Tags Posts tagged with "ssh"

ssh

przez -
0 360
OpenSSH

Damien Miller ogłosił wydanie OpenSSH 6.2, otwartej implementacji protokołu SSH (Secure Shell), który zapewnia szyfrowaną komunikację pomiędzy komputerami. Program dostępny jest na licencji BSD oraz działa na wielu systemach uniksowych i linuksowych. Nowa odsłona dodaje nowe tryby integracji transportowej, bazujące na SHA256 HMAC (Hash-based Message Authentication Code). W najnowszej wersji dodano nowe tryby szyfrowania, obsługę wymogu wielu protokołów uwierzytelniania (wymagany jest klucz publiczny i hasło), wsparcie listy z kluczami odwoławczymi, lepsze wsparcie seccomp-filter sandbox i inne.

przez -
11 1027
Bezpieczeństwo i szyfrowanie

Logując się do aplikacji Google możemy skorzystać z dwustopniowego uwierzytelnienia. Poza standardowym pytaniem o hasło, Google prosi o jednorazowy kod, który może zostać do nas wysłany SMSem, odczytany z aplikacji Google Authenticator na telefonie komórkowym lub odsłuchany z wiadomości głosowej. Metodę dwuskładnikowego uwierzytelnienie możemy również wykorzystać do logowania się po SSH do serwera. Google przygotowało specjalny moduł – libpam-google-authenticator.

Do skorzystania z tej metody potrzebna będzie aplikacja Google Authenticator dla telefonów komórkowych. Kolejnym krokiem będzie zainstalowanie modułu PAM.

Pobieramy plik libpam-google-authenticator-1.0-source.tar.bz2, wypakowujemy go i kompilujemy.

[thecamels@release ~]$ make
[root@release ~]$ make install

Na systemach RHEL oraz CentOS do poprawnej kompilacji wymagana jest paczka pam-devel. Następnie do pliku /etc/pam.d/sshd należy dodać na samym początku wpis:

auth       required     pam_google_authenticator.so

Ostatnim krokiem jest konfiguracja SSH, która zazwyczaj znajduje się w pliku: /etc/ssh/sshd_config, w której należy zaktualizować lub dodać opcję:

ChallengeResponseAuthentication yes

Kolejnym krokiem jest wygenerowanie sekretnego klucza. Odpowiada za to polecenie google-authenticator. Uruchamiamy je z konta użytkownika, który będzie korzystał z tej metody uwierzytelnienia.

Google Authenticator - QRCode

[thecamels@release ~]$ google-authenticator

Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/thecamels@release%3Fsecret%3DOIMEINBS3QIX6WZH
Your new secret key is: BWWEABGTYSJNKLQL
Your verification code is 375093
Your emergency scratch codes are:
  42025097
  15985152
  53691877
  15562664
  39541888

Do you want me to update your "/home/thecamels/.google_authenticator" file (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) y

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y
[thecamels@release ~]$

Wygenerowany został URL z obrazkiem, który pozwoli nam na szybką konfigurację aplikacji na telefonie komórkowym. Google wygenerowało również jednorazowe kody, które pozwolą nam na zalogowanie do serwera w przypadku kiedy nie mamy dostępu do telefonu komórkowego.

Po skonfigurowaniu serwera, należy zrestartować usługę SSH oraz skonfigurować telefon.

Google Authenticator Android

Czas na testy:

[thecamels@muszelka~]$ ssh release
Verification code:
Password:
[thecamels@release~]$

Aby zalogować się na serwer, należy podać token wygenerowany przez aplikację na telefonie oraz poprawne hasło. Jeżeli nie mamy dostępu do telefonu, możemy skorzystać z wygenerowanych wcześniej kodów.

przez -
0 814
Gate One

Gate One 0.9 jest emulatorem terminala dostępnym dla przeglądarek internetowych obsługujących HTML5. Wydawany jest on na licencji AGPLv3 i po raz pierwszy został udostępniony społeczeństwu. Oprogramowanie wykorzystuje WebSockety do połączeń z backendem napisanym w języku Python. Interfejs użytkownika został napisany w HTML5, CSS oraz JavaScript i nie wymaga żadnych dodatkowych pluginów do przeglądarki.


Wideo nagrane przez autora prezentujące możliwości Gate One

Gate One obsługuje również połączenia SSL oraz autoryzację Kerberos. Posiada obsługę własnych pluginów, które mogą być pisane w Pythonie, JavaScript oraz CSS. Obecnie dostępne pluginy rozbudowują program o obsługę SSH, nagrywanie i odtwarzanie sesji, menadżer zakładek dla zapisanych sesji.

Narzędzie to konkuruje z innymi emulatorami terminala w przeglądarce jak na przykład z consoleFISH czy ShellInABox. Emulatory te wykorzystują technologię AJAX.

Gate One dostępny jest w postaci źródeł w serwisie GitHub.

przez -
1 436
OpenSSH

Pojawiła się kolejna wersja OpenSSH – otwartej implementacji protokołu SSH (Secure Shell), który zapewnia szyfrowaną komunikację pomiędzy komputerami. Program dostępny jest na licencji BSD oraz działa na wielu systemach uniksowych i linuksowych. Nowa odsłona dodaje nowe tryby integracji tranpsportowej, bazujące na SHA256 HMAC (Hash-based Message Authentication Code).Pojawił się również specjalny tryb piaskownicy – sandboxing, który zapobiega atakowi hostów w tej samej sieci. Programiści ostrzegają jednak, że to jest funkcja eksperymentalna, ale wkrótce powinna stać się domyślną opcją.

Komentarze z kluczy są od teraz zachowywane podczas ładowania klucz v.2 i pojawia się komunikat ostrzegawczy, kiedy serwer odmawia przekierowania X11. Przenośna wersja OpenSSH również otrzymała sporo poprawek.

Bardzo często się zdarza, że w biurze, kawiarence internetowej czy podczas korzystania z sieci hotspot, mamy dostęp jedynie do portów HTTP oraz HTTPS. Wszystkie inne połączenia i porty są blokowane przez serwer proxy. I właśnie wtedy bardzo potrzebujemy skorzystać z SSH i połączyć się z naszą maszyną. Z pomocą przyjdzie nam prosta aplikacja o nazwie Corkscrew. Jest to małe narzędzie, które potrafi tunelować SSH po HTTP Proxy.

CorkScrew był testowany do działania z takimi serwerami proxy jak:

  • Gauntlet
  • CacheFlow
  • JunkBuster
  • Squid
  • Apache’s mod_proxy

Aby rozpocząć zabawę, należy pobrać plik corkscrew-2.0.tar.gz. Rozpakowujemy go i kompilujemy. Czynności te nie powinny przysporzyć nam większych problemów.

wget http://www.agroman.net/corkscrew/corkscrew-2.0.tar.gz
tar -xzf corkscrew-2.0.tar.gz
cd corkscrew-2.0
./configure
make
make install

Po instalacji aplikacji, przyszła kolej na skonfigurowanie klienta SSH. W tym celu edytujemy plik ~/.ssh/config i dopisujemy w nim:

Host *
ProxyCommand corkscrew adres_proxy port_proxy %h %p

W miejscu adres_proxy należy podać adres serwera proxy, przez jaki się łączymy oraz jego port w miejscu port_proxy. OpenSSH automatycznie zamieni zmienne %h %p na host i port serwera na jaki się będziemy łączyć. Polecenie możemy również uruchamiać ręcznie:

corkscrew w3cache.tpnet.pl 8080 muszelka.org 22

W przypadku kiedy serwer proxy wymaga autoryzacji, możemy stworzyć plik ~/.ssh/proxyauth o składni login:hasło, w którym podajemy dane do autoryzacji proxy. Następnie dopisujemy do ProxyCommand na końcu ścieżkę do tego pliku.

przez -
0 353
Openwall

Wydano system Openwall GNU/*/Linux 3.0 znany również pod nazwą Owl. Jest to bardzo mała dystrybucja Linuksa, która działa jako LiveCD. Charakteryzuje się on podwyższonym poziomem bezpieczeństwa. Owl może być zastosowany jako dystrybucja serwerowa. Ze względu na swoje małe rozmiary, oraz możliwość uruchomienia serwera SSH w wersji LiveCD, system nadaje się również do zdalnej naprawy innego systemu operacyjnego. System ten po raz pierwszy został wydany w 2000 roku. Wersja 3.0 podsumowuje 10 lat pracy programistów.

Polecane

Prasa, Czasopismo

1 909
Ukazało się Linux Magazine – numer 161. Lipcowe wydanie magazynu zawiera analizę tworzenia bardziej czytelnych wyrażeń regularnych z Simple Regex Language, instrukcje zabezpieczania i...