíč. Komunikace unix domain socketem. Přidání klíče pomocí ssh-add -c vynutí vyžádání potvrzení před každým vystavením podpisu. Agenta je možné tunelovat pomocí ssh -A nebo volby ForwardAgent yes Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 7 / 13

Tunelování Statické i dynamické (SOCKS v4 / SOCKS v5). Nejde o TCP-in-TCP. Na poslouchací straně omezeno na localhost. Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 8 / 13

Netcat mode Přepínač -W <host>:<port> spojí stdio klienta k TCP spojení na straně serveru. Hodí se na tunelování SSH spojení SSH spojením. Výborně se kombinuje s volbou ProxyCommand ~/.ssh/config Host server-behind-firewall ProxyCommand ssh -W 10.0.0.1:22 firewall.nekde.cz Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 9 / 13

Ověření serveru pomocí DNSSEC Vygenerujeme otisk klíče serveru pro DNS pomocí ssh-keygen -r <owner> Klientovi nastavíme volbu VerifyHostKeyDNS <yes ask> Výhoda klíč je možné bezešvě rolovat. Příklad The authenticity of host server.example.com (1.2.3.4) can t be established. RSA key fingerprint is aa:55:cc:9c:a5:c6:1b:f1:a5:d2:be:eb:7e:1c:53:05. Matching host key fingerprint found in DNS. Are you sure you want to continue connecting (yes/no)? Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 10 / 13

OpenSSH certifikáty V SSH je možné používat certifikáty jako v PKI. Certifikační autoritou je libovolný SSH klíč. Certifikát je možné vystavit jak k serverovému, tak k uživatelskému klíči. Použítí například jako: Osobní CA pro všechny mé klíče můžu je průběžně měnit. Serverová CA podepíšu veřejné klíče serverů a nemusím se bát MitM. Centrální uživatelská CA budu vystavovat certifikáty různým uživatelům, nemusím složitě distribuovat authorized_keys Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 11 / 13

Mosh Mobile Shell SSH je přenášeno TCP protokolem. Na nekvalitní lince je práce nepříjemná. Mosh používá UDP zprávy a lokální odezvu. Autentizace pomocí SSH, žádný nový démon. Usnutí, či změna připojení za běhu. Ale... neumí tunely. neumí IPv6. nemá klienta pro mobilní platformy. Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 12 / 13

Závěr Děkuji za pozornost. Ondřej Caletka (CESNET, z.s.p.o.) Triky s OpenSSH 4. listopadu 2012 13 / 13

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář