English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Thảo luận bảo mật OpenSSH  XML
  [Discussion]   Thảo luận bảo mật OpenSSH 19/09/2006 23:50:59 (+0700) | #1 | 24374
subnetwork
Member
[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]
OpenSSH - Mời anh em cho ý kiến để học hỏi thêm kinh nghiệm
1. OpenSSH
Như anh em đã biết, dịch vụ telnet, rlogin, rsh, rdist, rcp được dùng để truy cập đến hệ thống máy chủ từ xa và mật khẩu của người quản trị không được mã hoá (mật khẩu dưới dạng văn bản) và có thể attacker dùng một công cụ để lắng nghe và đánh cắp mật khẩu của người quản trị hệ thống . Chính vì thiếu xót trên cho nên phần mềm OpenSSH ra đời nhằm đáp ứng yêu cầu trên .
Trước khi cài đặt OpenSSH thì bạn cần cài đặt thêm gói zlib-devel
Để xác định xem gói zlib-devel này có cài đặt trên server rồi hay chưa
Code:
# rpm -qi zlib-devel

Nếu nó báo packet zlib-devel is not installed thì bạn làm bước tiếp theo cài đặt gói zlib-devel trên server . Nếu nó báo như say vậy là nó đã có rồi lúc này bạn chĩ việc download OpenSSH về và tự cài đặt
Code:
[root@ga ~]# rpm -qi zlib-devel

Sau khi download OpenSSH về, thực hiện việc biên dịch, cài đặt openSSH thì ta cần xét đến cấu hình của nó . Việc cài đặt anh em có thể tự tìm nó trên google . Tôi giới thiệu chức năng của nó thôi nhé, cái nào tôi biết thì tôi ghi ra cái này chưa hiểu thì tự mò tiếp và hỏi tiếp mà mò không được nữa thì nghĩ viết tiếp luôn.

Tập tin /etc/ssh/ssh_config đây là một trong những tập tin quan trọng nhất của openSSH, sau đây ta khảo sát tập tin này xem trong đây có những gì .
Code:
[root@ga ~]# vi /etc/ssh/ssh_config

ForwardX11 được dùng cho người dùng sử dụng Xwindows (GUI) vì lý do bảo mật cho nên tôi chọn No
PasswordAuthentication (xác thực mật khẩu) luôn luôn chọn Yes
RhostsAuthentication như tôi nói ở trên dịch vụ rhost không được an toàn vì vậy các dòng như RhostsAuthentication, RhostsRSAAuthentication, RSAAuthentication bắt buộc chọn là No .
FallBackToRsh : bạn lại thấy liên quan đến dịch vụ rsh . Chính vì vậy dòng này bạn cần thiết lập nó là No và dòng UseRsh bạn cũng làm tương tự .
Các dòng khác như StrickHostChecking bạn nên đặt nó là Yes , vì nó tự tạo một khoá chính vào trong thư mục $HOME/.ssh/know_hosts nó được ngầm hiểu như thêm một khoá chính tự động vào tập tin host .

Ta tìm hiểu xong phần ssh_config sau đây mình bắt đầu làm quen với sshd_config
Code:
[root@ga ~]# vi /etc/ssh/sshd_config

Tương tự như ở phần ssh_config, phần sshd_config cũng có thêm một số dòng dành cho những chổ kém an toàn như X11Forwarding, Rhost ở các mục này bạn nên chọn nó là No.
LoginGraceTime : Phần này quy định số giây khi người dùng đăng nhập vào server . Tôi chọn 400 (400:60 = gần 7 phút) nếu trong thời gian 7 phút này, người dùng nào đó đăng nhập vào server không thành công, truy cập không hợp lệ thì tự động disconnect .
Password Authentication : Tương tự như ssh_config bạn nên chọn nó là Yes
PermitRootLogin : Đây là phần quan trọng của tập tin này, mục đích của dòng này là hỏi bạn nếu bạn không có quyền root thì bạn vẫn sử dụng được ssh Bạn nên chọn nó là No .
Trong server của bạn, có rất nhiều account , bạn muốn một account nào đó sử dụng được ssh còn các account không sử dụng được ssh thì bạn xem tiếp dòng sau :
AllowUsers ga
Mục đích của dòng này, chỉ định tài khoản mang tên là ga được quyền sử dụng ssh và các account khác có trên server không được quyền sử dụng ssh .
Vậy nếu tôi muốn một số account trên server như voyeudau, vo yeu, vohienyeudau, .... được quyền sử dụng ssh thì tôi làm như thế nào
Code:
AllowUsers voyeudau vo yeu vohienyeudau

Tất cả các tài khoản được cách nhau bằng khoãng trống .

Bài viết này tôi viết cách đây chừng 25 phút vì vậy chưa thật hoàn chĩnh nhưng sẽ hoàn chĩnh hơn khi có sự trợ giúp của anh em (mình đang "rối" ở phần Tunnel khi PC đứng đằng sau một proxy server-Squid và chưa thể "đụng" đến tcpwarpper và SSL và nhân tiện ... lang thang một số dịch vụ nếu không giải quyết được Tunnel). Lỗi xuất hiện .
Code:
Temporary failure in name resolution


Mời bà con cho ý kiến để tui học hỏi thêm và sau khi có sự trợ giúp của anh em tui học hỏi được nhiều kiến thức từ anh em. Bài này không phải tutorial đâu anh em nhé (thảo luận bảo mật liên quan đến OpenSSH)
1. OpenSSH : Tôi ghi 1 ở đây còn có 2,3,4,5... nữa đó .
Ý kiến ở đây :
Bảo mật dịch vụ ssh, phương thức phòng chống hiểm hoạ để an tâm hơn khi sử dụng dịch vụ này để truy cập vào một hệ thống linux từ xa .
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   Thảo luận bảo mật OpenSSH 20/09/2006 00:18:52 (+0700) | #2 | 24387
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]
Để bảo mật nhất thì:

PasswordAuthentication no 


RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys 


Cái này dùng private key để xác thực, không xác thực = password. Xác thực bằng password có thể bruceforce. Để tạo private key thì chạy lệnh ssh-keygen.

Ngoài ra chỉ cho truy cập sshd từ những host tin cậy dùng tcp_wrapper. sshd của mình ngày nào cũng bị bruceforce, hix
[Up] [Print Copy]
  [Question]   Thảo luận bảo mật OpenSSH 20/09/2006 19:24:28 (+0700) | #3 | 24541
subnetwork
Member
[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tcp-wrappers : mục tiêu chính của nó là cho phép hoặc ngăn chặn các request đến các dịch vụ trên hệ thống server linux chẳng hạn như sshd , apache, mysql,… . Tcp-wrappers bao gồm hai thành phần sau :
/etc/hosts.allow (cho phép) ; /etc/hosts.deny (ngăn chặn)
Việc tôi chọn OpenSSH thay vì SSH2 đơn giản lý do : OpenSSH dùng cho miễn phí và SSH2 dùng cho mục đích thương mại .
Ở mỗi dịch vụ đều nên sử dụng Tcp-wrappers để hạn chế các request đi vào dịch vụ .

Thân
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   Re: Thảo luận bảo mật OpenSSH 21/09/2006 02:54:08 (+0700) | #4 | 24623
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]

Golden Autumn wrote:
Ở mỗi dịch vụ đều nên sử dụng Tcp-wrappers để hạn chế các request đi vào dịch vụ . 

tcp_wrapper chỉ nên dùng để bảo vệ các dịch vụ nhạy cảm, nếu httpd mà dùng tcp_warrper thì thành từ chối phục vụ smilie)
[Up] [Print Copy]
  [Question]   Thảo luận bảo mật OpenSSH 26/03/2008 01:32:43 (+0700) | #5 | 121159
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

pnco wrote:
Để bảo mật nhất thì:

PasswordAuthentication no 


RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys 


Cái này dùng private key để xác thực, không xác thực = password. Xác thực bằng password có thể bruceforce. Để tạo private key thì chạy lệnh ssh-keygen.

 

Chào anh pnco, em ghi lại sơ qua cách dùng private key để xác thực.

1. Cấu hình cho phép xác thực bằng private key trên server
Bỏ comment trước 3 dòng sau trong file /etc/ssh/sshd_config trên server

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
 

Mục đích:
+ dùng mã hoá kiểu RSA để xác thực
+ cho phép dùng Public key
+ chỉ định dùng file .ssh/authorized_keys để xác thực

2. Tạo một cặp khoá trên client
Dùng lệnh ssh-keygen (với SSH2 systems, bạn phải dùng ssh-keygen2)
Code:
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/quanta/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/quanta/.ssh/id_rsa.
Your public key has been saved in /home/quanta/.ssh/id_rsa.pub.
The key fingerprint is:
66:d2:19:51:10:58:75:79:9b:54:70:b8:c2:b3:8e:1d <a href="mailto:quanta@stubborn.kitty.com">quanta@stubborn.kitty.com</a>

Lệnh này tạo ra 2 khoá id_rsa (private key) và id_rsa.pub (public key) trong .ssh trong thư mục $HOME:
Code:
$ ls .ssh
id_rsa  id_rsa.pub

Code:
$ cat .ssh/id_rsa
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,C3020BFC3E0A07CF
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-----END RSA PRIVATE KEY-----

$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAuQzHIhb+svPCLGspSmjNP2e431lJ8SzgaSKvzcuESNgR27VGghMzv+UU3NzYNvoy4nRUsQyINl+iO6HL74mUCPvKZ5kzXo05wxSxiTt/ZvEvnmaXtEMTFoqxpaySvQEMLoPoIwBnNSBo/1/pYFd+NoPaWqcWyuEgwCjxluBeY+ejbe3kcsaN0yaJO572umMOSuviDQRrhCawWWa9GsWty7WKcw0tmoZhMLNCR0jUwGJdDwrovZduM7xppqAKS84EvBoIGSda1rbxldmGxTWjHS7pMeWKhFvVyK5FcskOAWQi4DpadJzNkJEldn0LMSbG21Qw3BmPmzfovSl8Kh33kQ== <a href="mailto:quanta@stubborn.kitty.com">quanta@stubborn.kitty.com</a>


3. Cài đặt khóa công khai trên SSH server

Copy khóa công khai từ client lên server:
Code:
$ scp .ssh/id_rsa.pub quanta@<IP_Address>:/home/quanta/.ssh/
quanta@<IP_Address>'s password: 
id_rsa.pub                                    100%  407     0.4KB/s   00:00

Tạo file ~/.ssh/authorized_keys với nội dung chính là nội dung của public key được tạo ra trên client (với SSH2 systems là ~/.ssh2/authorization)
Code:
$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
$ cat ~/.ssh/authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAuQzHIhb+svPCLGspSmjNP2e431lJ8SzgaSKvzcuESNgR27VGghMzv+UU3NzYNvoy4nRUsQyINl+iO6HL74mUCPvKZ5kzXo05wxSxiTt/ZvEvnmaXtEMTFoqxpaySvQEMLoPoIwBnNSBo/1/pYFd+NoPaWqcWyuEgwCjxluBeY+ejbe3kcsaN0yaJO572umMOSuviDQRrhCawWWa9GsWty7WKcw0tmoZhMLNCR0jUwGJdDwrovZduM7xppqAKS84EvBoIGSda1rbxldmGxTWjHS7pMeWKhFvVyK5FcskOAWQi4DpadJzNkJEldn0LMSbG21Qw3BmPmzfovSl8Kh33kQ== <a href="mailto:quanta@stubborn.kitty.com">quanta@stubborn.kitty.com</a>

Xoá file id_rsa.pub đi:
Code:
$ rm -fr ~/.ssh/id_rsa.pub


Thay đổi permission cho thư mục .ssh trên server để đảm bảo chỉ bạn có quyền write:
Code:
$ chmod 755 ~/.ssh
$ chmod 644 ~/.ssh/authorized_keys


4. Kiểm tra việc xác thực ssh với private key:
Code:
$ ssh <Alias>
Enter passphrase for key '/home/quanta/.ssh/id_rsa': 
Last login: Mon Mar 24 23:48:43 2008 from ...
[quanta@hostname ~]$


5. Thay đổi passphrase nếu muốn
Với SSH1 hoặc OpenSSH bạn chạy lại lệnh ssh-keygen với tuỳ chọn -p (với SSH2 dùng tuỳ chọn -e):
Code:
$ ssh-keygen -p
Enter file in which the key is (/home/quanta/.ssh/id_rsa): 
Enter old passphrase: 
Key has comment '/home/quanta/.ssh/id_rsa'
Enter new passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved with the new passphrase.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Thảo luận bảo mật OpenSSH 26/03/2008 05:38:46 (+0700) | #6 | 121205
safari
Member
[Minus]    0    [Plus]
Joined: 31/01/2008 01:19:23
Messages: 33
Location: somewhere
Offline
[Profile] [PM]

quanta wrote:

Thay đổi permission cho thư mục .ssh trên server để đảm bảo chỉ bạn có quyền write:
Code:
$ chmod 755 ~/.ssh
$ chmod 644 ~/.ssh/authorized_keys

 


Bạn có chắc là set quyền 755 cho folder .ssh không vậy?
Theo mình thì phải là 700.

Còn file authorized_keys thì quyền nên là 600 hoặc 400.
[Up] [Print Copy]
  [Question]   Thảo luận bảo mật OpenSSH 28/03/2008 08:01:30 (+0700) | #7 | 121641
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

safari wrote:

quanta wrote:

Thay đổi permission cho thư mục .ssh trên server để đảm bảo chỉ bạn có quyền write:
Code:
$ chmod 755 ~/.ssh
$ chmod 644 ~/.ssh/authorized_keys

 


Bạn có chắc là set quyền 755 cho folder .ssh không vậy?
Theo mình thì phải là 700.

Còn file authorized_keys thì quyền nên là 600 hoặc 400. 

Chào safari,

Việc chmod như bạn nói sẽ siết chặt permission hơn chứ thật ra để 755 cho .ssh và 644 cho authorized_keys cũng ok mà. Tớ "có chắc".
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: Thảo luận bảo mật OpenSSH 28/03/2008 12:24:46 (+0700) | #8 | 121690
[Avatar]
 YHT
Member
[Minus]    0    [Plus]
Joined: 21/04/2006 13:29:33
Messages: 173
Location: HCM
Offline
[Profile] [PM] [WWW] [Yahoo!]
authorized_keys là file nhạy cảm vì nó chứa thông tin key trong đó, chính vì thế gỡ bỏ quyền read, write đối với group và other user là cần thiết. Vì vậy 700 và 600 là hợp lý.
Đương nhiên là 755 và 644 hệ thống vẫn chạy được nhưng sao thì ... không phải bàn nữa nhỉ smilie
--YHT
[Up] [Print Copy]
  [Question]   Re: Thảo luận bảo mật OpenSSH 28/03/2008 21:38:49 (+0700) | #9 | 121721
Mr.Khoai
Moderator
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Xin chào,

authorized_keys chứa các public key được chấp nhận cho user hiện tại (trong home của user nào đó). Tất nhiên không thể để các user khác trong group hoặc everyone có quyền write. Thử chmod +w cho authorized_keys thì ít nhất OpenSSH sẽ la làng là bad permission. Tương tự cho private key (id_rsa) nhưng mà client sẽ la lên chứ không phải server.

Bảo mật ssh còn có thể ứng dụng thêm PAM để có thể tùy biến thích hợp với yêu cầu cho từng cá nhân.

khoai
[Up] [Print Copy]
  [Question]   Re: Thảo luận bảo mật OpenSSH 01/04/2008 02:49:54 (+0700) | #10 | 122325
lamer
Elite Member
[Minus]    0    [Plus]
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
[Profile] [PM]
Nếu sshd đang sử dụng StrictMode thì việc đặt quyền quá rộng (777, 755, 644 chẳng hạn) cho .ssh và .ssh/authorized_keys sẽ dẫn đến người dùng đó không login vào được theo cách sử dụng pubkey.
[Up] [Print Copy]
  [Question]   Thảo luận bảo mật OpenSSH 12/05/2009 10:43:56 (+0700) | #11 | 180306
rockyspk
Member
[Minus]    0    [Plus]
Joined: 11/03/2009 18:04:32
Messages: 19
Offline
[Profile] [PM]

quanta wrote:


1. Cấu hình cho phép xác thực bằng private key trên server
Bỏ comment trước 3 dòng sau trong file /etc/ssh/sshd_config trên server


RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys



Mục đích:
+ dùng mã hoá kiểu RSA để xác thực
+ cho phép dùng Public key
+ chỉ định dùng file .ssh/authorized_keys để xác thực  

bỏ comment là bỏ cái gì vậy mod? mình hiểu cách làm rồi. nhưng vẫn còn hơi mơ hồ về cơ chế bảo mật mà public key và private key mang lại.
[Up] [Print Copy]
  [Question]   Thảo luận bảo mật OpenSSH 12/05/2009 10:47:17 (+0700) | #12 | 180308
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

rockyspk wrote:

bỏ comment là bỏ cái gì vậy bạn? 

Dấu thăng (#) trước các dòng đó.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Thảo luận bảo mật OpenSSH 16/05/2009 05:39:35 (+0700) | #13 | 180706
rockyspk
Member
[Minus]    0    [Plus]
Joined: 11/03/2009 18:04:32
Messages: 19
Offline
[Profile] [PM]

quanta wrote:

rockyspk wrote:

bỏ comment là bỏ cái gì vậy bạn? 

Dấu thăng (#) trước các dòng đó. 


Mình đã làm theo tất cả các bước mà anh quanta hướng dẫn trong bài và đã đăng nhập với public key được rồi, nhưng mà mình đã thử trở lại bước 1 là "đặt lại dấu # trước 3 dòng: RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys "
thì vẫn đăng nhập được bằng public key vậy anh?hay là bước một này bị thừa!!!
[Up] [Print Copy]
  [Question]   Re: Thảo luận bảo mật OpenSSH 16/05/2009 21:29:39 (+0700) | #14 | 180751
Mr.Khoai
Moderator
Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
rockyspk,

OpenSSH default sẽ cho phép người dùng sử dụng public key. Nếu chịu khó xem output khi sử dụng ssh -v thì sẽ thấy các bước xác thực, public key luôn được "thử" trước. Nếu public key authentication bị tất bại thì người dùng mới phải nhập password.

Nói vậy không có nghĩa là các bước trên bị thừa. Khi cấu hình cái gì đó, tốt nhất vẫn là khai báo rõ có hỗ trợ hoặc không hỗ trợ một feature nào đó, thay vì dựa vào cấu hình mặc định. Nếu cấu hình mặc định có thay đổi thì cũng không ảnh hưởng đến ứng dụng mà mình dùng.

khoai
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|