Prehľad SSH – SSH servery, klienti a kľúče

Pokiaľ ide o vzdialenú správu počítačov, SSH je jedným z najpopulárnejších a najbezpečnejších protokolov. SSH je kryptografický sieťový protokol, ktorý nadväzuje bezpečné spojenie so vzdialenými zariadeniami. Po pripojení k vzdialenému zariadeniu môže používateľ spúšťať príkazy vo vzdialenom shelli. SSH je najbežnejší medzi sieťovými a systémovými administrátormi.

Tento návod v štýle ťaháka (cheat sheet) prináša prehľad o SSH, niektoré bežné spôsoby pripojenia pomocou SSH a rôzne konfigurácie SSH.

Prehľad SSH

SSH je skratka pre Secure Shell. Niektorí označujú SSH aj ako Secure Socket Shell. SSH je najbežnejší spôsob prístupu k vzdialenému serveru. Pri pripájaní k vzdialenému systému pomocou SSH sa pripájate k existujúcemu účtu. Po pripojení budete mať prístup k relácii shellu. Všetky spustené príkazy sa vykonajú na vzdialenom počítači a výstup sa vytlačí na vašom lokálnom termináli.

Pripojenie SSH sa riadi modelom klient-server. Na vzdialenom systéme musí bežať démon SSH, aby prijímal vzdialené pripojenia SSH. Démon SSH počúva na špecifických portoch, overuje požiadavky na pripojenie a po splnení podmienok vygeneruje príslušné prostredie.

Pre túto príručku sme nakonfigurovali dva servery Ubuntu. Primárny server bude nakonfigurovaný na pripojenie k sekundárnemu serveru. Sekundárny server bude nakonfigurovaný na prijímanie pripojení SSH z primárneho servera. Tieto IP adresy serverov sa budú používať v celej príručke:

• Primárny: 31.171.250.121

• Sekundárny: 31.171.250.130

Na začiatok si môžete pozrieť naše podrobné návody na ako používať SSH na pripojenie k vzdialenému serveru v Ubuntu a ako nakonfigurovať váš Linux server na používanie overovania založeného na kľúčoch SSH. Teraz poďme na to!

Autentifikácia SSH

Existujú dva hlavné typy overovania SSH. Tradičnou metódou je použitie hesla. Je menej bezpečná a dôrazne sa neodporúča. Druhou metódou sú kľúče SSH. Kľúče SSH ponúkajú veľmi silnú bezpečnosť a dôrazne sa odporúčajú.

Hoci je overovanie heslom jednoduchšie na pochopenie a konfiguráciu, dá sa ľahko zneužiť. Napríklad automatizované roboty môžu použiť hrubú silu na preniknutie do systému. Kľúče SSH sú kryptografické kľúče. Každý kľúč má dve časti – súkromný kľúč a verejný kľúč. Verejný kľúč je možné bez obáv zdieľať kdekoľvek. Súkromný kľúč však musí zostať chránený.

Ak chcete použiť kľúče SSH ako metódu overovania, vzdialený systém musí mať nainštalovanú kópiu verejného kľúča. Kópie súkromných a verejných kľúčov by mali byť nainštalované aj v lokálnom systéme. V predvolenom nastavení sú verejné kľúče uvedené v nasledujúcom súbore. Každý jedinečný používateľ má jedinečnú kópiu tohto súboru:

Tu je návod, ako funguje proces overovania:

• Klientsky systém odošle požiadavku na pripojenie vzdialenému systému. Odošle tiež informáciu o tom, ktorý kľúč SSH sa má použiť.

• Vzdialený systém skontroluje, či je verejný kľúč uvedený v súbore authorized_keys.

• Ak kľúč existuje, vygeneruje sa náhodný reťazec a zašifruje sa pomocou verejného kľúča. Zašifrovanú správu je možné dešifrovať iba pomocou súkromného kľúča.

• Po prijatí reťazca ho klient dešifruje.

• Kombináciou reťazca a predtým dohodnutého ID relácie sa vygeneruje hash MD5. Klient odošle hash MD5 vzdialenému systému.

• Vzdialený systém pozná náhodný reťazec aj ID relácie. Ak sa hash MD5 zhoduje, pripojenie je povolené.

Kľúče SSH

V tejto príručke bude hlavným zameraním overovania kľúč SSH. Táto časť sa preto zameria na to, ako pracovať s kľúčmi SSH.

• Generovanie páru kľúčov SSH

V predvolenom nastavení nemá systém Linux nainštalovaný žiadny kľúč SSH. Systém však môže obsahovať kľúče SSH vygenerované/nainštalované predtým. Za predpokladu, že neexistuje žiadny predchádzajúci kľúč SSH, musíme vygenerovať nový pár verejného a súkromného kľúča SSH. SSH podporuje mnoho kryptografických algoritmov na generovanie kľúčov SSH, napríklad RSA, DSA, ECDSA a EdDSA. RSA je predvolený a preferovaný algoritmus.

• Generovanie bežného páru kľúčov RSA

Ak chcete vygenerovať pár kľúčov SSH, spustite nasledujúci príkaz:

Výzva sa vás opýta, kam chcete uložiť pár kľúčov. Ako už bolo spomenuté, pôjde o pár kľúčov RSA. Ak nezadáte žiadnu hodnotu, SSH ho uloží do predvoleného umiestnenia /home/demo/.ssh/id_rsa.

Ďalším krokom je zadanie prístupovej frázy. Odporúča sa prístupovú frázu použiť. Dĺžka prístupovej frázy je ľubovoľná. Pridáva ďalšiu vrstvu zabezpečenia. SSH však umožňuje generovať kľúče aj bez prístupovej frázy. Ak chcete kľúče bez prístupovej frázy, stačí stlačiť Enter.

Finálny výstup poskytuje nasledujúce kľúčové informácie:

1. Umiestnenie súkromného kľúča ( /root/.ssh/id_rsa). Nikdy by sa nemal zdieľať.

2. Umiestnenie verejného kľúča ( /root/.ssh/id_rsa.pub). Je bezpečné ho zdieľať s kýmkoľvek.

3. Odtlačok kľúča.

4. Náhodný obrázok kľúča. Myšlienka je taká, že ak dôjde ku kompromitácii kľúčov, pravdepodobne to zistíte tak, že si všimnete akúkoľvek zmenu v obrázku kľúča.

• Generovanie páru kľúčov RSA s rôznym počtom bitov

V predvolenom nastavení majú SSH kľúče 2048 bitov. Z hľadiska bezpečnosti sa to považuje za dostatočné. Môžeme však manuálne určiť použitie iného počtu bitov. Čím vyššia je hodnota bitov, tým silnejší je kľúč.

Spustením nasledujúceho príkazu vygenerujete pár SSH kľúčov s veľkosťou 4096 bitov. Väčšina serverov podporuje 4096-bitové SSH kľúče. Ak je kľúč príliš veľký, nemusí byť akceptovaný z dôvodu ochrany pred DDoS útokmi:

Keďže sme už pár kľúčov vygenerovali, SSH sa opýta, či má prepísať ten predchádzajúci. Zvyšok procesu je rovnaký ako pri generovaní bežného páru kľúčov.

• Zmena prístupovej frázy súkromného kľúča

Môžeme zmeniť prístupovú frázu súkromného kľúča. Tento proces vyžaduje, aby ste poznali aktuálnu prístupovú frázu. Ak chcete zmeniť prístupovú frázu, spustite nasledujúci príkaz:

Príkaz vás vyzve na zadanie umiestnenia súkromného kľúča. Ak je kľúč uložený v predvolenom umiestnení, stlačte Enter. Zadajte aktuálnu prístupovú frázu. Ak bude prijatá, môžete určiť novú.

• Zobrazenie odtlačku SSH kľúča

Každý pár SSH kľúčov zdieľa kryptografický odtlačok. Tento odtlačok sa dá použiť na identifikáciu jedinečných kľúčov. Môže to byť užitočné v mnohých situáciách. Spustením nasledujúceho príkazu skontrolujete odtlačok SSH kľúča:

Zadajte umiestnenie kľúča. Ak je kľúč uložený v predvolenom umiestnení, stlačte Enter.

Kopírovanie verejného kľúča

Pár SSH kľúčov je pripravený na zabezpečenie vzdialených pripojení. Aby vzdialený systém akceptoval SSH kľúč na autentifikáciu, musí mať kópiu verejného kľúča. Existuje viacero spôsobov, ako skopírovať verejný kľúč na vzdialený server.

• Použitie ssh-copy-id

Nástroj ssh-copy-id je súčasťou balíka OpenSSH. Je to predvolený spôsob kopírovania verejného SSH kľúča. Je to jednoduché a ľahko použiteľné. Spustením nasledujúceho príkazu prenesete kópiu verejného kľúča:

Na dokončenie procesu potrebujete heslo k vzdialenému používateľskému účtu. V prípade úspechu sa zobrazí správa o úspešnom dokončení.

• Použitie SSH pripojenia

Ak nástroj ssh-copy-id nie je k dispozícii, ale primárny server sa môže pripojiť k sekundárnemu serveru pomocou SSH, môžeme na skopírovanie kľúča použiť iný trik. Ide o presmerovanie obsahu verejného kľúča cez príkaz SSH na vzdialenú stranu. Upozorňujeme, že ak adresár ~/.ssh na vzdialenom systéme neexistuje, nemusí to fungovať:

• Manuálne kopírovanie

Ak vzdialené pripojenie nie je možné, jediným zostávajúcim procesom je manuálne pridanie verejného kľúča na vzdialený server. Najprv získajte obsah verejného kľúča:

Na vzdialenom serveri umiestnite kľúč na príslušné miesto:

Používanie SSH

Teraz, keď je verejný kľúč nastavený, sme pripravení použiť SSH na vzdialené pripojenie.

• Pripojenie k vzdialenému systému

Prvým krokom je naučiť sa, ako sa pripojiť k vzdialenému systému pomocou SSH. Predpokladá sa, že lokálny aj vzdialený systém povoľujú SSH prevádzku. Ak sa chcete pripojiť k vzdialenému systému, zadajte nasledovné:

Ak sa chcete pripojiť k konkrétnemu používateľovi na vzdialenom serveri, použite namiesto toho nasledujúcu štruktúru:

Ak sa k serveru pripájate prvýkrát, SSH môže zobraziť varovanie. Zadajte yes pre pokračovanie v pripojení. Ak je vzdialený účet chránený heslom, budete musieť zadať heslo. Ak je kľúč SSH chránený prístupovou frázou, musíte zadať aj prístupovú frázu.

• Pripojenie k inému portu

V predvolenom nastavení beží SSH na porte 22. SSH klient bude pri pripájaní k vzdialenému systému predpokladať predvolenú hodnotu portu. Ak však vzdialený systém počúva na inom porte pre SSH prevádzku, nebude to fungovať. V takejto situácii musíme číslo portu deklarovať manuálne. Na deklarovanie konkrétneho portu použite -p príznak:

Manuálne deklarovanie portu zakaždým je kontraproduktívne. Predvolenú hodnotu portu môžeme zmeniť natrvalo. Ak to chcete urobiť, otvorte konfiguračný súbor SSH. Ak súbor neexistuje, nasledujúci príkaz ho vytvorí:

Potom pridajte nasledujúce riadky:

• Spúšťanie príkazov na vzdialenom serveri

Teraz, keď je pripojenie nadviazané, akýkoľvek príkaz, ktorý spustíte v lokálnom termináli, sa odošle na vzdialený server. Akýkoľvek vygenerovaný výstup sa odošle do lokálneho terminálu.

Ak ide o jediný príkaz, ktorý sa má spustiť, môžeme ho spustiť bez vykonania úplného prihlásenia cez SSH. Príkaz môžeme jednoducho deklarovať za inštrukciou pre pripojenie SSH:

• Pridanie kľúča do SSH agenta

Ak má kľúč SSH prístupovú frázu, pri každom pripojení k vzdialenému systému ju budete musieť zadať. Opakované zadávanie je kontraproduktívne. Môžeme to nechať na SSH agenta. Je to malý nástroj, ktorý uloží súkromný kľúč po zadaní prístupovej frázy. Súkromný kľúč bude k dispozícii počas relácie terminálu. Ak chcete spustiť SSH agenta, spustite nasledujúci príkaz:

Program beží na pozadí. Všetko, čo musíte urobiť, je pridať svoj súkromný kľúč do agenta. Spustite nasledujúci príkaz:

Zadaním prístupovej frázy dokončite operáciu.

• Presmerovanie prihlasovacích údajov SSH

Môžeme tiež nakonfigurovať SSH na pripojenie z jedného servera na druhý bez hesla. Môže to byť veľmi efektívne, najmä pri práci s veľkým množstvom vzdialených serverov. Aby sme to dosiahli, musíme presmerovať prihlasovacie údaje SSH. Presmerovanie prihlasovacích údajov SSH vyžaduje, aby bol vzdialený server nakonfigurovaný na prijímanie pripojení z lokálneho počítača/servera. Potom sa stačí pripojiť k prvému serveru pomocou -A príznaku. Ten presmeruje vaše prihlasovacie údaje na servery pre aktuálnu reláciu:

Konfigurácie vzdialeného servera

Táto časť obsahuje niektoré z bežných konfigurácií na strane servera, ktoré vám pomôžu zlepšiť odozvu servera a bezpečnosť pripojenia.

• Zakázanie overovania hesla

Ak sú kľúče SSH nakonfigurované a pripojenie SSH funguje podľa očakávania, potom je bezpečné zakázať overovanie heslom. Nasledujúca konfigurácia prestane vyžadovať heslo, keď sa akýkoľvek používateľ pripojí cez SSH. Na vzdialenom serveri otvorte sshd_config súbor s root/sudo oprávnením:

Ďalej vyhľadajte položku PasswordAuthentication. Ak je riadok zakomentovaný, odkomentujte ho. Zmeňte hodnotu na no:

Uložte súbor a zatvorte editor. Aby sa zmeny prejavili, reštartujte službu SSH:

Ak je systém CentOS/Fedora, použite namiesto toho nasledujúci príkaz:

• Zmena portu SSH

Ako už bolo spomenuté, SSH používa port 22 na výmenu prevádzky SSH. Podľa niektorých systémových administrátorov je však lepšie priradiť pre SSH iný port. Môže to pomôcť proti automatizovaným botom zahlcujúcim port. Ak chcete zmeniť port, na ktorom SSH počúva, otvorte sshd_config súbor:

Vyhľadajte položku Port. Ak je zakomentovaná, odkomentujte ju. Potom zmeňte hodnotu na inú. Hodnota portu je 16-bitové celé číslo bez znamienka (0-65535):

Uložte súbor a zatvorte editor. Ak chcete implementovať zmenu, reštartujte démona SSH:

V systéme CentOS/Fedora namiesto toho spustite nasledujúci príkaz:

• Obmedzenie používateľov

Môžeme nakonfigurovať, ktoré používateľské účty sa môžu pripojiť pomocou SSH. To zahŕňa aj úpravu sshd_config súboru. Otvorte súbor s oprávnením sudo/root:

Vyhľadajte položku AllowUsers. Pridajte povolených používateľov:

Uložte súbor a zatvorte editor. Reštartujte démona SSH, aby sa zmeny prejavili:

V systéme CentOS/Fedora namiesto toho spustite nasledujúci príkaz:

• Obmedzenie skupín

Podobne ako pri obmedzení používateľov môžeme tiež určiť, ktorá skupina používateľov sa môže pripojiť k systému pomocou SSH. Otvorte sshd_config súbor:

Použite položku AllowGroups na pridanie konkrétnej skupiny používateľov, ktorá môže používať SSH:

Uložte súbor a zatvorte editor. Reštartujte démona SSH, aby sa zmeny prejavili:

V systéme CentOS/Fedora namiesto toho spustite nasledujúci príkaz:

Upozorňujeme, že ak je zo skupiny používateľov pridaný alebo odobraný akýkoľvek používateľ, je potrebné reštartovať démona SSH. V opačnom prípade zmeny skupiny nebudú účinné.

• Zakázanie prihlásenia root

Ak máte prístup k používateľovi s oprávneniami sudo, odporúča sa zakázať prihlásenie root cez SSH. Otvorte sshd_config súbor:

Zmeňte hodnotu položky PermitRootLogin na no:

Uložte súbor a zatvorte editor. Reštartujte démona SSH, aby sa zmena prejavila:

V systéme CentOS/Fedora namiesto toho spustite nasledujúci príkaz:

• Presmerovanie zobrazenia aplikácií X

Démon SSH môže tiež presmerovať zobrazenie aplikácií X zo servera na klienta. Aby to však fungovalo, vzdialený systém musí mať nakonfigurovaný systém X windows. Táto funkcia musí byť povolená aj v konfigurácii SSH. Otvorte konfiguračný súbor SSH:

Zmeňte hodnotu direktívy X11Forwarding na yes:

Uložte súbor a zatvorte editor. Reštartujte SSH démona, aby sa zmeny prejavili:

Na systémoch CentOS/Fedora namiesto toho spustite nasledujúci príkaz:

Konfigurácie klienta

V tejto časti sa pozrieme na niektoré z bežných konfigurácií klienta SSH.

• Informácie o pripojení špecifické pre server

Na lokálnom systéme môžeme definovať špecifiká vzdialeného pripojenia. Všetky informácie sú uložené v konfiguračnom súbore umiestnenom v ~/.ssh/config:

Každý blok vzdialeného systému je označený kľúčovým slovom Host, za ktorým nasleduje alias. Sem patria všetky direktívy špecifické pre daný systém. Pri pripájaní k vzdialenému systému ich SSH automaticky aplikuje. Podrobné vysvetlenie konfigurácie nájdete v manuálovej stránke (man page):

Záznam pre vzdialené pripojenie bude mať nasledujúcu štruktúru:

• Časový limit pripojenia

Môže sa stať, že budete odpojení od relácií SSH skôr, ako stihnete vykonať akúkoľvek akciu. Ak klient neposiela vzdialenému serveru žiadne pakety, po určitom čase vyprší časový limit pripojenia. Aby sme predišli takýmto situáciám, môžeme nakonfigurovať lokálneho klienta tak, aby z času na čas poslal paket na udržanie aktívneho pripojenia.

Otvorte lokálny konfiguračný súbor:

Pod záznam vzdialeného pripojenia pridajte direktívu ServerAliveInterval nasledovanú intervalom paketov v sekundách:

Uložte súbor a zatvorte editor.

• Zakázanie kontroly hostiteľa

Predvolene pri každom pokuse o pripojenie k novému serveru klient SSH nahlási odtlačok prsta (fingerprint) vzdialeného SSH démona. Je to užitočná funkcia na overenie autenticity hostiteľa. Ak sa útočník pokúsi sfalšovať vzdialeného hostiteľa, zobrazí sa ako nový server.

Zakázanie tejto funkcie môže predstavovať obrovské bezpečnostné riziko. Vo všeobecnosti sa odporúča ponechať túto možnosť zapnutú. V určitých situáciách však môže byť zakázanie kontroly hostiteľa pohodlné. Otvorte konfiguračný súbor:

V sekcii vzdialeného hostiteľa pridajte nasledujúce direktívy:

Prvá direktíva zakáže automatické pridávanie nových hostiteľov do zoznamu známych hostiteľov uloženého v súbore known_hosts. Druhá direktíva slúži na to, aby neupozorňovala na žiadne zmeny. Uložte súbor a zatvorte editor.

• Multiplexovanie SSH cez jedno TCP pripojenie

Nadviazanie TCP pripojenia môže niekedy vyžadovať pomerne veľa času. Ak je potrebné vytvoriť viacero pripojení k rovnakému stroju, potom je multiplexovanie skvelou funkciou, ktorú môžete využiť. Multiplexovanie SSH umožňuje použiť rovnaké TCP pripojenie pre viacero relácií SSH. Znižuje to časť záťaže potrebnej na nadviazanie nových relácií. Pomôcť môže aj obmedzenie počtu pripojení.

