Zajímavé funkce OpenSSH

Podobné dokumenty
Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

SSH nejen pro vzdálenou správu Linuxu

Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Secure Shell. X Window.

SSH: dálková správa serveru

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Ochrana soukromí v DNS

SSL Secure Sockets Layer

Zapomeňte už na FTP a přenášejte soubory bezpečně

Falšování DNS s RPZ i bez

Linux a Vzdálená plocha

Bezpečnost vzdáleného přístupu. Jan Kubr

DNSSEC na vlastní doméně snadno a rychle

VPN - Virtual private networks

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Demo: Multipath TCP. 5. října 2013

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Ondřej Caletka. 2. března 2014

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Bezpečnější pošta aneb DANE for SMTP

Audit bezpečnosti počítačové sítě

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

ové služby na IPv6-only

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

ové služby a IPv6

Úvod, jednoduché příkazy

Ondřej Caletka. 13. března 2014

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Certifikační autorita EET Modelové postupy vytvoření souboru žádosti o certifikát

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

File Transfer Protocol (FTP)

Ondřej Caletka. 27. března 2014

DoS útoky v síti CESNET2

VZDÁLENÉ PŘIPOJENÍ - OpenVPN. Popis a vlastnosti služby

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Operační systémy. Cvičení 1: Seznámení s prostředím

Instrukce pro vzdálené připojení do učebny 39d

Uživatel počítačové sítě

StartSSL: certifikáty zdarma

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

Úvod do Operačních Systémů

Řešení pro audit činnosti administrátorů UNIX/Linux serverů

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

NAS 224 Vzdálený přístup manuální nastavení

TACHOTel manuál 2015 AURIS CZ

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

OpenSSL a certifikáty

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

Administrace Unixu (Nastavení firewallu)

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Desktop systémy Microsoft Windows

Stručná instalační příručka SUSE Linux Enterprise Server 11

Administrace služby - GTS Network Storage

OpenVPN a dynamické směrování

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

DNSSEC: implementace a přechod na algoritmus ECDSA

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Instalace SQL 2008 R2 na Windows 7 (64bit)

Metody zabezpečeného přenosu souborů

Provozní manuál DNSSec pro registr.cz a e164.arpa

Ondřej Caletka. 23. května 2014

SYSTEM EDUBASE INSTALAČNÍ PŘÍRUČKA

Přechod na síťovou verzi programu

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Firewall. DMZ Server

DNS, DHCP DNS, Richard Biječek

Novinky u zařízení pro sériovou komunikaci. Michal Kahánek

Příručka nastavení funkcí snímání

C2115 Praktický úvod do superpočítání

Administrace služby IP komplet premium

Další nástroje pro testování

Desktop systémy Microsoft Windows

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Ukazka knihy z internetoveho knihkupectvi

Služba ve Windows. Služba (service) je program

Platforma.NET 11.NET Framework 11 Visual Basic.NET Základní principy a syntaxe 13

Jak se měří Internet

Revize FW jednotek RTU7

Ondřej Caletka. 21. října 2015

Desktop systémy Microsoft Windows

Od CGI k FastCGI. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Nová cesta ip. Stará cesta ifconfig, route. Network address translation NAT

ČÁST 1 ÚVOD. Instalace operačního systému 21 Aktualizace operačního systému 57 Příkazový řádek 77 Windows Script Host 103 ČÁST 2 ŘEŠENÍ

Administrace služby IP komplet premium

BRICSCAD V15. Licencování

Kerio Administration Console

TC-502L TC-60xL. Tenký klient

Směry rozvoje v oblasti ochrany informací KS - 7

NSA GB HDD. Příručka k rychlé instalaci. Multimediální server s jedním diskem. Výchozí přihlašovací údaje. Webová adresa: nsa310 Heslo: 1234

Příručka rychlého nastavení připojení sítě

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Systém elektronické evidence návštěvnosti TDL500

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Transkript:

Zajímavé funkce OpenSSH Ondřej Caletka 28. června 2018 Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 1 / 24

Obsah 1 Úvod 2 Uživatelské klíče 3 Tunelování 4 Serverové klíče 5 Ostatní Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 2 / 24

Úvod Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 3 / 24

OpenSSH svobodná implementace protokolu SSH od tvůrců OpenBSD nejde zdaleka jen o šifrovaný telnet standardizováno v IETF Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 4 / 24

Bězné přihlášení 1 server drží privátní klíče od každého algoritmu 2 klient při prvním přihlášení potvrdí pravost o sku veřejného klíče serveru. Vazbu adresy a klíče si uloží klient v ~/.ssh/known_host 3 uživatel se představí heslem 4 spus se shell Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 5 / 24

Jednoduchá vylepšení uživatelská konfigurace v souboru ~/.ssh/config RandomArt obrázek VisualHostKey yes udržení spojení ServerAliveInterval 10 ukončení mrtvého spojení pomocí Enter ~. napovídání jmen z known_hosts pomocí bash-completion vyžaduje nehashovaná jména serverů: HashKnownHosts no Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 6 / 24

Sdílené spojení mul plexování více nezávislých relací jedním SSH spojením realizováno pomocí řídicího soketu master naváže spojení a vytvoří UNIX soket slave se komunikuje soketem. auten zaci provádí pouze master Konfigurace sdílení spojení ControlMaster auto ControlPath ~/.ssh/controlsock-%h-%p-%r ControlPersist 30 Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 7 / 24

