Bezpečné přihlašování

Při přihlašování na servery Unix programy telnet nebo ftp je zasíláno zadávané heslo v otevřené podobě a hrozí nebezpečí odposlechu hesla na síti. Řešením je použít šifrované spojení.

Program ssh

Na všech fakultních serverech je podporováno přihlašování pomocí ssh (slogin). Program ssh nahrazuje program telnet a zajišťuje bezpečné šifrované spojení na server. Program ssh je volně dostupný pro systémy Unix na http://www.openssh.com/. V běžných distribucích systémů Linux a BSD je dnes standardně začleněn. Pokud se tedy přihlašujete na fakultní servery z jiných systémů Unix, použijte program ssh nebo slogin.

ssh pro Windows 7/8/10

Putty

Viz http://www.chiark.greenend.org.uk/~sgtatham/putty/. Obsahuje jak ssh, tak scp a sftp. Ve fakultní síti FIT tyto aplikace najdete na síťovém disku Q:\netapp\putty. Putty lze použít i pro vzdálený přístup na fakultní servery (port forwarding).

Příklad: Některé NAT přeposílají pakety na různé Web servery pokaždé z jiné zdrojové IP adresy, což činí problém při autentizaci přes CAS FIT. Stačí přidat do Putty: Change Settings → Connection - SSH - Tunnels → Source Port: 1234, Destination: IP adresa:443, zaškrtnuto Local, Auto → stisknout Add.
Pozor: je nutno zadat IP adresu, nelze použít jméno serveru.
Nyní můžete použít pro přístup na daný Web server lokální adresu localhost:1234. Pro další servery pak použijte jiné lokální porty (1235, 1236, atd.). Mapování lze doplnit i v průběhu spojení, ale nelze jej v této situaci uložit. Trvalé mapování nastavíte postupem: Load session → nastavení viz výše → Save session.

Android, iOS

Implementace ssh existují i pro mobilní operační systémy, stačí v aplikačním obchodě vyhledat SSH. Pro Android např. Connectbot, pro iOS např. Termius - ale na výběr je mnoho aplikací.

WinSCP a SFTP

Pro kopírování souborů je v Unixu součástí SSH program scp nebo sftp. Do systémů Windows je k dispozici volně šířený WinSCP.

Nastavení SSH autentizace klíčem RSA

Jak nastavit SSH klíče pro přihlašování mezi servery a PC bez zadávání hesla (jiná možnost je použít SSH agenta):

• Vytvoření klíčů pro RSA spuštěním programu ssh-keygen na počítači odkud se chcete přihlašovat. Ten vygeneruje dva soubory, soukromý klíč do souboru HOME/.ssh/id_rsa a veřejný klíč do soboru $HOME/.ssh/id_rsa.pub. Při dotazu na heslo pouze potvrďte <ENTER> a žádné heslo nezadávejte! Klíče jsou uloženy ve vašem domácím adresáři a nikdo jiný než vy tedy k nim nemá přístup. Bezpečnější řešení spočívá ve využití ssh agenta pro uchovávání klíčů, ten umožní přihlašování bez hesla i tehdy je-li samotný klíč chráněn heslem.

  ssh-keygen
  

• V dalším kroku je nutné obsah souboru $HOME/.ssh/id_rsa.pub přidat do souboru $HOME/.ssh/authorized_keys na serveru, kam se chcete přihlašovat. Soubor si zkopírujte na tento server a přidejte obsah takto:

  scp ~/.ssh/id_rsa.pub login@cilovy_server:
  ssh login@cilovy_server
  mkdir ~/.ssh     # pokud adresář neexistuje
  touch ~/.ssh/authorized_keys # pokud soubor neexistuje
  cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
  rm ~/id_rsa.pub
  

• Tento krok opakujte pro všechny servery, na které se chcete takto přihlašovat.

SMTP, IMAP4, POP3, Web

Pro přístup k poštovním schránkám, chráněným Web stránkám a autentizované odesílání pošty je opět třeba zadávat uživatelské jméno a heslo, které putuje v otevřené podobě. Ke všem těmto službám dnes existují varianty, které pracují přes bezpečný šifrovaný kanál SSL/TLS. Jejich použití podporují všechny rozšířené aplikace. Takže pro vzdálený přístup k poštovní schránce používejte vždy protokol IMAP4 přes SSL (port 993), protokol POP3 přes SSL (port 995), protokol HTTPS (port 443) a SMTP přes SSL (buď na portu 465 nebo na port 587 s příkazem STARTTLS). V některých případech je použití SSL tvrdě vyžadováno, například Web stránky, které vyžadují zadání hesla, jsou přístupné pouze přes protokol HTTPS, IMAP4 a POP3 servery nedovolují otevřené spojení mimo lokální síť fakulty, apod.

Zpět na návody CVT

Připomínky k této stránce zasílejte na adresu lampa@fit.vutbr.cz