Môžeme manuálne nastaviť multiplexné pripojenie alebo nechať SSH, aby ho použilo vždy, keď je k dispozícii. Tu nakonfigurujeme SSH tak, aby nasledovalo druhú možnosť. Otvorte konfiguračný súbor SSH:

Na začiatok súboru pridajte definíciu hostiteľa so zástupným znakom (wildcard). Tým sa zabezpečí, že nasledujúca sada direktív sa použije na všetky vzdialené pripojenia. Pridajte nasledujúce direktívy:

Prvá direktíva hovorí SSH, aby automaticky použilo multiplexovanie vždy, keď je k dispozícii. Druhá direktíva určuje cestu k riadiacemu socketu. Tento socket sa vytvorí pri nadviazaní prvej relácie. Nasledujúce relácie budú využívať tento socket.

Posledná direktíva hovorí SSH, aby nechal počiatočné hlavné (master) spojenie bežať na pozadí. Tiež to znamená, že TCP spojenia sa automaticky ukončia jednu sekundu po skončení poslednej SSH relácie. Ďalej vytvorte adresár, ktorý sme deklarovali v konfiguračnom súbore:

Nakoniec by malo byť multiplexovanie aktívne.

SSH escape kódy

Po nadviazaní spojenia existujú spôsoby, ako riadiť správanie spojenia pomocou escape kódov.

• Vynútenie odpojenia

Zasekli ste sa v SSH relácii? SSH relácie sú vo všeobecnosti spravované serverom. Ak má server problémy, zaseknutie v mŕtvej SSH relácii môže byť frustrujúce. Našťastie OpenSSH ponúka užitočné ovládacie prvky na správu stavu spojenia zo strany klienta.

Stlačte niekoľkokrát Enter. Potom zadajte nasledujúci príkaz:

Tu, ~ je riadiaci znak. Po spustení tohto príkazu z klienta by sa malo spojenie okamžite ukončiť.

• SSH relácia na pozadí

SSH reláciu môžeme tiež presunúť na pozadie. Po presunutí na pozadie sa vrátite do bežnej relácie shellu. Po dokončení práce sa môžete znova vrátiť do SSH shellu. Upozorňujeme, že musíte habt' správne nakonfigurovaný časový limit, aby ste predišli vypršaniu časového limitu, kým SSH relácia zostáva na pozadí. Ak chcete presunúť SSH reláciu na pozadie, zadajte riadiaci znak a následne Ctrl + Z:

Ak to bola vaša najnovšia úloha na pozadí, môžete ju znova aktivovať pomocou nasledujúceho príkazu:

Ak existuje viacero úloh na pozadí, môžeme ich určiť zo zoznamu úloh:

Ak chcete presunúť cieľovú úlohu do popredia, poznačte si hodnotu úlohy z prvého stĺpca. Potom spustite nasledujúci príkaz:

• Zmena konfigurácie presmerovania portov

Pomocou riadiaceho mechanizmu môžeme meniť pravidlá presmerovania portov za behu. Po nadviazaní spojenia môžeme vytvárať alebo rušiť pravidlá presmerovania portov. Je to súčasť rozhrania príkazového riadka SSH.

Pre prístup k rozhraniu príkazového riadka SSH spustite príkaz:

Ak chcete zobraziť zoznam dostupných možností, zadajte nasledujúci príkaz:

Ak je výstup príliš minimálny, skúste zvýšiť úroveň podrobnosti (verbosity) pomocou nasledujúceho riadiaceho príkazu:

Teraz znova spustite príkaz -h:

Ako vysvetľuje výstup, implementovať akékoľvek presmerovanie portov pomocou jednoduchého príkazu je celkom jednoduché. Napríklad tunel je možné zrušiť aj pomocou príkazu kill, čo je v zozname príkazov označené ako K v zozname príkazov.

Záverečné myšlienky

S SSH sa stretávame pomerne často. Preto je učenie sa SSH veľmi užitočné. Náš komplexný prehľad SSH pokrýva najdôležitejšie konfigurácie SSH, ktoré používatelia potrebujú poznať na každodenné používanie SSH. Po ich zvládnutí by ste mali byť schopní pracovať s takmer všetkými konfiguráciami SSH serverov.

Príjemnú prácu s počítačom!