Secure Shell. X Window.

Podobné dokumenty
Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

SSL Secure Sockets Layer

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Informatika / bezpečnost

Zajímavé funkce OpenSSH

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Zapomeňte už na FTP a přenášejte soubory bezpečně

Tel.: (+420)

Směry rozvoje v oblasti ochrany informací PS 7

Základy šifrování a kódování

Bezpečnost internetového bankovnictví, bankomaty

Šifrová ochrana informací věk počítačů PS5-2

Úvod do Operačních Systémů

Úvod, jednoduché příkazy

Šifrová ochrana informací věk počítačů PS5-2

SSH: dálková správa serveru

Metody zabezpečeného přenosu souborů

Bezpečnost vzdáleného přístupu. Jan Kubr

Linux a Vzdálená plocha

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Šifrování dat, kryptografie

PSK2-16. Šifrování a elektronický podpis I

Bezpečnostní mechanismy

Směry rozvoje v oblasti ochrany informací KS - 7

File Transfer Protocol (FTP)

Ing. Jitka Dařbujanová. TCP/IP, telnet, SSH, FTP

Identifikátor materiálu: ICT-2-04

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Autentizace uživatelů

GnuPG pro normální lidi

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Kryptografie - Síla šifer

Správa přístupu PS3-2

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Vzdálený přístup k počítačům

Téma 1: Práce s Desktop. Téma 1: Práce s Desktop

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Internet Information Services (IIS) 6.0

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

ElGamal, Diffie-Hellman

INFORMAČNÍ BEZPEČNOST

C2110 Operační systém UNIX a základy programování

PA159 - Bezpečnostní aspekty

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

PSK2-14. Služby internetu. World Wide Web -- www

Bezpečnost elektronických platebních systémů

Metodický list č.1. Vladimír Smejkal: Grada, 1999, ISBN (a další vydání)

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Operační systémy. Cvičení 1: Seznámení s prostředím

Systém Přenos verze 3.0

VPN - Virtual private networks

Administrace OS Unix. Úvodní informace Principy administrace Uživatelé

Uživatelská příručka

Zero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS

Přednáška. Vstup/Výstup. Katedra počítačových systémů FIT, České vysoké učení technické v Praze Jan Trdlička, 2012

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Úvod - Podniková informační bezpečnost PS1-2

Jan Hrdinka. Bakalářská práce

Otázka 22 Zadání. Předmět: A7B32KBE

BEZPEČNOST INFORMACÍ

Programové vybavení OKsmart pro využití čipových karet

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Správa webserveru. Blok 9 Bezpečnost HTTP. 9.1 Úvod do šifrování a bezpečné komunikace Základní pojmy

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Operační systémy: funkce

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

SIM karty a bezpečnost v mobilních sítích

Šifrování pro úplné začátečníky

Základy programování Operační systémy (UNIX) doc. RNDr. Petr Šaloun, Ph.D. VŠB-TUO, FEI (přednáška připravena z podkladů Ing. Michala Radeckého)

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

PV157 Autentizace a řízení přístupu

STŘEDOŠKOLSKÁ ODBORNÁ ČINNOST. Obor SOČ: 18. Informatika. Školní sdílení PC obrazovek. School sharing PC screens

Další nástroje pro testování

asymetrická kryptografie

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

C2110 Operační systém UNIX a základy programování

Digitální podepisování pomocí asymetrické kryptografie

Lekce 11 IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Vybrané aplikační protokoly. Telnet, SSH FTP, TFTP, NFS

Uživatelská příručka Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace MS Outlook 2003

Certifikáty a jejich použití

CZ.1.07/1.5.00/

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

EU-OPVK:VY_32_INOVACE_FIL13 Vojtěch Filip, 2014

Počítačové sítě Teoretická průprava II. Ing. František Kovařík

SSH nejen pro vzdálenou správu Linuxu

Ing. Jitka Dařbujanová. , SSL, News, elektronické konference

Hospodářská informatika

KLASICKÝ MAN-IN-THE-MIDDLE

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Transkript:

Přednáška 10 Secure Shell. X Window. Katedra číslicových systémů FIT, České vysoké učení technické v Praze Jan Trdlička, 2011 Příprava studijního programu Informatika je podporována projektem financovaným z Evropského sociálního fondu a rozpočtu hlavního města Prahy. Praha & EU: Investujeme do vaší budoucnosti

