SSH Hakkında

Bu yazım LPI-102 sınavı için hazırlandığımız konulardan SSH yapılandırması hakkında bir yazı olacak.

SSH'a direk dalmadan önce Telnet'ten bahsetmek gerekir tabi. Telnet, Unix ve Linux sistemlerde uzaktan oturum açmak için kullanılan bir protokol. Dezavantajı: Tüm akan veri ağ üzerinden şifresiz aktarılıyor. Bu da ağ trafiğinin izlenebileceği, hassas verilere ulaşılabileceği anlamına geliyor.

Burada SSH devreye giriyor(Secure Shell/Güvenli Kabuk). Ağ bağlantısının tüm parçaları için güçlü şifreleme teknikleri ile güvenlik açığını kapatıp kullanıcılara daha güvenli bir protokol olmuş. Ayrıca SSH ile dosya transferi de yapılabilir.

Sistemde SSH Seçeneklerini Ayarlamak için;

SSH çoğunlukla kurulu olarak gelir. Değişiklik yapmak istersek, erişimi sınırlamak ya da dosya düzenleme vs. /etc/ssh/sshd_config dosyasına bakmamız gerekir.

Temel SSH Özelliklerinin Yapılandırılması:

  /etc/ssh/sshd_config dosyası seçenek satırlarından oluşur.Kitapta bahsedilen birkaç seçeneği ben de yazayım.

protokol  : Bu seçenekte protokol seviyeleri belirtiliyor(1 ya da 2 değerini alabiliyor) her iki seviyeyi destekleyecek şekilde de yapılandırabilirsiniz.(1,2 a da 2,1 eşdeğerdir)

PermitRootLogin no/yes : root ile uzaktan bilgisayara erişime zin olup olmadığını belirtir.İlave güvenlik için varsayılan no'dur.

X11Forwarding : Bu seçenek OpenSSH'ın tünel özelliklerinin olup olmaığını belirtir.

Ek seçenekler hakkında daha fazla bilgi için: .sshd_config man sayfasına bakın.

Değişiklik yaparsanız SysV başlangıç komut dosyası ile yeniden başlatmanız gerekir.

SSH Anahtarları:

Her kullanıcının ve her sunucunun, sistemini tanımlamak amacıyla benzersiz bir  numarası ve ya anahtarı vardır.

Bir genel bir de özel anahtardan oluşur.Bu iki anahtar matematiksel belirli bir ortak anahtarla şifrelenir. Veriler sadece eşlenen özel anahtarlar ile deşifre olabilir.

Bir bağlantı kurulurken her iki tarafın da genel anahtarları gönderilir.Sonra her ik tarafın ortak anahtarı ile karşıya gidecek veriler şifrelenir.Sadece alıcı özel şifresi ile veriyi deşifre edebilir.

OpenSSH sunucusu, SysV başlatma komutu ile saklanan ortak ve özel anahtarları arar ve yoksa üretir.

Toplamda 4-6 anahtara ihtyaç vardır: 2 ya da 3 tanesi şifreleme aracı SSH için genel ve özel anahtarları destekler.Bu anahtarlar genellikler /etc/ssh 'da saklanır. ".pub" uzantılı dosyalar genel anahtarları içerir. 

 

Ssh-keygen aşagıdaki komutlarla anahtar luşturur:

# ssh-keygen -q -t rsa1 -f /etc/ssh/ssh_host_key -C ‘’ -N ‘’

# ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C ‘’ -N ‘’

# ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C ‘’ -N ‘’

-t anahtar tipini belirtmek için.

-C yorum

-N yeni parola

Özel anahtar dosyalarının uygun korumada olduklarından emin olun(dosya izinleri 600 olmalı: -rw------)

Genel anahtarlar herkes tarafından okunabilir olmalı.

SSH Erişim Kontrolü:

Ssh erişimi en temel olarak parola kimlik doğrulaması üzerinden gerçekleşir.Telnet'in de yaptığı gibi bir kullanıcı adı ve bir parola verilir.Parola doğrulamanın ötesinde, SSH bazı sınırlamaları destekler:

TCP Wrappers: Eğer bir sunucuda SSH çalıştırdıysanız ya da TCP Wrappers desteği ile sunucu derlendiğinde IP adreslerine göre erişimi sınırlamak için /etc/host.allow ve /etc/host.deny dosyalarını kullanabilirsiniz.Bu destek mevcut olabilir/olmayabilir.

Firewalls: Tüm sunucularda olduğu gibi, bir güvenlik duvarı kullanarak erişim kısıtlanabilir.SSH, TCP kullanır port 22.

SSH Yoluyla Dosya Kopyalama:

SSH'da dosya kopyalama komutu :scp. Bu komut yerel dosyaları kopyalamak için cp komutu gibi çalışır.Ancak hedef dosya adı önce, isteğe bağlı olarak kullanıcı adı ve zorunlu hedef bilgisayar belirtilmelidir.

Örnek:

ayse.gmail.com üzerinde ali hesabına deneme.c için :

$ scp deneme.c ali@ayse.gmail.com:

(:) yı unutursak scp, cp gibi çalışır. Dosyanın adını değiştirmek istersek : 'dan sonrayeni dosya adını yazmalıyız.

 

Parola Olmadan Girişleri Yapılandırma:

Eğer SSH'ı ya da otomatik araçları sıklıkla kullanıyorsanız ve sürekli parola yazmak istemiyorsanız bunun yolu:

Anahtar kullanarak Ssh istemcisi kurmak ve sunucu bilgisayar için ortak bir anahtar vermek.Bu yapılandırma ile parola yazmanıza gerek kalmaz. İstemci bilgisayar bunu sizin için kendisi belirler.

Not:

SSH' ı parola kullanmadan çalıştırmak için yapılandırma uygundur ancak güvenlik riski artar. Eğer birisi SSH istemci sisteminde hesabınıza erişirse, SSH sunucusuna da girişi mümkün olacaktır. Bu nedenle çok iyi korunan bir istemciden şifresiz giriş oluşturmalısınız.Bu şekilde yapılandırma root erişimi nedeniyle risklidir.

Parola gerektirmeyen yapılandırma için şu adımları izleyin :

1. Uzaktan erişimi yapacak kullanıcı olarak SSH istemci sistemine giriş.

2.sürüm 2 SSH anahtarı oluşturmak için aşağıdaki komutu yazın:

$ ssh-keygen -q -t rsa -f ~/.ssh/id_rsa -C ‘’ -N ‘’

3.adım2 de iki dosya oluşur: Id_rsa ve Id_rsa.pub . Kullanışlı herhangibir şekilde bu iki dosyayı SSH snucu bilgisayarına transfer edin-- disk üzerinden, scp ile ya da herhangibir başka yol--

4.Sunucu sistemine giriş yapın.SSH kullanıyorsanız parolanızı yazmanız gerekir.

5.Sadece ~/.ssh/autorized_keys dosyasını transfer ettik.İçeriği ekleyin.(Bu dosyaları kontrol etmelisiniz.Bazen ismi ~/.ssh/autorized_keys2 olabiliyor.)Eğer Orijinal dosya ~/temp.rsa olarak depolandıysa cat ile ~/temp.rsa >> ~/.ssh/authorized_keys bu işi yaparız.

İki bilgisayar otomatik olarak kimlik doğrular. Parola gerekmez.

SSH Agent Kullanımı:

Başka bir SSH kimlik doğrulama programıdır.Bu program bağlantıları başlatmak için bir parola gerektirir. Bu yüzden daha güvenli.Kullanmak için adımlar:

1.Parolasız giriş yapılandırmasının aynısı.1 şey farklı: -N parametresini yoksayın. Parola istenecek.Bu parola ssh-agent ile yönetilen tüm ssh giriş için anahtar olacak.

2.ssh istemci sistemi, türü ssh-agent /bin/bash . Ssh-agent başladığında /bin/bash de çalışmaya başladı.Sonraki ssh grişi için bu bash oturumunu kullanacağız.

3.yeni çekirdek, türü ssh_add ~/.ssh/id_rsa. Bu, ssh-agent tarafından yönetilen ayarlar için RSA anahtarı ekler.SSH şimdik parola yazmanızı işter.

Bu noktadan itibaren SSH size uzak bir sisteme bağlanmak için genel anahtar verdi.Parolaya ihtiyaç yok.Oturumdan çıkıldığında 2 ve 3. adım tekrarlanmak zorunda.

SSH Port Tünelleri Ayarlama:

SSH tünelinin temel fikri: Sunucu bilgisayar 2 sunucu program ile çalışır: tünel protokolü için bir sunucu (ınternet mail access protokol, İmap) ve ssh sunucusu.Tünel protokolü için SSH istemci de bağlantıları dinler.

Ssh istemcisi, tünel protokol istemcisinden bir bağlantı aldığında , tünel protokolü bağlantısı ssh kullanarak şifrelenmiş olur.Böylece veri şifrelenmiş biçimde, ağ üzerinden hedef protokol şifrelemeyi desteklemiyor olsa bile hedef sunucuya yönlendirilebilir.

Tabi tüm bunlar özel yapılandırma gerektirir.Sunucuda varsayılan yapılandırma tünel özelliğini sağlar.Ama emin olmak için, /etc/ssh/sshd_config dosyasını kontrol etmek gerekir.:

AllowTcpForwarding no ise yes olarak değiştirin.Eğer mevcut değil ya da zaten evet olarak ayarlıysa değiştirmek gerekmez.

İstemci tarafında, sunucu bilgisayara özel bir ssh bağlantısı kurmak gerekir. Normal ssh istemci programı ile bunu yapabiliriz. Ama birkaç parametre gerekir.

Örneğin:

#ssh -N -f -L 142:mail.ali.edu:143 ayse@mail.ali.edu

-N ve -f uzak bir komut çalıştırmak için değil.(n şifre sorar, f arka planda çalışması için)

Bu seçenekler tünel için gereklidir. -L herhangibir yerel bağlantı noktasını dinlemek için. (hangi uzak bilgisayar olacağı ve uzak bilgisayar noktasına bağlanmak için)

Örnekte, yerel bağlantı noktası 142, dinler ve mail.ali.edu üzerinde 143 bağlantı noktası bağlanır.

Her iki uçta da aynı bağlantı noktası kullanılabilir. Son parametre ayse@mail.ali.edu : Bir uzak kullanıcı adı ve bilgisayarın hangi tünele gireceğini belirtmek için.

Kolay gelsin..