lescinskas.lt

SSH yra protokolas, leidžiantis saugiai prisijungti prie nutolusio kompiuterio (serverio) ir vykdyti jame komandas. Prie serverio galima prisijungti įprastu būdu - nurodant vartotojo vardą bei slaptažodį, arba naudojant SSH raktus. Naudojant SSH raktus jungiantis prie serverio tereikia įvesti paties rakto slaptažodį - serverio vartotojo slaptažodžio įvesti nebereikia.

SSH raktą sudaro 2 failų pora - privataus ir viešojo. Privatus raktas yra saugojamas vartotojo kompiuteryje, o viešas raktas yra patalpinamas serveryje.

SSH raktų nauda vartotojui

Kadangi jungiantis prie serverio reikia žinoti tik savo rakto slaptažodį, patalpinus viešąjį raktą kiekviename iš vartotojo serverių, nebereikia žinoti kiekvieno jų slaptažodžio. Jei vartotojo kompiuteryje veikia raktų agentas (ssh-agent), slaptažodį reiks įvesti tik vieną kartą - jis bus įsimenamas.

Žinoma, privataus rakto saugumą būtina užtikrinti, nes jį gavus ir žinant jo slaptažodį, bus galima prisijungti prie kiekvieno serverio, kuriame bus viešasis raktas.

SSH raktų nauda infrastruktūrai - įmonei

Dažna situacija, kuomet keli įmonės darbuotojai turi galimybę prisijungti prie įmonės serverio SSH protokolu vienu vartotoju (pvz.: valdyti interneto tinklalapio failus). Įprastu atveju, visiems darbuotojams turėtų būti patikėtas prisijungimo slaptažodis, o vartotojui nebeleidžiant prisijungti prie serverio (pvz.: išėjus iš darbo), slaptažodis turėtų būti pakeičiamas ir apie tai informuojami visi susiję darbuotojai. Esant dideliam darbuotojų kiekiui, tai gali sukelti nepatogumų ir saugumo spragų.

Naudojant SSH raktus, kiekvienas darbuotojas turi susigeneravęs savo raktus ir prie serverio jungiasi naudodamas ne slaptažodį, o SSH raktą. Apribojus vartotojo prisijungimo galimybę, iš serverio tiesiog pašalinamas jo viešasis raktas. Taip nėra paviešinamas pats slaptažodis ir realizuojamas didesnis saugumo lygis.

SSH raktų sukūrimas

SSH raktų pora sugeneruojama naudojant komandą:

$ ssh-keygen

Vartotojo bus paprašyta įvesti ir pakartoti slaptažodį ir bus sukurti 2 failai:

~/.ssh/id_rsa - privatus raktas

~/.ssh/id_rsa.pub - viešas raktas

Windows vartotojai gali naudoti puttygen.exe programą.

SSH rakto talpinimas serveryje

SSH viešieji raktai nutolusiame kompiuteryje (serveryje) talpinami faile, esančiame ~/.ssh/authorized_keys po vieną vienoje eilutėje - reikia įrašyti viešojo rakto failo turinį. Jį galima pamatyti įvykdžius komandą:

$ cat ~/.ssh/id_rsa.pub

Kadangi galima įrašyti keletą viešųjų raktų, keli vartotojai galės prisijungti, naudodamiesi viešojo rakto autentifikacijos principu.

Kadangi failas talpinamas vartotojo namų direktorijoje, su SSH raktu bus galima prisijungti tuo vartotoju, kurio direktorijoje bus patalpinti viešieji raktai.

Svarbu! Direktorijos ~/.ssh teisės turi būti 0700, o failo ~/.ssh/authorized_keys - 0600.

Taip pat viešąjį raktą galima įdiegti naudojant komandą:

$ ssh-copy-id <vartotojo vardas>@<serverio IP arba adresas> - įkelia viešąjį raktą į serverį ir nustato failų teises. Ačiū Vidmantui.

Prisijungimas prie SSH

Prie nutolusio kompiuterio (serverio), naudojant SSH protokolą, prisijungiama naudojant komandą ssh arba SSH klientą PuTTY (Windows vartotojams). Galimi variantai:

$ ssh <serverio IP arba adresas> - bus jungiamasi tuo pačiu vartotojo vardu

$ ssh <vartotojo vardas>@<serverio IP arba adresas> - bus jungiamasi nurodytu vartotojo vardu

$ ssh -i /kelias/iki/privataus/rakto <vartotojo vardas>@<serverio IP arba adresas> - jungiamasi nurodant privataus rakto kelią (jei jis yra kitoje direktorijoje)

$ ssh -o "PubkeyAuthentication no" <vartotojo vardas>@<serverio IP arba adresas> - jungiamasi nenaudojant viešojo rakto principo

Taip pat galima susikurti SSH konfigūracijos failą, kuriame įrašius serverio pavadinimą, jam priskyrus atitinkamą vartotoją, prievadą (port), bus jungiamasi nurodytais duomenimis. Pvz.: konfigūracijos failas: ~/.ssh/config

Host serveris
    HostName www.serverio-adresas.tld
    User admin
    PubkeyAuthentication yes

Komandinėje eilutėje užteks parašyti:

$ ssh serveris

ir automatiškai bus jungiamasi prie www.serverio-adresas.tld serverio vartotoju admin, naudojant SSH raktą. Analogiškai į konfigūracijos failą galima įrašyti kelis serverius.

 

Apie SSH ir jo panaudojimą taip pat rašė Sirex.

Kitas šaltinis (taip pat ir straipsnio iliustracijos): OpenSSH Public Key Authentication

GNU screen yra virtualus terminalo multiplekseris. Naudojant jį viename konsolės lange galima paleisti kelis virtualius terminalus, persijungti tarp jų, padalinti langą ir matyti jame kelis terminalus, kuriuose galime vykdyti iškart kelias komandas (ar paleisti kelias programas). Galima paleisti ir kelias screen instancijas.

Taip pat galima screen'e paleisti programą ir prisijungti prie jos iš kito kompiuterio (per tą pačią screen'o instanciją). Atsijungus nuo terminalo, programa, paleista per screen'ą, yra vykdoma toliau, tuo tarpu įprastai paleidus programą ir atsijungus nuo terminalo, ji automatiškai išjungiama. Panaudojimas gali būti labai įvairiapusiškas, pvz.: serveryje, kur didelė interneto sparta, per screen'ą paleidžiame Torrent klientą, paleidžiame siųsti failus (žinoma, legalius), ir vėliau iš kito kompiuterio prisijungę prie to paties screen'o toliau naudojamės programa.

Taipogi per screen'ą naudinga paleisti ilgai trunkančias komandas nutolusiame serveryje, kuomet reikia užtikrinti, kad jos baigs vykdytis net ir atsijungus nuo serverio, pvz.: dingus interneto ryšiui ar elektrai.

Screen'as paleidžiamas komanda:
$ screen

Taip pat galima paleidžiant screen'ą, jam suteikti pavadinimą:
$ screen -S <pavadinimas>

Visas paleistų screen instancijų sąrašas:
$ screen -ls

Prisijungti prie screen'o:
$screen -r

Jei paleistos kelios screen'o instancijos, gausite jų sąrašą:
There are screens on:
31296.pavadinimas (04/05/2011 06:04:51 PM) (Detached)
30781.pts-0.paulius (04/05/2011 05:39:06 PM) (Attached)
2 Sockets in /var/run/screen/S-paulius.

Tuomet reiks nurodyti screen'o instancijos pavadinimą, pvz.:
$ screen -r 31296.pavadinimas

Prisijungus prie screen'o, komandos (išeiti, atsijungti, padalinti langą etc.) atliekamos paspaudus klavišų kombinaciją Ctrl+a (toliau - C-a), ją atleidus ir paspaudus kitą klavišą.
Svarbu atkreipti dėmesį į tai, kad skiriasi komandų didžiosios ir mažosios raidės (pvz.: C-a x atlieka kitką nei C-a X).

Komandos

Išeiti (detach - neišjungiant paties screen'o): C-a d
Išeiti (exit - išjungiant screen'ą): C-a \ (taip pat galima išeiti uždarant langus su Ctrl+d)
Užrakinti screen'ą: C-a x

Langų valdymo komandos

Sukuriamas naujas langas: C-a c
Uždaromas esamas langas: C-a k
Atidaromas kitas langas: C-a <space>
Atidaromas ankstesnis langas: C-a <backspace>
Parodomas langų sąrašas, su galimybe pasirinkti norimą: C-a "
Keičiamas lango pavadinimas: C-a A

Regionų (padalintų langų) valdymo komandos

Padalinamas aktyvus langas horizontaliai: C-a S
Padalinamas aktyvus langas vertikaliai: C-a |
Pereinama į kitą regioną: C-a <tab>
Uždaromas aktyvus regionas: C-a X

Sukūrus naują regioną ir perėjus į jį, reikia arba jame sukurti naują langą (C-a S), arba atidaryti jau egzistuojantį langą (C-a <space> arba išsirinkti iš sukurtų langų sąrašo - C-a ").