Secure shell SSH Softwarové řešení síťového zabezpečení (na aplikační úrovni). Založené na architektuře klient/server klienti: ssh, slogin, scp (v Unixu) např. putty, winscp (MS Windows) server: sshd transportní protokol je TCP/IP a server obvykle naslouchá na portu 22 různé implementace SSH1, SSH2, OpenSSH,... Přehled vlastností: Soukromí (šifrování) = ochrana dat před rozkrytím (odposloucháváním) Integrita dat = garance, že se data nezmění během přenosu Autentizace = ověření identity (jak serveru tak uživatele) Autorizace = definice co smí příchozí uživatel dělat Směrování (tunelování) = zapouzdření jiného protokolu využívající služeb TCP/IP do šifrované relace SSH

Základy kryptografie I Šifrování (šifra) proces kódování dat takovým způsobem, aby je nebylo možné přečíst neoprávněnými osobami Šifrovací algoritmus konkrétní metoda, kterou se kódování provádí (např. DES, RSA, DSA,...) považuje se za bezpečný tehdy, když je pro ostatní osoby neproveditelné přečíst data bez znalosti klíče v současnosti nelze dokázat, že nějaký algoritmus je 100% bezpečný Kryptoanalýza pokus dešifrování dat bez znalosti klíče

Symetrické šifry (šifry s tajným klíčem) k zašifrování a rozšifrování se používá tentýž klíč výhoda: rychlost šifrování/dešifrování nevýhoda: problém s distribucí klíče např. Blowfish, DES, IDEA, RC4 Základy kryptografie II Asymetrické šifry (šifry s veřejnými klíči) používá se dvojce klíčů: veřejný a soukromý klíč data zašifrovaná veřejným klíčem lze rozšifrovat pouze jeho soukromým klíčem nelze odvodit soukromý klíč z veřejného výhoda: odpadá problém s distribucí klíče nevýhoda: pomalé šifrování/dešifrování např. RSA, DSA, ElGamal, Elliptic Curve,...

Ustanovení zabezpečeného spojení 1. Klient kontaktuje server (port TCP na serveru obvykle 22) 2. Klient a server si vzájemně sdělí jaké verze SSH podporují. 3. Server se identifikuje klientovi a dodá mu parametry relace veřejný klíč hostitele seznam šifrovacích, kompresních a autentizačních metod, které server podporuje 4. Klient odešle serveru tajný klíč relace (zašifrovaný pomocí veřejného klíče hostitele). 5. Obě strany zapnou šifrování a dokončí autentikaci serveru (klient čeká na potvrzovací zprávu od serveru).

Připojení na neznámý server (první připojení) Příklady $ ssh trdlicka@dray1.feld.cvut.cz The authenticity of host 'dray1.feld.cvut.cz (147.32.192.154)' can't be established RSA key fingerprint is d8:d4:05:fe:a7:b5:a1:42:6b:79:d4:58:3e:fe:44:1f. Are you sure you want to continue connecting (yes/no)? yes Pro kontrolu, zda dva klíče jsou stejné, se používá otisk klíče (fingerprint). Jak získat otisk klíče? $ ssh-keygen -l -f ssh_host_rsa_key.pub 1024 d8:d4:05:fe:a7:b5:a1:42:6b:79:d4:58:3e:fe:44:1f ssh_host_rsa_key.pub

Autentizace klienta Po ustanovení zabezpečeného spojení se klient pokouší prokázat svou identitu (existuje několik metod): Heslem Veřejným klíčem klienta 1. klient pošle svůj veřejný klíč serveru (např. ~uživatela/.ssh/id_dsa.pub) 2. server se pokusí najít záznam o klíči (např ~uživatelb/.ssh/authorized_keys) 3. server vygeneruje náhodný řetězec, zašifruje ho veřejným klíčem klienta a pošle ho klientovi 4. klient rozšifruje zašifrovaný řetězec svým soukromým klíčem a pošle serveru

Příklady Vygenerování dvojce klíčů $ ssh-keygen -t dsa Klíče se explicitně uloží do souborů ~uživatela/.ssh/id_dsa ~uživatela/.ssh/id_dsa.pub (soukromý klíč) (veřejný klíč) Pokud zadáte přístupovou frázi, pak bude klíč zašifrován a při autorizaci pomocí klíče budete muset zadávat přístupovou frázi. Přidání veřejného klíče klienta do souboru na serveru ~uživatelb/.ssh/authorized_keys Autentizace pomocí veřejného klíče uživatela@klient$ ssh uživatelb@server uživatelb@server$