Uživatelské klíče Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 8 / 24

Použi uživatelského klíče vygenerujeme klíč pomocí ssh-keygen dobrá praxe vyplnit smysluplný komentář -C oskar@latte klíč chráníme silným heslem různé algoritmy na výběr DSA 1024bit, deprecated, nepodporováno od verze 7.0 (2015) RSA volitelná délka, bezpečná výchozí 2048 bitů ECDSA 256, 384, nebo 521 bitů, k dispozici od 5.7 (2011) Ed25519 256 bitů, k dispozici od 6.4 (2014) pro maximální kompa bilitu s ne-openssh implementacemi jedině RSA kopírování na server ručně nebo pomocí ssh-copy-id Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 9 / 24

Volby v souboru authorized_keys from="2001:db8::1,192.0.2.1" omezení IP adresy no-port-forwarding zakáže tunelování restrict vypne všechny tunely, pty, atd. včetně případných budoucích funkcí environment="name=value" nastaví proměnné prostředí (např. GIT_AUTHOR_NAME) command="command" vynu spuštění konkrétního příkazu Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 10 / 24

SSH agent klíčenka s privátními klíči uživatele, nepus privátní klíč ad-hoc spuštění pomocí ssh-agent bash přidání klíče pomocí ssh-add -c vynu vyžádání potvrzení před každým vystavením podpisu automa cké přidání při prvním použi volbou AddKeysToAgent confirm lze omezit dobu života klíče v klíčence pro každý klíč i pro agenta: -t8h agenta je možné tunelovat pomocí ssh -A nebo volby ForwardAgent yes (super-)uživatel vzdáleného systému má ke klíčence přístup! lépe omezit jen na důvěryhodné servery a/nebo vyžadovat potvrzení před použi m klíče Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 11 / 24

OpenSSH cer fikáty možnost delegovat ověření klienta nebo serveru na cer fikační autoritu nejde o X.509, CA je obyčejný SSH klíč cer fikát v samostatném souboru <jméno klíče>-cert.pub použí například jako: osobní CA pro všechny klíče uživatele není třeba pravidelně aktualizovat authorized_keys serverová CA automa cká důvěra veřejným klíčům serverů centrální uživatelská CA v cer fikátu je uvedené jméno uživatele, v konfiguraci sshd je globální volba TrustedUserCAKeys revokace pouze distribucí revokačních seznamů Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 12 / 24

Tunelování Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 13 / 24

Tunelování sta cké i dynamické (SOCKS v4 / SOCKS v5) nejde o TCP-in-TCP ale tři nezávislá TCP spojení na poslouchací straně omezeno na localhost Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 14 / 24

Režim netcat přepínač -W <host>:<port> spojí stdio klienta k TCP spojení na straně serveru hodí se na tunelování SSH spojení SSH spojením. výborně se kombinuje s volbou ProxyCommand ~/.ssh/config Host server-behind-firewall ProxyCommand ssh -W 10.0.0.1:22 firewall.nekde.cz Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 15 / 24

Přímá podpora ProxyJump k dispozici od OpenSSH 7.3 automa cky naváže tunely skrz vyjmenované jump hosts -J [<user>]@<host>[:<port>], spojení se po cestě nerozšifrovává vylučuje se s volbou ProxyCommand ~/.ssh/config Host *.mgmt.cesnet.cz ProxyJump oskar@oskarpc.cesnet.cz Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 16 / 24

Serverové klíče Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 17 / 24

Serverové klíče stejné jako uživatelské klíče vygenerované při instalaci, nebo prvním startu nejsou chráněny heslem, je možné použít SSH agenta jeden 1 pro každý algoritmus ob žné rolování volba klienta UpdateHostKeys yes pro automa ckou aktualizaci klíčů (od verze 6.8) 1 nebo i více, ale používá se vždy první Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 18 / 24

Ověření serveru pomocí DNSSEC Příklad vygenerujeme o sk z klíče serveru na disku pomocí ssh-keygen -r <owner> klientovi nastavíme volbu VerifyHostKeyDNS <yes ask> výhoda klíč je možné bezešvě rolovat The authenticity of host 'server.example.com (192.0.2.1)' can't be established. RSA key fingerprint is aa:55:cc:9c:a5:c6:1b:f1:a5:d2:be:eb:7e:1c:53:05. Matching host key fingerprint found in DNS. Are you sure you want to continue connecting (yes/no)? Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 19 / 24

Ostatní Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 20 / 24

OpenSSH HPN patche OpenSSH není op malizováno na výkon pomalé při vyšší latenci kvůli malé a fixní velikos bufferů velké buffery zase zabíjejí interak vitu (Bufferbloat) problém řeší sada patchů označených jako HPN dynamická velikost bufferu podle TCP okna možnost nulového šifrování možnost paralelizace některých procesů Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 21 / 24

Mosh Mobile Shell zcela nový protokol pro příjemnější terminálové sezení na nekvalitní lince využívá UDP zprávy a inteligentní lokální odezvu auten zace pomocí SSH, žádný nový démon usnu a probuzení, či změna IP adresy klienta za běhu synchronizuje pouze stav obrazovky implementuje pouze UTF-8 terminál nedokáže nic tunelovat nedokáže roamovat mezi IP adresami serveru Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 22 / 24

Závěrem chraňte osobní klíče heslem i na šifrovaném disku používejte agenta, ale vyžadujte potvrzení každého použi klíče nemažte soubor known_hosts! Lepší je ssh-keygen -R <jméno serveru> zapněte ověřování SSHFP záznamů v DNS vyzkoušejte: ssh whoami.filippo.io více informací: Root.cz: Pokročilé vlastnos OpenSSH Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 23 / 24

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz h ps://ondřej.caletka.cz Prezentace je již nyní k dispozici ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) Zajímavé funkce OpenSSH 28. června 2018 24 / 24

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář