Tråd bedømmelse:
  • 1 Stemmer - 4 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Beskyt din server med PKA
10-07-2013, 22:10 (Denne besked var sidst ændret: 10-07-2013, 22:48 af Doctor Blue.)
#1
Beskyt din server med PKA
PKA står for Public Key Authentication og bruges som en ekstra sikkerhed for at forhindre brute-force angreb på en server.
Idéen er, at man opretter et keypair, altså et sæt af nøgler: En offentlig der kan sendes uden kryptering uden nogen form for fare og en privat der beskyttes med passphrase og gemmes på din egen computer. Teknikken benyttes også i forbindelse med kryptering af e-mails ved hjælp af en GPG (GNU Privacy Guard) key hvor den offentlige bruges til at kryptere indholdet hvorefter den private er den eneste der kan dekryptere det igen. Jeg kan i øvrigt stærkt anbefale alle der går ind for privatlivets fred at lære hvordan man bruger dem.

Nuvel, i denne tutorial skal du bruge et keypair til at beskytte din SSH service.
Først genererer du et hold nøgler. Det sikreste er at gøre det på din egen computer og derefter uploade den offentlige (Kontra downloade den private).

Linux/BSD/Mac (Click to View)


Åben en terminal eller SSH session på din server som den bruger du har uploadet nøglen til. Nu skal den flyttes på plads så systemet kan finde den når du prøver at forbinde næste gang.
Public keys skal ligge i filen ~/.ssh/authorized_keys. Dette er en fil der indeholder en liste (en key per linje) med nøgler der kan bruges til at logge ind på den pågældende bruger. På den måde kan man for eksempel give flere personer adgang til at logge ind som root med hver deres password (Altså som passphrase til deres egen private key) og deres adgang kan kontrolleres ved at fjerne nøglen igen. Seperate brugere er dog stadig at foretrække.

Først skal du sikre dig at mappen eksisterer:
Kode:
mkdir ~/.ssh

For at kopiere din public key (id_rsa.pub) over kan du bruge kommandoen cat:
Kode:
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
Det eneste cat gør er at læse indholdet af en fil og sende det til din terminal session. De to pile (>>) får bash til at sende resultatet af kommandoen ind i den sidstnævnte fil, authorized_keys.
Man kan godt nøjes med at flytte filen, men på denne måde sikrer du dig at du ikke overskriver eventuelle andre keys I modsætning til en enkelt pil (>) eller mv (Move) kommandoen.

Vi kan ikke have at andre brugere roder med dine auth oplysninger, så husk at sætte det korrekte chmod. .ssh skal have 700 (u+rwx og go-rwx) authorized_keys skal have 600 (u=rw og go-rwx).
Kode:
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Nu mangler du bare at konfigurere din server til at tillade PKA som godkendelsesmetode.
Log ind som superuser (sudo eller root) og åben din sshd konfiguration med dit tekstredigeringsprogram (vi, vim, nano, emacs, whatever).
Kode:
vim /etc/ssh/sshd_config

Hvis du ikke selv har pillet ved filen vil alle disse indstillinger sandsynligvis være der i forvejen. Du skal sikre dig at der står følgende:
Kode:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

ChallengeResponseAuthentication no
PasswordAuthentication no
Du kan godt vente med at deaktivere password auth indtil du har sikret dig at det fungerer som det skal, men du kan også bare lade din root session stå åben mens du tester.

Genstart din SSH daemon
Kode:
service ssh restart
#eller
/etc/init.d/ssh restart

Nu kan du forbinde til din server ved hjælp af din private key.

Linux/BSD/Mac med OpenSSH (Click to View)

Windows med PuTTY (Click to View)
Hvis serveren spørger om password har du ikke konfigureret den korrekt.
Korrekt:
[Billede: xXtTAWG.png]

Forkert:
[Billede: OcdaU8g.png]

Jeg håber i nød min vejledning, der kommer nok snart en om GPG (Som jeg jo selv anbefaler at i lærer at bruge) og en håndfuld andre om server hardening (port knocking, opsætning af firewall mm.)
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
10-07-2013, 22:18
#2
RE: Beskyt din server med PKA
Skide god guide. Pretty good stuff, meeen jeg kommer nok ikke til at bruge det, da jeg ikke helt bruger det med servere så meget.
Ellers godt skrevet, og godt med billeder! (Y) <-- damn
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
10-07-2013, 22:20 (Denne besked var sidst ændret: 10-07-2013, 22:21 af Doctor Blue.)
#3
RE: Beskyt din server med PKA
(10-07-2013, 22:18)Ash Skrev: da jeg ikke helt bruger det med servere så meget.

Nej for det ordner jeg for dig, it is my job :P
Thanx!
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
10-07-2013, 22:21
#4
RE: Beskyt din server med PKA
(10-07-2013, 22:20)Doctor Blue Skrev: Nej for det ordner jeg for dig, it is my job :P
Thanx!

Lige præcejslig! Det' bår dejli'!
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
10-07-2013, 22:29
#5
RE: Beskyt din server med PKA
Nice. Godt med lidt config stuff. :) Lige noget for mig. ;)
Jeg kan for publikum tilføje at de to >> tilføjer til filen hvor > overskriver.
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
10-07-2013, 22:45
#6
RE: Beskyt din server med PKA
(10-07-2013, 22:29)iTick Skrev: Nice. Godt med lidt config stuff. :) Lige noget for mig. ;)

Det er også den slags jeg bare elsker at læse :)

(10-07-2013, 22:29)iTick Skrev: Jeg kan for publikum tilføje at de to >> tilføjer til filen hvor > overskriver.

Jeg har altid undret mig over forskellen men kunne ikke finde det nogen steder, tusind tak! Jeg tilføjer det også lige til guiden :)
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
11-07-2013, 22:02 (Denne besked var sidst ændret: 12-07-2013, 09:13 af Spagnum.)
#7
RE: Beskyt din server med PKA
Rigtig god vejledning til det praktiske. Bruger det sådan set hver dag, men det er oprettet en gang i Putty og så køre det bare, så det er jo ikke noget man lige tænker over i hverdagen.

Du kunne dog godt havde lidt mere general info om symmetrisk og asymmetrisk kryptering med. :)
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)