Professional Documents
Culture Documents
SSH - A Biztonságos Alternatíva Az RSH Helyett
SSH - A Biztonságos Alternatíva Az RSH Helyett
Abstract
More security on Internet usually means greater inconvenience - but ssh is an exception. The features and usage of
this excellent tool are detailed with examples from real systems.
- IP cm hamists, amikor egy tvoli gp olyan IP csomagokat kld, mintha azok egy msik gp csomagjai
-
lennnek.
IP source routing, amikor egy gp gy tesz, mintha egy tvoli gp IP csomagja rajta keresztl rkezne.
DNS hamists, amikor name server bejegyzseket hamistanak
az adatforgalom kzbls gpek ltali lehallgatsa ellen
az IP csomagok kzbls gpek ltali megvltoztatsa ellen
X autentikcis adat lehallgatsa s meghamistsa ellen
2. Hogyan mkdik?
1120
Az ssh RSA kulcsokon alapul. Minden ssh-t hasznl gpnek van egy host-azonost RSA kulcsa
(default 1024 bit). A szerver gpen az sshd daemon ezen kvl generl egy szerver RSA kulcsot is (default 768
bit), amelyet rnknt frisst s amit soha nem trol a merevlemezen .
Amikor egy kliens (ssh) hozzkapcsoldik a szerverhez (sshd), elszr a szerver azonostsa trtnik
meg. A szerver elkldi a host- s szerver-kulcsok publikus rszt a kliensnek. A kliens sszehasonltja a hostazonost publikus kulcsot az adatbzisban lvvel s ellenrzi, hogy az vltozatlan-e. Ezutn a kliens generl
egy 256 bites vletlenszmot, amit a szerver host- s szerver-kulcsval egyarnt titkost, majd ezt visszakldi a
szervernek. A szerver az RSA kulcsai ismeretben vissza tudja fejteni a titkostott vletlenszmot, amit a
tovbbiakban a kt oldal a forgalom titkost kulcsul (session key) fog hasznlni - ettl a ponttl kezdve
minden titkostott, IDEA, DES, 3DES, ARCFOUR (RC4) vagy TSS algoritmust hasznlva.
A kvetkez lps a kliens-azonostsa (autentikci). Tbb mdszer ll ehhez a rendelkezsnkre:
1121
1122
ssh szerver
A valdi, fizikai X
display
Titkostott csatorna
ssh kliens
Nem kell bajldnunk sem a DISPLAY vltoz belltsval, sem xhost vagy MAGIC-COOKIE X
Windows autentikcikkal, mert az ssh mindent elvgez helyettnk. Egyszeren vgrehajthatjuk a kvetkez
parancsot,
kadlec@blackhole:~$ ssh sunserv xterm
s az X terminl a kpernynkn minden tovbbi nlkl megjelenik.
1123
user
RSA autentikci
a) A loklis gpen:
i) Az ssh-keygen paranccsal RSA kulcso(ka)t kell ltrehozni
ii) Mdostani kell a bejelentkezsi folyamatot gy, hogy az az ssh-agent programmal
kezddjn s minden ms program (shell) abbl induljon:
Pldul X session (xdm) esetn:
/.xsession file:
#!/bin/sh
exec ssh-agent $HOME/.xsession.real
iii)
b)
Az elkpzels az RSA autentikci mgtt a kvetkez: az ssh-agent a felhasznl loklis gpn fut, s
kezdetben semmilyen RSA kulcsot nem ismer - azokat az ssh-add programmal kell hozzadni. (Tetszleges
szm kulcs hasznlhat.) Mivel az RSA kulcsokhoz a kulcsmondatokat a loklis gpen kell megadni, azok
1124
soha nem haladnak t a hlzaton. A tvoli gpek az RSA kulcsunk publikus rszvel azonostjk magukat s a
kapcsolatok az ssh-agent-hez automatikusan a titkostott csatornra irnytdnak.
Az RSA autentikci klnsen akkor hasznos, amikor az ssh-t olyan gpen szeretnnk hasznlni,
amelyen nincs ssh s a gp adminisztrtora valamirt nem hajland azt installlni. Az ssh ekkor kznsges
felhasznlknt lefordthat, installlhat s RSA valamint password autentikcival hasznlhat. (Ahhoz,
hogy az rhost-RSA autentikci mkdjn, az ssh-t root-knt kell telepteni.)
4. Honnan tlthet le Magyarorszgon?
ftp://ftp.kfki.hu/pub/packages/security/ssh
5. Hol tallhat a tmrl tovbbi informci az Interneten?
Ssh Home Page
Ssh FAQ
RSA FAQ
http://www.cs.hut.fi/ssh/
http://www.uni-karlshruhe.de/~ig25/ssh-faq/
http://www.rsa.com/rsalabs/fa q/
1125