Příklady Jak najít problém při připojování ssh v uživatel@server

Tunelování protokolu X11 Spojení přes protokol X lze přesměrovat přes SSH, které mu poskytne bezpečnost. Klient SSH si při připojení k serveru SSH vyžádá směrování protokolu X (musí být zapnuto na klientovi SSH a povoleno na serveru SSH): SSH server nastaví proměnnou DISPLAY=localhost:pořadové_číslo_serveru.0 SSH server začne poslouchat na lokálním portu 6000+pořadové_číslo_serveru a vše přeposílá na SSH klienta klient SSH se chová jako X klient a obdržené výstupy posílá X serveru

Příklad Připojení z počítača na počítačb a zapnutí tunelování X11 $ ssh X uživatel@počítačb

Tunelování portů (místní) I SSH klient na jedné straně přijímá požadavky na služby (TCP), zašifrované je posílá na SSH server, který je na druhé straně doručí cílovému příjemci. SSH tunel je pro aplikace transparentní. ssh L 2001:localhost:80 uživatel@počítačb

Tunelování portů (místní) II Jednotliví klienti a servery můžou běžet na různých počítačích. ssh g L 2001:počítačD:80 uživatel@počítačc

Tunelování portů (vzdálené)i ssh g R 2001:počítačD:80 uživatel@počítačc

X Window systém Systém pro správu oken. Poskytuje nástroje pro tvorbu GUI (Graphical User Interface) a grafických aplikací. Nezávislý na hardwaru. Transparentní vůči sítím a OS. Historie 1984 počátek vývoje (Massachusetts Institute of Technology) 1985 verze 9 1986 X10R4 1987 X11R1 2007 X11R7.3

Architektura model klient/server X Window systém dva nezávislé procesy, které spolu komunikují pomocí přesně definovaného X protokolu X server obsluhuje grafické zařízení (obrazovka, myš, klávesnice) a předává klientům zprávy o akcích uživatele každý X server může obsluhovat více X klientů X klient aplikace, která vysílá požadavky na otevírání oken, manipulaci s nimi a vykreslování textu a grafiky hardwarově nezávislý přenositelnost každý X klient může využívat služeb více X serverů

X Window systém Komunikace mezi X klientem a X serverem je asynchronní: X klienti vysílají požadavky k serveru, kde jsou řazeny do fronty a postupně vyřizovány (zachovává se pořadí v čase, nemusí být vyřízeny okamžitě) X klient obvykle nečeká, ale může si synchronní zpracování požadavků vyžádat zpomalení systému X server je obvykle realizován softwarově, někdy je součástí hardware a firmwaru.

X Window systém Xlib knihovna nejnižší úroveň Intrinsics knihovna, která spravuje základní přípravky widget (tlačítka, lišty,...) Motif knihovna pro tvorbu GUI Správce oken např. FVWM, CDE, KDE, GNOME,... Aplikace xterm, xclock, xcalc,...

Příklady Správa přístupu k X serveru pomocí konfig. souboru /etc/x*.hosts pomocí příkazu xhost +počítač -počítač např. xhost +sunray1 dray1 Přesměrování grafických výstupů aplikací pomocí proměnné shellu DISPLAY DISPLAY=[počítač]:číslo_serveru.[obrazovka] např. export DISPLAY=počítač:0.0 pomocí přepínače d (-display) program d [počítač]:číslo_serveru.[obrazovka] např. xterm d sunray1:0.0

Příklady Nastavení parametrů Příkazem xset nastavení chování např. xset b on/off (nastaveni zvonku) xset fp adresař (nastavení cesty k fontům) Pomocí parametrů u jednotlivých klientů xterm g šířkaxvýška±xoff±yoff V konfiguračních souborech Globálních /etc/x11/xdefaults nebo /etc/x11/xresources Lokálních $HOME/.Xdefaults nebo $HOME/.Xresources pro jednotlivé aplikace: např. /usr/x11/lib/x11/app-defaults/aplikace v CDE např. $HOME/.dt/sessions/current/dt.settings

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář