Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Конфигурация сервера и клиента Open SSH (некоторые уточнения)  (Прочитано 6188 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн koluna

  • Автор темы
  • Участник
  • *
  • Сообщений: 137
    • Просмотр профиля
Здравствуйте!

Настроил связку клиент-сервер. Работает, но некоторые вопросы остались открытыми.
Прочитал Вики и несколько тем на форумах, но ответов на некоторые вопросы так и не нашел.
Прошу помочь разобраться.

1. Как я понимаю, клиент перед прохождением аутентификации спрашивает у сервера виды аутентификации, которые тот поддерживает. Зачем тогда конфигурировать опции PubkeyAuthentication и PasswordAuthentication на клиенте, если они уже сконфигурированы на сервере?

2. Что за переменные передаются серверу с помощью "SendEnv LANG LC_*" и зачем? Языковые настройки, чтобы в ssh-сеансе можно было пользоваться "своим" языком?

3. Зачем нужна опция HostKey и файлы ssh_host_* на сервере?

4. Для чего нужна опция "Subsystem sftp /usr/lib/openssh/sftp-server"?
Что это за служба? FTP с шифрацией?

5. Как я понимаю, Open SSH поддерживает 5 видов аутентификации клиента: по адресу клиента, GSSAPI, запрос-ответ, по публичному ключу клиента и обычная парольная аутентификация. Пара приватный-публичный ключ нужна при всех типах аутентификации?

6. Какие права дать для клиента и сервера на файлы и папки с конфигами и ключами?
В манах не нашел. Нашел в одной из тем здесь, что права на папку ~/.ssh должны быть 700, а на файлы ключей - 600. Правильно?
« Последнее редактирование: 26 Сентября 2011, 22:04:35 от koluna »

Оффлайн koluna

  • Автор темы
  • Участник
  • *
  • Сообщений: 137
    • Просмотр профиля
Помогите, пожалуйста, читаю маны, а прояснения по этим вопросам нет :(

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
4) Протокол SFTP.  FTP по SSH
Цитировать
sftp-server - ставиться из пакета OpenSSH.
Как видно есть выбор между sftp-server и internal-sftp.
:!: А в чем разница?
В интернете я так и не нашел внятного ответа, в основном количестве мануалов используют internal-sftp.
Объясняется это так: нужно если применяем ChrootDirectory
Проверил - работает в обоих вариантах.

Цитировать
    Subsystem

    Configures an external subsystem (e.g. file transfer daemon).
    Arguments should be a subsystem name and a command (with optional
    arguments) to execute upon subsystem request.

    The command sftp-server(8) implements the ``sftp'' file transfer
    subsystem.

    Alternately the name ``internal-sftp'' implements an in-process
    ``sftp'' server.  This may simplify configurations using
    ChrootDirectory to force a different filesystem root on clients.

    By default no subsystems are defined.  Note that this option ap-
    plies to protocol version 2 only.

Бери больше, кидай дальше

Оффлайн koluna

  • Автор темы
  • Участник
  • *
  • Сообщений: 137
    • Просмотр профиля
4) Протокол SFTP.  FTP по SSH

Т. е., это обычный FTP от разработчиков SSH, тунелированный через SSH?
А зачем это нужно, если можно обычный FTP самостоятельно тунелировать? :)
Или я чего-то недопонимаю?
Это ведь не имеет отношения к scp?
А что такое internal-sftp?

Оффлайн terrible_user

  • Активист
  • *
  • Сообщений: 438
    • Просмотр профиля
4) Протокол SFTP.  FTP по SSH

Т. е., это обычный FTP от разработчиков SSH, тунелированный через SSH?
А зачем это нужно, если можно обычный FTP самостоятельно тунелировать? :)
Или я чего-то недопонимаю?
Это ведь не имеет отношения к scp?
А что такое internal-sftp?

Очень много вопросов вы задаете
http://xgu.ru/wiki/Sftp
Бери больше, кидай дальше

Оффлайн koluna

  • Автор темы
  • Участник
  • *
  • Сообщений: 137
    • Просмотр профиля
Цитировать
Очень много вопросов вы задаете
http://xgu.ru/wiki/Sftp

Ну я и прочитал уже прилично, правда далеко не обо всем, о чем хотел бы :)
Просто не всегда получается быстро найти ответы :(
По SFTP и SCP понятно - спасибо большое, хорошая статья!

По остальным вопросам можете что-нибудь сказать?

Пользователь решил продолжить мысль 27 Сентября 2011, 22:25:27:
Цитировать
3. Зачем нужна опция HostKey и файлы ssh_host_* на сервере?

Погуглил подольше...
Как я понимаю, это ключи сервера, которые отправляются сервером клиенту при первом подключении клиента. Используются для аутентификации сервера.

Пользователь решил продолжить мысль 27 Сентября 2011, 22:29:37:
Цитировать
1. Как я понимаю, клиент перед прохождением аутентификации спрашивает у сервера виды аутентификации, которые тот поддерживает. Зачем тогда конфигурировать опции PubkeyAuthentication и PasswordAuthentication на клиенте, если они уже сконфигурированы на сервере?

Допустим, сервер поддерживает несколько видов аутентификации клиента.
Имея выше указанные опции мы можем выбрать какой-то конкретный вид аутентификации(или несколько).
Т. е., обеспечивается гибкость в работе. Да?

Пользователь решил продолжить мысль 27 Сентября 2011, 22:33:17:
Цитировать
5. Как я понимаю, Open SSH поддерживает 5 видов аутентификации клиента: по адресу клиента, GSSAPI, запрос-ответ, по публичному ключу клиента и обычная парольная аутентификация. Пара приватный-публичный ключ нужна при всех типах аутентификации?

Плюс еще два в зависимости от ОС.
Для протокола второй версии аутентификация сервера всегда выполняется как минимум по публичному ключу. А вот клиента - по любому из выше описанных способов или их комбинации. Верно?
Насчет комбинации сомневаюсь...
« Последнее редактирование: 27 Сентября 2011, 22:35:16 от koluna »

Оффлайн koluna

  • Автор темы
  • Участник
  • *
  • Сообщений: 137
    • Просмотр профиля
Вроде, покопался, разобрался.
Ответы на вопросы выше.
Только вот не во всем уверен :(

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Кстати, вот весёлые картинки различных механизмов аутентификации, если вдруг интересно будет:
http://linuxnow.ru/view.php?id=84
;-)

Оффлайн koluna

  • Автор темы
  • Участник
  • *
  • Сообщений: 137
    • Просмотр профиля
Кстати, вот весёлые картинки различных механизмов аутентификации, если вдруг интересно будет:
http://linuxnow.ru/view.php?id=84
;-)

Спасибо за картинки, частично проясняют ситуацию.
Но все же хотелось бы чего-нибудь более удобоваримого :)

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
6. Какие права дать для клиента и сервера на файлы и папки с конфигами и ключами?
В манах не нашел. Нашел в одной из тем здесь, что права на папку ~/.ssh должны быть 700, а на файлы ключей - 600. Правильно?
Те права, которые ставятся по умолчанию при использовании команд ssh-keygen и ssh-copy-id, и есть правильные.
Если выставить сильно кривые права, то к примеру, аутентификация по ключу может не работать.
Но строго говоря, они могут зависеть от версии клиента и сервера.

Оффлайн koluna

  • Автор темы
  • Участник
  • *
  • Сообщений: 137
    • Просмотр профиля
Те права, которые ставятся по умолчанию при использовании команд ssh-keygen и ssh-copy-id, и есть правильные.
[/quote]

Поковырял маны...

Конфиги, согласно man:
/etc/ssh/sshd_config - права 600 или 644, владелец root.
/etc/ssh/ssh_config - права 644, владелец root.

Ключи:
~/.ssh/id_rsa - права 600.
~/.ssh/id_rsa.pub - права 644 (600 можно или смысла нет?).

Цитировать
Если выставить сильно кривые права, то к примеру, аутентификация по ключу может не работать.

Или sshd ругаться начнет при установке соответствующей опции в конфиге :)
« Последнее редактирование: 28 Сентября 2011, 19:00:39 от koluna »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
~/.ssh/id_rsa.pub - права 644 (600 можно или смысла нет?)
Можно, но особого смысла нет.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Кстати, сталкивался с проблемой прав на ключи для ssh. В итоге не мог подключиться с их использованием. В логах чётко писалось, что не стоит параноить и дать права на чтение. Вот только убейте не помню было эти проблемы с директорией .ssh или с файлом-ключом. Надо на досуге проверить

P.S. проблема была не на  Ubuntu, а на Slackware или Mandrake... по случаю проверю свою память

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
На ubuntu-10.04 и fedora-15 стопудово должно работать после
chmod -R u=rwX,g=,o= $HOME

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Вспомнил (точнее протестил). Проблема тогда была в неверном владельце файла authorized_keys.
Давно это было. И, кстати, это была одна из ошибок, допущенная во времена, когда я игнорировал напутствия гуру и чаще "рулил" из под root - перенёс проверенный на тестовой учётке инструмент на рабочую... Благо авторизацию по паролю не успел отключить...

 

Страница сгенерирована за 0.036 секунд. Запросов: 25.