W nawiązaniu do ostatnio opublikowanego artykułu (Wydajniejsza praca z SSH), chciałem powiedzieć w jaki sposób możemy ułatwić sobie życie, gdy pracujemy przez SSH.

Po pierwsze: screen
Sesja SSH czasami działa jak złoto, a czasem potrafi być bardzo niestabilna. Nikt chyba nie lubi, gdy nagle – w środku modyfikacji jakiegoś pliku – wszystko przestanie działać, bo połączenie zostało zerwane albo chwilowo straciliśmy Wi-Fi. Po ponownym zalogowaniu, niestety, wita nas znak zachęty BASH-a w katalogu domowym, a po naszej pracy mamy co najwyżej ślady w ~/.bash_history. Na szczęście dobrzy ludzie stworzyli screen.

Aby zainstalować aplikację, używamy menedżera pakietów lub czegokolwiek pozwalającego instalować oprogramowanie w naszej dystrybucji. Dla Debianów i Ubuntu polecenie może wyglądać tak:
# aptitude install screen.
W moim Gentoo jest to natomiast
# emerge -av screen.

W zasadzie więcej nie trzeba robić. Można teraz połączyć się z komputerem za pomocą SSH. Po połączeniu wydajemy polecenie $ screen.
Pozornie nic się nie zmieniło. Przeprowadźmy jednak prosty test:
$ vi ~/.bash_history
i zmieńmy kilka znaków (nie zapisując). Teraz… rozłączmy się z siecią. W zależności od różnych ustawień sesja SSH padnie w ciągu kilku sekund lub nawet kilku minut. Chodzi w każdym razie o zasymulowanie zerwania połączenia. Można też postąpić mniej drastycznie i po prostu ubić klienta SSH.

Podłączmy się ponownie. Po podłączeniu wygląda, że nic się nie poprawiło. A jednak! Wydajmy polecenie $ screen -dr. Opcja ‘r’ (ang. reattach) każe podłączyć się do istniejącej sesji. Literkę ‘d’ podaję z przyzwyczajenia – czasem zdarza się, że screen nie zauważy faktu zerwania połączenia i dostalibyśmy komunikat o niemożności załadowania sesji, a tak screen wymusi odłączenie i wczyta nam sesję bez narzekań.

Screen umożliwia wiele więcej. Kombinacja klawiszy Ctrl+a, po której następuje Ctrl+c utworzy nam drugie okno. Pierwsze zostanie ukryte, jednak cały czas będzie w nim działać wszystko, cokolwiek tam uruchomiliśmy. Ctrl+a ” (podwójny cudzysłów)
pokaże listę otwartych okien, a Ctrl+a A pozwoli zmienić nazwę aktywnego okna.

Do wyjścia ze screena możemy wykorzystać Ctrl+a Ctrl+d. Zazwyczaj jednak kończąc pracę ze screenem, kończymy też sesję ze
zdalnym hostem, więc możemy użyć Ctrl+ D D, co zamknie screena i wyloguje nas z sesji SSH.

Screen ma wiele innych możliwości, jak tworzenie regionów (kilku okien widocznych na raz w terminalu), czy nawet pracę wielu użytkowników na tym samym oknie. Są to jednak rzeczy które nadają się raczej na osobny artykuł. Manual do screena ma ~2300 linii;P.

Logowanie bez hasła
Jeżeli w domu mamy komputer stacjonarny, do którego często łączymy się laptopa, to ciągłe podawanie hasła bywa męczące. A gdyby tak nasz komputer potrafił rozpoznać nas dlatego, że korzystamy z konkretnego konta użytkownika na konkretnym innym komputerze (np. naszym laptopie)? Spróbujmy to osiągnąć.

Zaczynamy od wydania komendy (na laptopie)
$ ssh-keygen.
Program zapyta, gdzie zapisać plik (zostawmy domyślną lokalizację) i o hasło (może być puste, wtedy rzeczywiście będziemy logować się bez hasła). Pozostaje poinformować zdalny komputer, że chcemy się uwierzytelniać za pomocą tego klucza. Wykonujemy
$ ssh-copy-id uzyszkodnik@adres.kompa,
gdzie adres.kompa może być nazwą domenową lub adresem IP. Ostatni raz podajemy hasło. Od tej pory będziemy mogli logować się bez hasła.

Wiele komputerów zdalnych – jedno hasło (lub jego brak)
Innym zastosowaniem poprzedniej porady może być uniwersalne logowanie do wielu komputerów (np komputera domowego, komputera na uczelni …). Aby to osiągnąć, powtarzamy operację kopiowania klucza dla każdego komputera, na który chcemy się logować. Jeżeli zostawiliśmy puste hasło, to logowanie na każdy komputer możliwe będzie bez znajomości hasła. W przypadku, gdy jednak ustawiliśmy hasło dla naszego klucza, będzie ono wymagane przed każdym połączeniem, czyli osiągniemy
logowanie do wielu hostów zdalnych za pomocą jednego hasła.

Przyspieszmy to!
Co powiedzielibyście, gdyby jedną krótką komendą można było siępodłączyć do swojego screena na zdalnym komputerze bez hasła? Otwórzmy ~/.bashrc. Pod koniec tego pliku jest zdefiniowanych kilka aliasów. Dodamy tam własny. Dopiszmy więc alias dom='ssh -t uzyszkodnik@adres.komputera.domowego screen -dR'.
Od teraz, w każdej nowej powłoce, wpisanie $ dom spowoduje otwarcie sesji screena na domowym komputerze. Podobne aliasy możemy zdefiniować dla innych komputerów, z którymi chcemy się łączyć. Jeżeli wykonamy także porady dotyczące logowania za pomoca kluczy RSA, możemy uzyskać wrażenie, że cały czas pracujemy na lokalnym komputerze.

Na koniec wspomnę tylko, że opcje ‘-dR’ w aliasie są moją osobistą preferencją. Spowodują one, że ponowne podłączenie z drugiego terminala spowoduje odłączenie screena jeżeli był podpięty do innej sesji. Możemy tu wykorzystać np opcje ‘-xRR’ by zawsze ładować pierwszą dostępną sesję (tak – można mieć ich wiele na raz) screena lub tworzyć nową. Po szczególy odsyłam do manuala, gdyż omówienie różnych kombinacji zajęłoby pewnie jeszcze ze dwa posty.

W artykule opierałem się na założeniu, że wszystkie nasze maszyny są “powered by Linux”. Te same efekty możemy jednak osiągnąć, jeżeli na laptopie mamy system Microsoftu, czy BSD lub gdy używamy odpowiedniego oprogramowania na smartfonach i palmtopach.

Czasami bywa tak, że wyjeżdżamy i nagle telefon z domu że coś nie działa. Mając Linuxa i opanowaną konsolę systemem zarządza się tym systemem bardzo szybko i przyjemnie no tak… ale nie ma nas w domu. Z pomocą tutaj przychodzi nam SSH. Klienci zdalni tacy jak putty, natty czy nawet konsola innego systemu, lub nawet w naszych smart fonach specjalnie aplikacje, pozwolą nam na zalogowanie się do naszego systemu. Cały problem tkwi jedynie w konfiguracji SSH, którą w przystępny sposób postaram się zaprezentować w tym krótkim poradniku.

Co i jak – instalacja?

• Pierwszym krokiem jest zalogowanie się jako Root, co wykonujemy poleceniem:

sudo su

• Na początku najlepiej sprawdzić czy mamy zainstalowany serwer SSH.

apt-cache Policy ssh

• Aby zainstalować SSH należy wydać polecenie:

apt-get install ssh

• Do edycji ustawień możemy użyć dwóch programów albo korzystając z konsoli programu pico lub graficznie korzystając z gedit. Poniżej zaprezentuje dwa programy. Aby wymedytować podstawowe parametry SHH edytujemy plik:

pico /etc/ssh/sshd_config

• Aby zabezpieczyć dodatkowo nasz komputer polecam zmianę parametru „Port” na inną najlepiej z zakresu od 2000

• W celu edycji banera powitalnego (treść wyświetlana przy zalogowaniu) edytujemy plik:

gedit /etc/issue.net

• Aby przeładować usługę ssh, po zmianie ustawień możemy posłużyć się poleceniem:

/etc/init.d/ssh restart

Pierwszy test – logowanie w konsoli

• Aby się zalogować musimy wpisać: ssh login@Adres_IP –port(na który zmieniliśmy), domyślnym portem jest port 22.

ssh misiek@10.0.2.15 – p 5008

• W celu sprawdzenia adresu naszej stacji roboczej warto skorzystać z polecenia:

ifconfig

• Lub można skorzystać z PuTTY

Należy pamiętać o uzupełnieniu poprawnie zaznaczonych pól.

Podsumowując
Dlaczego nie telnet?

Odpowiedź jest prosta, ponieważ dane które korzystają z protokołu Telnet wysyłane są tekstem jawnym pierwszy lepszy snifer sieciowy np. Wireshark bez problemu podejrzy dane zaszyte w pakietach. Mam nadzieję, że tym krótkim tekstem wyjaśniłem sposób działania SSH.

DenyHosts jest to narzędzie służące do zapobiegania włamaniom na serwery. Wykrywa on ataki brute force, monitoruje nieprawidłowe próby logowania, zapisuje zdarzenie do dziennika oraz blokuje IP z którego przeprowadzany był atak.

Instalacja w Debianie/Ubuntu
sudo apt-get install denyhosts
Konfiguracja

Po instalacji demon uruchamia się automatycznie i jest już wstępnie skonfigurowany. Działa i spełnia swoje zadanie, należy go jednak dostosować do swoich potrzeb. Plik konfiguracyjny znajduje się w /etc/denyhosts.conf i potrzeba go edytować:

sudo vim /etc/denyhosts.conf
Ważne ustawienia:
Sekcja PURGE_DENY, w niej ustawiamy po jakim czasie blokowane IP ma być usuwane z czarnej listy. Domyślnie jest ustawione:
PURGE_DENY =
Co oznacza, że IP blokowane jest na stałe i nie są usuwane z czarnej listy. Myślę, że należy tak zostawić.

BLOCK_SERVICE, tutaj ustawiamy czy dany IP ma być blokowany tylko dla SSH czy dla wszystkich usług. Domyślnie ustawione jest blokowanie tylko SSH, więc warto zamienić:
BLOCK_SERVICE = sshd
należyBLOCK_SERVICE = ALL

DENY_THRESHOLD_INVALID, tutaj ustawiamy po ilu nie udanych próbach logowania IP ma zostać zbanowane. Domyślnie jest to 5 nieudanych prób:
DENY_THRESHOLD_INVALID = 5

DENY_THRESHOLD_VALID, ta opcja również odpowiada za ustawienie ilości nieudanych logowań po których banowane ma być IP, z tym że tyczy się kont które istnieją w /etc/passwd. Domyślnie jest to 10 prób:
DENY_THRESHOLD_VALID = 10

DENY_THRESHOLD_ROOT w tej sekcji ustawiamy można ustawić, czy mają być od razu blokowane próby zalogowania na konto root. Jeśli ktoś będzie chciał się zalogować na konto root, jego IP zostanie zbanowane. Domyślnie jest to włączone:
DENY_THRESHOLD_ROOT = 1

DENY_THRESHOLD_RESTRICTED włączenie tej opcji powoduje blokowanie IP po próbie zalogowania się przy użyciu loginu wymienionego w pliku restricted-usernames. Domyślnie włączone:
DENY_THRESHOLD_RESTRICTED = 1

SYNC_SERVER bardzo interesująca opcja, po jej włączeniu DenyHosts będzie pobierał bazę blokowanych IP z serwera (pamiętaj botnety nie śpią :P heise-online.pl) domyślnie opcja ta jest wyłączona, jednak warto ją włączyć, wystarczy odkomentować:
#SYNC_SERVER = http://xmlrpc.denyhosts.net:9911

SYNC_INTERVAL opcja ta odpowiada za częstotliwość synchronizacji bazy blokowanych IP (użyteczna tylko w przypadku włączenia SYNC_SERVER). Należy odkomentować:
#SYNC_INTERVAL = 1h

SYNC_UPLOAD opcja ta zezwala na wysyłanie do serwera naszej bazy blokowanych IP. Można włączyć to przez odkomentowanie:
#SYNC_UPLOAD = yes

SYNC_DOWNLOAD ustawienie to zezwala na pobieranie listy zbanowanych IP, należy włączyć to poprzez odkomentowanie:
#SYNC_DOWNLOAD = yes

Warto również skonfigurować sekcje ADMIN_EMAIL, SMTP_HOST, SMTP_USERNAME i SMTP_PASSWORD:

DenyHosts na denyhosts.sourceforge.net, inne oprogramowanie tego typu: Fail2ban fail2ban.org, BlockHosts aczoom.com.

1) Na początku na lokalnym komputerze musimy wygenerować klucz:

ssh-keygen -t dsa -b 1024

Zostaniemy zapytani o lokalizację, w której ma być zapisany klucz, oraz dwukrotnie o hasło, które ma chronić sam klucz. Zostawiamy domyślne położenie klucza, a hasła nie wpisujemy, wduszamy po prostu ENTER – ponieważ chcemy mieć bezhasłowy dostęp. Jeśli wszystko pójdzie dobrze, powinniśmy zobaczyć coś takiego:

Generating public/private dsa key pair.

Enter file in which to save the key (/home/franek/.ssh/id_dsa):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/franek/.ssh/id_dsa.

Your public key has been saved in /home/franek/.ssh/id_dsa.pub.

The key fingerprint is:

fb:6d:6a:9c:bd:4f:50:bc:3a:9a:b8:d2:38:35:b9:d5 franek@stefan

The key’s randomart image is:

+–[ DSA 1024]—-+

| |

| . |

| o |

| . . |

| S. .. . |

| +.. Eo |

| +.= oo . |

| + oo++oo |

| ooo=ooo. |

+—————–+

2) Teraz należy wyeksportować klucz publiczny na zdalny komputer z którym chcemy logować się za pomocą klucza:

scp ~/id_dsa.pub user@serwer.pl:~/

3) Po przekopiowaniu klucza, należy zalogować się na zdalny host (ostatni raz za pomocą hasła ;)), gdzie należy zmienić nazwę pliku klucza, oraz przenieść go do katalogu .ssh:

cat id_dsa.pub >> .ssh/authorized_keys

Jeśli katalog .ssh nie istnieje, należy go utworzyć.

4) To wszystko :D

Należy pamiętać, aby chronić nasz komputer przed osobami niepowołanymi, oraz nie udostępniać nikomu naszego klucza prywatnego.