4.

UD

SSH ZERBITZUA

4.1.- Sarrera Hasiera batean urruneko administrazioa telnet komandoarekin egiten zen. Komando hori sortzerakoan ez zuten segurtasunean pentsatu, erabiltzeko erraztasunean baizik. Gaur egun urruneko administrazio egiteko ez da batere egokia telnet komandoa erabiltzea segurtasun-zuloak direla eta. Horrela, bezero/zerbitzari transmisioa zifratu gabeko testu lauan egiten da; edozein sniffer erabilita (adibidez: ethereal) transmisioa detekta eta frame-ak atzeman daitezke erabiltzaileen loginak eta pasahitzak lortzeko bidea zabalduz. Beste segurtasun ahultasun bat ere badu telnetkomandoak: root gisa konektatzea baimentzen du. Gainera ez du konexio-akatsen inguruko informaziorik biltegiratzen. Gaur egun urruneko makinak administratzeko SSH (Secure Shell) da tresnarik erabiliena. Urruneko makinetan saioak zabaltzeko protokoloa da SSH eta autentikazioa, konfidentzialtasuna eta osotasuna bermatzen du. Internet moduko segurtasunik gabeko sarearen bitartez loturiko ekipoen arteko konexio seguruak egiteko aukera eskaintzen du SSH zerbitzuak. 22. portua erabiltzen du SSH-k eta bezero/zerbitzari eredua jarraitzen du. SSH-ren helburu nagusia honako hau da: edozein datu mota (fitxategiak, pasahitzak, urruneko saio grafikoak, e.a.) era seguru batean transmititzeko urruneko konexioa bermatzea. SSH zerbitzuaren ekarpen handiena honako hau da: TCP gainean lan egiten duen protokolo orori euskarri segurua eskaintzea. Segurtasun hori kriptografia mekanismoak erabiltzean datza. Horrela, informazio guztia zifratuta, hots, ezkutatuta transmititzen da.

SAREKO ZERBITZUAK. 4. UD

1/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

UNIX eta GNU/LINUX banaketa gehienetan funtzionatzen du SSH-k eta MS WINDOWS eta MacOS sistema eragileetako bertsioak ere badaude. SSH zerbitzuak SSH protokoloa erabiltzen du. SSH bertsio askerik garrantzitsuena OpenSSH da (http://www.openssh.com)

OpenSSH instalatzean OpenSSL paketea instalatu ohi da (http://www.openssl.org/). OpenSSH-ren dependentzia gisa. OpenSSH erabilita sortutako transmisioa zifratzeko beharrezkoak diren hainbat liburutegi biltzen ditu OpenSSL-k. SSH-k zerbitzari/bezero transmisioa zifratzeaz gain (autentikazioa eta datuigorpena) beste 3. makina batek informazioa eskuratzea ekiditen du; halaber, mezuaren helmuga-makina ordezkatzea ere ekiditen du. Horiek guztiak ekiditeko informazio paketeak zifratzen dira bezeroak eta zerbitzariak soilik ezagutzen dituzten gakoak erabilita. SSH bi bertsio daude:

SSH1: Zifratze algoritmo patentatuak erabiltzen ditu. Horietako batzuk iraungita daude. Horrela, segurtasun-zuloak aurkezten ditu SSH1 protokoloak. Bi gako erabiltzen ditu; bata publikoa da eta bestea saioa zabaltzean era aleatorio batean sortzen da.

SAREKO ZERBITZUAK. 4. UD

2/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

SSH1 protokoloaren desabantailak honako hauek dira:

Ausazko gakoak sortzeko CPU-denbora asko behar da. Segurtasun-akats bat dela eta, gakoa sortu bezain laster konpromisoan jartzen da.

RSA zifratze-algoritmoa erabiltzen du.

SSH2: Aurrekoa baino seguruagoa da, SSH1 protokoloaren akatsak zuzentzen baititu. Bi gako erabiltzen ditu; gako horiek erabilitako zifratze-algoritmoekiko dependentzia dute. RSA eta DSA zifratze-algoritmoak erabiltzen ditu. SSH2 eta SSH1 ez dira bateragarriak.

4.2.- Historia pixka bat SSH tresna Tatu Ylnen programatzaile finlandiarrak garatu zuen 1995ean. Hasiera batean lizentzia askepean atera arren, eta programak izandako arrakastaz bultzaturik, Ylnen-ek SSHTM marka patentatu zuen eta SSH Communications Security (www.ssh.com) enpresa sortu zuen helburu komertzialetarako. Horrela, hurrengo bertsioak libre izaten utzi zuten, hala ere, erabilpen ez komertzialetarako (etxe zein hezkuntza inguruneak) dohainik izaten jarraitu zuen. Bestalde, OpenBSD (segurtasunean eta kriptografian oinarritutako UNIX motako sistema eragilea) garatzaileek SSH moduko tresna falta zitzaiela konturatu ziren, OpenBSD erabiltzaile orok SSH instalatzen baitzuen. Horrela, SSH-ren inplementazio librea sortzeko OpenSSH proiektua sortu zuten. Kode librea eta erabat eramangarria (ingurune orotan arazorik gabe exekutatzen da) erabili zuen OpenSSH-k.

SAREKO ZERBITZUAK. 4. UD

3/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Horrela, Ylnen-ek haren negozioa arriskuan ikusi eta OpenSSH salatu zuen SSH izena erabiltzeagatik. OpenSSH-k epaiketa irabazi zuen. SSHren bi bertsioak eusten ditu OpenSSH-k eta OpenSSL zifratze liburutegiekin batera tresna erabat segurua dela esan daiteke. OpenSSL SSL protokoloaren inplementazio librea da. 4.3.- Zifratzea Testu argia zifratzean kriptograma bihurtzen da. Kriptogramak aurreko testu bera adierazten du baina haren edukia ezkutatzen du, hots, kodifikatzen edo zifratzen du. Horrela, baimendutako erabiltzaileak baino ez dute haren edukia ikusterik. Horretarako kriptograma deskodetzen edo deszifratzen dute, beharrezkoak diren gakoak erabilita. Gero eta apurtzeko zailagoak diren algoritmoak erabiltzen dira zifratzekoa. Sistema apurtzen dela esango dugu kriptograma baten gakoak deskodetzeko metodo praktiko bat lortzen denean. Zifratzean honako arazo hauek konpontzen dira:

Konfidentzialtasuna edo pribatutasuna: Informazioa bidezko erabiltzaileek soilik eskura dezakete.

Osotasuna: Ez dago informazioa aldatzerik igorle/hartzaile (detektatu gabe) bidean.

Kautotzea edo autentifikazioa: Igorleak zein hartzaileak komunikazioan parte hartzen duen beste aldearen identitatea konfirma dezake.

Ukapen ezintasuna: Informazioaren igorleak ez du informazioaren egilea dela ukatzerik.

SAREKO ZERBITZUAK. 4. UD

4/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Bi zifratzea mota bereiz daitezke:

Zifratze simetrikoa Zifratze asimetrikoa

4.3.1.- Zifratze simetrikoa Zifratze simetrikoak edo partekatutako gakoen bitarteko zifraketak informazioaren igorleak eta hartzaileak soilik ezagutzen duten gakoa erabiltzen du. Gakoak ez du beste inork ezagutu behar. Informazioaren igorleak (A erabiltzailea) eta hartzaileak (B erabiltzailea) K gakoa ezagutzen dute (ikus 1. irudia). Jatorrizko informazioaren mezua, zifratze simetrikodun algoritmo bat eta K gakoa erabilita, K mezuan bilakatzen da. K mezua da hain zuzen ere B erabiltzaileari igortzen zaion mezua. B erabiltzaileak mezua jasotzean, K gako bera eta alderantzizko algoritmoa erabiltzen du jatorrizko mezua lortzeko.

Zifratze simetrikoa
K mezua

Komunikazio-bide ez segurua Mezua Zifratze algoritmoa Deszifratze algoritmoa Mezua

A erabiltzailea

B erabiltzailea

K gakoa

K gakoa

1. irudia.- Zifratze simetrikoa

SAREKO ZERBITZUAK. 4. UD

5/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Abantaila honako hau da:

Oso eraginkorra da erabilitako algoritmoak oso azkarrak baitira, baina erabat segurua izateko gakoak, gutxienez, 40 bitekoa izan behar du (hortik gorakoa)

Desabantaila honako hau da:

Komunikazioaren bi aldeek gakoa ezagutu behar dute

Zifratze algoritmo simetriko erabilienak honako hauek dira:

DES (Data Encryption Standard). 3DES algoritmoa 1978an IBM-k garatu zuen eta honako ezaugarri hauek ditu:

AEB-ko gobernuko bulegoak 1977. urtetik aurrera erabiltzen hasi ziren datuak babesteko.

56 biteko luzera duen DES gakoaren gaineko zifratze hirukoitza egiten du. Gehienbat banketxeak erabiltzen dute kreditu-txartelak kudeatzeko eta erabiltzeko.

Nahiko zaharkituta dago, hainbat alditan deszifratzea lortu baita.

IDEA (International Data Encryption Algorithm). Honako ezaugarri hauek ditu:

Zurich-eko eskola politekniko federalak garatu zuen 1992an. 128 biteko gakoak erabiltzen ditu eta posta elektronikoa zifratzeko erabiltzen da (PGP)

Programatzen erraza eta azkarra da. Momentuz ez da deszifratzerik lortu.

4.3.2.- Zifratze asimetrikoa Zifratze asimetrikoan edo gako publikoaren bitarteko zifraketan bi gako erabiltzen dira; bata publikoa (saretik aske dabilena) eta bestea pribatua (ez da saretik igortzen, mezuaren hartzaileak soilik ezagutu behar du).

SAREKO ZERBITZUAK. 4. UD

6/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Oro har, gako publikoak informazioa zifratzen du eta pribatuak informazioa deszifratzen du. Zifratze asimetrikoa erabilita komunikazioaren erabiltzaile bakoitzak bi gako ditu. Gako pribatua gakoaren jabeak soilik ezagutzen du; hots, ez da saretik publikatzen. Gako publikoa, ordea, beste erabiltzaileek ezagutu dezakete, hots, sarean publikatzen da. Gako bikoteak batera sortzen dira gako publiko-pribatu bikote bakarrak sortuz. Horrela, gako pribatu bakoitzari gako publiko bakarra dagokio eta alderantziz. Erabiltzaileak jasotako informazioa segurua izango da haren gako pribatuak kontrolatzen dituen bitartean. Erabiltzaile batek bere gako pribatua nahi duenean alda dezake eta gakoari loturiko gako publiko bikotea publika dezake aurreko gako publikoa ordezkatzeko. Abantaila honako hau da:

Gako pribatua ez da sarearen bitartez transmititzen eta erabiltzaile bakoitzak bere gako publiko-pribatu bikotea izateko nahikoa da.

Desabantailak honako hauek dira:

Algoritmoak ez dira batere eraginkorrak zifratzen/deszifratzen geldoak baitira. Gako publikoen egiazkotasuna ziurtatu beharra dago; hots, erabiltzaile baten gako publikoa berea dela ziurtatu beharra dago. Hori lortzeko gako publikoen ziurtagiri digitalak erabiltzen dira.

Mezua igortzen duen A erabiltzaileak (ikus 2. irudia) bi gako ditu; bata publikoa eta bestea pribatua (bera bakarrik ezagutzen duena). Mezua B erabiltzaileari soilik igorri nahi dio A erabiltzaileak. B erabiltzailearen gako publikoa ezagutzen du A erabiltzaileak eta zifratze algoritmo asimetriko bat erabilita, igortzen den mezu zifratuan bihurtzen du. B erabiltzaileak mezu zifratua jasotzean haren gako pribatua eta alderantzizko algoritmoa erabilita, jatorrizko mezua lortzen du.

SAREKO ZERBITZUAK. 4. UD

7/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

B erabiltzailearen gako pribatua ezagutzen ez duena jatorrizko mezua ez lortzea ziurtatu behar du algoritmoak. Konfidentzialtasuna bermatzen du algoritmoak jatorrizko hartzaileak soilik (adibidean, B erabiltzailea) mezua irakur baitezake.

Zifratze asimetrikoa I
Konfidentzialtasuna

Komunikazio-bide ez segurua Mezua Zifratze algoritmoa Deszifratze algoritmoa Mezua

A erabiltzailea

B erabiltzailea

A erabiltzailea B erabiltzailea C erabiltzailea B erabiltzailearen B erabiltzailearen D erabiltzailea gako pribatua gako publikoa Gako publikoen direktorioa

2. irudia.- Zifratze asimetrikoaren konfidentzialtasuna Hurrengo adibidean (ikus 3. irudia), mezua haren gako pribatua eta zifratze algoritmo asimetrikoa erabilita zifratzen du A erabiltzaileak eta zifratutako mezua B erabiltzaileari igortzen dio. A erabiltzailearen gako pribatuari dagokion gako publikoa eta alderantzizko zifratze algoritmoa erabilita, jatorrizko mezua lortzen du B erabiltzaileak. Gakoa publikoa denez, edozeinek lor dezake mezua baina horrek mezua sortu duena A erabiltzailea dela ziurtatzen dio B erabiltzaileari (bera bakarrik ezagutzen baitu enkriptatu deneko gako pribatua)

SAREKO ZERBITZUAK. 4. UD

8/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA
Zifratze asimetrikoa II
Autentifikazioa

Komunikazio-bide ez segurua Mezua Zifratze algoritmoa Deszifratze algoritmoa Mezua

A erabiltzailea

B erabiltzailea A erabiltzailea B erabiltzailea C erabiltzailea A erabiltzailearen gako pribatua D erabiltzailea

A erabiltzailearen gako publikoa

Gako publikoen direktorioa

3. irudia.- Zifratze asimetrikoaren autentifikazioa edo kautotasuna Zifratze asimetriko algoritmo ezagunenak honako hauek dira:

RSA (Rivest-Shamir-Adleman). 1977an sortu zuten eta honako ezaugarri hauek ditu:

Gako publikodun zifratze algoritmorik erabiliena da. AEB-etan patentatuta egon zen 2000arte. Zifratzeko zein dokumentuak sinatzeko erabil daiteke. 512 biteko algoritmoa AEB-etan soilik erabil daiteke. 512 bitekin ez da batere segurua eta 1.024 bitekin nahiko segurua da. Makina ahaltsuenen aurrean erasotzen erraza da.

DSA (Digital Signature Algorithm). Honako ezaugarri hauek ditu:

Zifratzeko zein dokumentuak sinatzeko erabil daiteke. Sinadura itzulgarria da; zifratzea ez. RSA baino segurua da, parametro gehiago erabiltzen baititu.

SAREKO ZERBITZUAK. 4. UD

9/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Gako publikodun algoritmoak dokumentu luzeak zifratzeko denbora asko behar dutenez, sinadura digitalen protokoloak laburpenak erabiltzen dituzte (hast funtzioak erabilita). Horrela, dokumentua sinatu ordez, lortutako laburpena da sinatzen dena. Sinadura digitalaren helburua honako hau da: sinatzen duena esaten duena dela eta mezua bidean aldatu ez dela ziurtatzea. Zifratze asimetrikoan oinarrituta dago. Adibideak: MD5 eta SHA-1 4.4.- SSH-ren funtzionamendua Urruneko konexio egokia ziurtatzeko funtsezko ezaugarriak honako hauek dira:

Saretik pasahitzak zifratu gabe ez transmititzea. Kautotzeko mekanismoa ziurrak erabiltzea. Fitxategiak transferitzea moduko urruneko aginduak era seguruan

exekutatzea.

X11 saio grafiko seguruak (GNU/LINUX inguruneak) erabiltzea.

SSH zerbitzuak aurrekoak ziurtatzen ditu eta era honetan funtzionatzen du:

Bezeroak TCP konexio bat irekitzen du zerbitzariaren 22. portuan. SSH zerbitzariak eta bezeroak erabiliko duten SSH bertsioa negoziatzen dute. Une horretan, datuak transmititzeko erabiliko duten zifratze algoritmoa (simetrikoa) zein den erabakitzen dute.

SSH zerbitzariak gako publiko eta pribatu bikotea du. Gako horiek zerbitzaria erabiltzailearen aurrean identifikatzen dute. Horrela, beste makina batek zerbitzariaren lekua hartzea ekiditen da. Zerbitzariak haren gako publikoa bezeroari bidaltzen dio.

Bezeroak gako publikoa jaso eta biltegiratuta duenarekin alderatzen du egiazkoa den ala ez ziurtatzeko. Lehenengo aldian erabiltzaileari baieztapena eskatzen dio SSH-k gakoa ontzat emateko.

SAREKO ZERBITZUAK. 4. UD

10/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Horrek, zerbitzari-bezero komunikazioan norbaitek gako publikoa aldatzearen arriskua dakar (man in the middle). Hurrengo aldietan bezeroak gako publikoa jasotzen duenean biltegiratuta duenarekin alderatzen du. Man in the middle erasoa ekiditeko honako hau egiten SSH zerbitzuak: Demagun gure SSH zerbitzariaren IP helbidea 192.168.2.3 dela eta beste ekipo batetik konexioa zabaltzen dugula SSH erabilita. Konektatzen garen lehenengo aldian konexioa zabaltzeko denbora gehiago beharko du bezeroak /home/erabiltzaile_izena/.ssh/known_host fitxategian IP horretarako sarrera bat idatzi behar baitu SSH zerbitzariak. Konexioa zabaltzen dugun hurrengoetan IP helbidearen gako bat known_host fitxategian biltegiratutakoarekin alderatzen du eta desberdina baldin bada, ez du konexioa zabaltzerik utziko, beste makina batek SSH zerbitzariaren IP helbidea bereganatu duela suposatzen baitu. Ez du konexioa irekitzerik utziko known_host fitxategian IP horri dagokion sarrera ezabatu arte.

Bezeroak alegiazko saio gakoa sortzen du. Sortutako alegiazko gakoa eta aukeratutako algoritmoa dituen mezua sortzen du bezeroak. Mezu hori zerbitzariaren gako publikoaren bitartez zifratuta dago. Zifratutako mezu hori zerbitzariari bidaltzen dio bezeroak.

Urruneko saioan aukeratutako zifratze algoritmo simetrikoa eta alegiazko gakoa erabiltzen dira.

Erabiltzailea kautotu ondoren, erabiltzailearen saioa abiarazten da.

Argi ikusten denez, SSH zerbitzuaren funtsezko ezaugarria konexioan eskaintzen duen segurtasuna da, konexioa ezartzerakoan eta erabiltzaile kautotu aurretik, bide zifratu bat sortzen baitu SSH zerbitzuak. Bide horretatik informazioa transmitituko da. Horrela, erabiltzaile-saioan erabilitako informazioa zifratuta joango da. 4.4.1.- SSH tunela
SAREKO ZERBITZUAK. 4. UD 11/30 Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Komunikazioan erabiltzen diren protokolo gehienak orain dela 30 urteko diseinuetan oinarrituta daude (garai horietan sareko segurtasuna ez zen arazo bat). Horrela, TELNET, FTP eta POP3 moduko protokoloak asko erabili arren, ez dira batere egokiak datuen segurtasunaren eta konfidentzialtasunaren ikuspuntutik. Zertarako balio du zerbitzariak babesteak, pasahitz-politika egokiak inplementatzeak eta aplikazioak eguneratzeak, erabiltzaile batek haren posta elektronikoa erabiltzerakoan (POP3 protokoloa erabilita) logina eta pasahitza zifratu gabe saretik bidaltzen badu? Hori ekiditeko honako bi aukera aipa daitezke:

Protokolo seguruak erabiltzea. Seguruak ez diren protokoloak erabiltzen badira, protokoloak aldatu seguruagoak bihurtzeko.

Bi irtenbide horietatik bigarrena bideragarriagoa da. Helburua honako hau da: protokolo klasikoak protokolo seguruetan bihurtzea. Horretarako, datuak bidaltzeko tunelak erabiltzen dira. Tunelaren bi aldeetan POP3 edo FTP moduko protokolo ez seguruak erabiltzen dituzten zerbitzuak exekutatuko dira. Kriptografiaren bitartez eta portuak birbidaltzeko (PortForwarding) teknika erabilita, komunikazio segurua ziurtatzeko gai da SSH zerbitzua. Bezeroak tunelaren alde batetik bidaltzen dituen datuak hartu eta tunel segurutik beste aldera birbideratuko ditu SSH zerbitzuak. Bertan datuak hartu eta zerbitzarira birbideratzen dira (PortForwarding).

SAREKO ZERBITZUAK. 4. UD

12/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Konexio segurua

Konexio ez-segurua

Bezeroa

Zerbitzaria

Portuak birbidaltzeko teknika honako asmo hauetarako interesgarria suerta daiteke:

Helbide pribatuak dituen LAN baten barruko TCP zerbitzuetara atzitzeko. FTP, TELNET, Messenger, POP3, IMAP edo SMTP gakoak zifratu gabe ez

bidaltzeko.

SSH zerbitzua soilik baimenduta duten suhesiak igarotzeko. Sare ez seguru batean X zerbitzuak edukitzeko

4.5.- SSH zerbitzaria Edozein datu mota, hala nola, fitxategiak, pasahitzak, saio grafikoak, urruneko sisteman administrazio aginduak, login saioak, saio grafikoak, e.a. era seguru batean transmititzea bermatzen duen urruneko konexioak ezartzen ditu SSH zerbitzariak. Hemendik aurrera, OpenSSH erabiliko dugu. SSH zerbitzuaren inplementazio librerik erabiliena da OpenSSH. OpenSSH-ren funtsezko ezaugarriak honako hauek dira:

Kode librea da eta Internetik arazorik gabe jaitsi daiteke. Kode segurua eta fidagarria da eta ez du atzeko aterik.

SAREKO ZERBITZUAK. 4. UD

13/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Edozein erabilerarako lizentzia eskaintzen du, komertziala barne. http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/LICENCE

SSH1 eta SSH2 protokoloekin bateragarria da. Honako plataforma hauetan erabil daiteke: GNU/LINUX, WINDOWS, UNIX, Mac, SOLARIS, AIX, e.a.

X11 protokoloaren bidez birbidaltzea: GNU/LINUX sistema eragileetan soilik betetzen da. Sare-trafikoa urruneko X Window inguruneak erabilita zifra daiteke; horrela, bezeroak X Window erabiltzen badu eta SSH bitartez urruneko saio bat zabaltzen badu eta urruneko makinan X Window ingurune grafikoa behar duen programaren bat exekutatzen badu, programa makina lokalean ikusiko du. X11 konexioa bide seguru batetik gauzatzen da.

X Window sistema 80ko hamarkadan MITek (Massachusetts Institute of Technology) garatu zuen. UNIX sistema eragilerako bezero/zerbitzari bitartekari grafikoa bat da. Erabiltzaile bat eta makina bat edo gehiagoren arteko sare bidezko interakzio grafikoa baimentzen du X11 protokoloak. 11. zenbakiak bertsioa adierazten du.

SFTP (FTPren bertsio segurua) zerbitzariarentzat eta bezeroarentzat euskarria eskaintzen du, SSH1 eta SSH2 protokoloetan. 2.5.0 bertsiotik aurrera SFTPrako euskarria eskaintzen du OpenSSH-k. Bezeroarentzat erabiltzen den agindua sftp da.

Datuak konprimitu: OpenSSH-k datuak zifratu baino lehen konprimitzen ditu.

4.5.1.- Instalatu SSH zerbitzaria GNU/LINUX sistema eragilean

Komando leihoa erabilita, SSH paketearen azken bertsioa instala daiteke:

SAREKO ZERBITZUAK. 4. UD

14/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Paketea instalatzean gako pribatu eta gako publiko bikotea sortzen da. Zerbitzariaren konfigurazioa /etc/ssh/sshd_config fitxategian kudea daiteke.

4.5.2.- SSH zerbitzariaren konfigurazio fitxategiak OpenSSH konfigurazio fitxategiak /etc/ssh direktorioan aurki daitezke. Fitxategi garrantzitsuenak honako hauek dira:

sshd_config: SSH zerbitzariaren konfigurazioa deskribatzen du. Beste gauzen artean, honako hauek konfigura daitezke: portua, protokolo bertsioa, makinaren gako pribatua non dagoen eta gako hori RSA edo DSA algoritmoak erabilita sortu den. Gako publikoaren bidezko autentifikazioa baimenduta baldin badago, PubkeyAuthentication aukera aktibatu behar da eta gakoak non gordetzen diren finkatu behar da (AuthorizedKeysFile). Gakoak ~/.ssh/authorized_keys fitxategian biltegiratu ohi dira.

ssh_config: SSH bezeroaren konfigurazioa deskribatzen du. ssh_host_rsa_key: makinaren RSA gako pribatua. ssh_host_rsa_key.pub: makinaren RSA gako publikoa. known_hosts: beste makinen RSA gako publikoak. ssh_host_dsa_key: makinaren DSA gako pribatua. ssh_host_dsa_key.pub: makinaren DSA gako publikoa. ~/.ssh/id_rsa: erabiltzailearen RSA gako pribatua. ~/.ssh/id_rsa.pub: erabiltzailearen RSA gako publikoa. ~/.ssh/authorized_keys: Autentikaziorako behar diren erabiltzailearen gako publikoak.

OHARRA:

~ (AltGr+): erabiltzailearen home direktorioa . : ezkutatutako fitxategia. Hura ikusteko, erabili ls -a komandoa

SAREKO ZERBITZUAK. 4. UD

15/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

SSH zerbitzariaren sshd_config konfigurazio fitxategian, SSH zerbitzariaren konfigurazio kudea daiteke honako direktiba hauek erabilita:

PermitRootLogin yes/no: root administraria urruneko makinara konektatzeko baimena eman bai/ez.

RSAAuthentication yes/no: RSA autentifikazioa baimendu bai/ez. PubkeyAuthentication yes/no: gako publikoa erabilita autentifikazioa baimendu bai/ez.

RhostsRSAAuthentication yes/no: rhost bitarteko autentifikazioa baimendu bai/ez; hau da, urruneko makinan erabiltzailearen home direktorioan .rhost fitxategia sortu bai/ez. Fitxategi horretan urruneko makinara pasahitzik erabili gabe sar daitezkeen makina eta erabiltzaileak finkatzen dira.

HostbasedAuthentication yes/no: host bitarteko autentifikazioa bai/ez. Ez finkatzen bada, erabiltzailearen bitarteko autentifikazioa erabiliko da.

X11Forwarding yes/no: konektatzen diren bezeroak X Window aplikazioak exekuta ditzakete eta informazio grafikoa konexio seguruaren bitartez transmiti dezakete bai/ez.

MaxAuthTries zbkia: Konexio saiakera maximoa finkatzen du. Oso garrantzitsua da zentzuzko balioa finkatzea, indar basatian (fuerza bruta) oinarritutako erasoak ekiditearren.

OpenSSH zerbitzariak RSA gako bikotea detektatzen badu, berez SSH2 protokoloa baino segurtasun baxuagoa eskaintzen duen SSH1 protokoloa erabiliko du. 4.5.3.- Erabiltzaileak kautotzea Erabiltzaileak kautotzeko hainbat metodo daude. Gehien erabiltzen diren biak aztertuko ditugu, metodo batek bestea baztertzen du; hots, bezeroak eta zerbitzariak metodo bera erabili behar dute.

SAREKO ZERBITZUAK. 4. UD

16/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Pasahitzen bidez kautotzea: Erabiltzailea haren pasahitza erabilita autentifika daiteke. Behin SSH tunela sortu ondoren, erabiltzailearen logina eta pasahitza zerbitzarira bidaltzen dira. Erabiltzailea existitzen dela eta sartutako pasahitza egokia dela frogatuko du zerbitzariak. Pasahitza/logina ez da testu laua gisa saretik joango. Autentifikazio mekanismo horrek erabiltzaileak saio bat zabaltzean pasahitza sartzera behartzen du.

Gako publikoaren bidez kautotzea: Erabiltzaileak sortutako gako publikoa erabiltzen du. Izatez, bi gako erabiltzen ditu: 1.- gako publikoa: Erabiltzailea konektatuko den zerbitzari guztietara kopiatzen da. 2.- gako pribatua: Erabiltzaileak bakarrik ezagutzen du. Bi gako horiek propietate garrantzitsu bat betetzen dute; gako publikoa erabilita zifratutako testua, dagokion gako pribatua erabilita soilik deszifra daiteke eta gako pribatua erabilita zifratutako testua, dagokion gako publikoa erabilita soilik deszifra daiteke. Nola aplika daiteke propietate hori erabiltzaileak kautotzeko prozesuari? 1.- Konexioa ezarri ondoren, zerbitzariak ausazko zenbaki bat sortzen du. Zenbaki hori erronka (Challenge) deritzo eta erabiltzailearen gako publikoaren bitartez zifratzen da RSA edo DSA algoritmoak erabilita. Testu zifratu hori erabiltzaileari bidaltzen zaio. 2.- Erabiltzaileak mezu zifratua dagokion gako pribatuarekin deszifratu behar du eta erantzun zifratua zerbitzariari bidali. Horrela, erabiltzaileak esaten duena dela egiaztatzen du. 3.- Zerbitzariak erantzun zifratua deszifratzen du erabiltzailearen gako publikoa erabilita.

SAREKO ZERBITZUAK. 4. UD

17/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

4.- Zerbitzariak deszifraturiko testua jatorrizko testuarekin konparatzen du. Bat egiten badute erabiltzailea era egokian kautotu dela ondorioztatzen du zerbitzariak. Prozesu osoa erabat gardena da erabiltzailearentzat. 4.5.4.- SSH-ren oinarrizko erabilpena OpenSSH konfigurazio fitxategiak aldaketaren bat egiterakoan aldaketak eragina izateko SSH zerbitzua berrabiarazi behar da: # /etc/init.d/ssh start [stop/start/restart/status]

SSH-ren zerbitzari-deabrua /usr/bin/sshd da eta normalean init prozesuak martxan jartzen du. OpenSSH bezeroa /usr/bin/ssh da. Saioak irekitzeko eta urruneko makinetan komandoak era seguru batean exekutatzeko erabili ohi da ssh komandoa. Komando horren sintaxia honako hau da (bezeroa): ssh [erabiltzaile_izena@]urruneko_makina Zerbitzarian eta bezeroan erabiltzaile_izenabera bada, ez da zertan komandoan adierazi behar. urruneko_makina urruneko makinaren IP helbidea da edo bere izena DNS zerbitzua konfiguratuta baldin badago. Konektatzen garen lehenengo aldian, denbora gehiago emango du konexioa egiteko eta yes sartzea derrigorrezkoa da. Hori konektatzen garen makinan eta konektatzen garen erabiltzailearen home-an /home/erabiltzailea/.ssh/known_host fitxategian, zerbitzari makinaren IP helbiderako sarrera biltegiratu behar duelako gertatzen da.

SAREKO ZERBITZUAK. 4. UD

18/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Hurrengo konexioak azkarrago emango dira eta ez du yes sartzerik eskatuko. Konexioa eman dela jakingo dugu prompt-a aldatzen delako. Bertan, prompt gisa urruneko makinaren izena agertuko da. Konexioa egin ondoren exekutatzen diren komandoak urruneko makinan exekutatuko dira, urruneko makinaren errekurtsoak erabilita (CPU, memoria, e.a.). 4.6.- SSH bezeroa Urruneko makina batetik SSH zerbitzariarekin konexio segurua ezartzeko eskaera eskatzea bermatzen dio erabiltzaileari SSH bezeroak. SSH konexioa tresna grafikoak edo komando-leihoa erabilita zabal daiteke. Adibidez, Webmin tresna grafikoak SSH konexioak zabaltzea bermatzen du. Bertatik, OpenSSH instala daiteke. Beste tresna grafiko batzuk erabil daitezke, hala nola, PuTTY, FreeNX, e.a. 4.6.1.- Fitxategien transferentzia segurua GNU/LINUX sisteman fitxategiak transferitzeko honako bi aukera hauek erabil daitezke: scp eta sftp komandoak.

SAREKO ZERBITZUAK. 4. UD

19/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

4.6.1.1.- scp agindua Komando-leihoa erabilita transferentzia sinplek egiteko erabil daiteke.cp komandoa gisa erabiltzen da, baina lokalean kopiatu ordez, urruneko makinetan eta era seguru batean kopiatzeko erabiltzen da. scperabilita egindako kopiak seguruak dira, konexio seguru eta zifratua erabiltzen baita. scp erabilita fitxategiak zein direktorio osoak (* erabilita) kopia daitezke era seguru batean. Sintaxia honako hau da:

Fitxategi lokala urruneko makinara kopiatzeko: scp fitxategi_lokala erabiltzaile_izena@urruneko_makina:kopia_fitx Urruneko makinaren fitxategia makina lokalean kopiatzeko: scp erabiltzaile_izena@urruneko_makina: urruneko_fitx:kopia_fitx_lokala Direktorio lokala urruneko makinan kopiatzeko: scp /direktorioa/* erabiltzaile_izena@urruneko_makina: /helmuga_direk/ Urruneko makinaren direktorioa makina lokalean kopiatzeko: scp erabiltzaile_izena@urruneko_makina:/jatorri_dir/ /dir/*

Adibideak:

ikaslea1@pc11:~$ scp pc12:/path/urruneko_fitx path/fitx_lokala ikaslea1@pc11:~$ scp fitx ikaslea@pc12:~

4.6.1.2.- sftp agindua Ohiko FTP bezero batek saio seguruak zabaltzeko modua emulatzen du sftp aginduak. FTP saio segurua irekitzeko erabiltzen da. Sintaxia honako hau da: sftp erabiltzaile_izena@makina_izena Behin konexioa ezarri ondoren, FTP komandoak erabil daitezke. Horiek eskuliburuan kontsulta daitezke (man sftp).

SAREKO ZERBITZUAK. 4. UD

20/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Komandoak zerrendatzeko beste modu bat urruneko saioa zabaldu ondoren help komandoa erabiltzean datza. Adibidea: ikaslea1@pc11:~$ sftp urruneko_makina sftp> help 4.6.2.- X11 birbidaltzea SSH komando-leiho seguru bat sortzeko erabili arren, X saio grafikoak zabaltzeko ere erabil daiteke. X Window programa bat shell seguru batetik exekutatzen denean, SSH bezeroa eta zerbitzariek SSH konexioaren barruko bide seguru berri bat sortzen dute. X Window programaren datuak bezeroari bidaltzen zaizkio bide horretatik zehar. Prozedura honako hau da: 1.- Zabaldu konexioa urruneko zerbitzariarekin SSH erabilita (bide zifratua). 2.- Makina lokalean exekutatu xterm (X Window sistema grafikoan erabiltzen den alegiazko terminala). 3.- xterm X zerbitzariarekin zuzenean komunikatzen da (zifratu gabeko komunikazioa).
Makina lokala Bide zifratua Urruneko makina

X saioa SSH gabe Hortik aurrera xterm leihoan tekleatzen dena (pasahitzak barne) saretik testu laua gisa transmitituko da, SSH erabiltzearen abantailei uko eginez. Hobeagoa litzateke SSH zerbitzuarekin X bezeroentzat erabiltzen den bide seguru bera erabiltzea. X11 birbidaltzea(forwarding) SSH bidea erabiltzeko mekanismoa da. Horrela, X11-ren trafikoa birbideratzen du SSH-k .

SAREKO ZERBITZUAK. 4. UD

21/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Bigarren kasu horretan prozedura honako hau da: 1.- Urruneko zerbitzarira konektatzen da ssh komandoa erabilita (komunikazio zifratua). SSH zerbitzariak X zerbitzari antzekoa sortzen du urruneko makinan. 2.- Urruneko makinaren saiotik xterm komandoa exekutatzen da. 3.- xtermurruneko makinan exekutatzen ari den X zerbitzari antzekoarekin komunikatzen da (komunikazio ez zifratua, baina ez du saretik bidaiatzen). 4.- Urruneko makinaren X zerbitzari antzekoa SSH bezeroarekin bide zifratuaren bitartez komunikatzen da. 5.- xterm datuak X zerbitzari errealari transmititzen dizkio SSH bezeroak (komunikazio ez zifratua, baina gure makinarekiko lokala da).
Makina lokala Bide zifratua Zifratu gabeko bidea Urruneko makina Zifratu gabeko bidea

X saioa SSH erabilita xterm terminala urruneko makinan SSH erabilita abiarazteko agindua honako hau da: $ ssh -n erabiltzailea@urruneko_makina xterm ssh komandoaren -X aukerak birbidalketa aktibatzen du, horrela, ez da bezeroan ForwardX11 direktiban yes jarri behar, -x aukerak birbidalketa desaktibatzen du. $ ssh -X erabiltzailea@urruneko_makina X11 birbidaltzea erabiltzeko, derrigorrez honako bi baldintza hauek bete behar dira:

SSH zerbitzarian X11 birbidaltzea aktibatzea. SSH zerbitzariaren

/etc/ssh/sshd_config konfigurazio fitxategian X11Fordwarding direktiba aktibatuta egon behar du. Berez, aktibatuta dator.

SAREKO ZERBITZUAK. 4. UD

22/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

SSH bezeroan X11 birbidaltzea aktibatzea. SSH bezeroaren

/etc/ssh/ssh_config konfigurazio fitxategian FordwardX11 direktiba aktibatuta egon behar du.

Baldintza horretan exekutatzen den aplikazioak urruneko makinaren (SSH zerbitzaria) CPUa erabiliko du; makina lokalak (SSH bezeroa), ordea, pantaila soilik erabiltzen du.

SAREKO ZERBITZUAK. 4. UD

23/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

4.7.- SSH Webmin erabilita SSH zerbitzua Webmin erabilita kudea daiteke. Horretarako lehendabizi, SSH zerbitzaria instalatu behar da. Gure kasuanopenssh-server instala daiteke synaptic erabilita.

SSH zerbitzaria instalatu ondoren, Webmin abiaraz dezakegu https://localhost:10000 web-helbidea erabilita.

SAREKO ZERBITZUAK. 4. UD

24/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

SSH zerbitzaria kudeatzeko leihoa abiarazteko: Servidores > Servidor SSH

SAREKO ZERBITZUAK. 4. UD

25/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Bertatik SSH konfigurazio fitxategiak edita daitezke Edit Config Files erabilita

SAREKO ZERBITZUAK. 4. UD

26/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Autentificacion erabilita erabiltzailea autentifikatze-mekanismoa konfigura daiteke

En Red aukeratuta sareko hainbat ezaugarri konfigura daitezke, hala nola, artatzen diren IP helbideak edo ekipoak finka daitezke, erabiliko den portua, TCP paketeen birbidaltzea aktibatzen den ala ez, konexioan atzerapen denbora, e.a. Azken baten sshd_config fitxategiaren edukia aldatzen da hortik.

SAREKO ZERBITZUAK. 4. UD

27/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Erabiltzaileak SSH zerbitzarira konektatzea baimentzeko edo ukatzeko Control de acceso erabil daiteke:

SAREKO ZERBITZUAK. 4. UD

28/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Bertatik erabiltzaile lokalak aukera daitezke ... erabilita

Opciones varias erabilita, beste gauzen artean, X11 birbidaltzea aktiba daiteke.

SAREKO ZERBITZUAK. 4. UD

29/30

Joseba Mirena Bilbao Requena

4. UD

SSH ZERBITZUA

Webmin-ek SSH konexioak zabaltzeko (SSH bezeroa) aukera ematen du. Webmin abiarazteko Firefox erabiltzen bada Java-Console osogarria (JRE) instalatu behar da SSH bezero gisa aritzeko. SSH bezeroa Webmin-en zabaltzeko: Otros > Conexin SSH

SSH bezero gisa PuTTy (Windows) eta FreeNX erabil daitezke. Azken horiek praktiketan aztertuko ditugu.

SAREKO ZERBITZUAK. 4. UD

30/30

Joseba Mirena Bilbao Requena