Uwierzytelnienie SSH

artificial-intelligence-503588__180Zadanie pierwszego wiersza jest raczej oczywiste, decyduje on o korzystaniu z uwierzytelniania wybraną przed chwilą metodą. Druga linia opisuje natomiast położenie naszych kluczy. Osoby niecierpliwe już teraz mogą uruchomić drugi emulator terminala i wygenerować klucze poleceniem  $ ssh-keygen -t dsa  Po wydaniu tego polecenia powinniśmy zostać poproszeni o hasło, po czym zostaniemy obrzuceni kilkoma komunikatami, a na końcu w katalogu ~/.ssh/ zostaną utworzone pliki id_dsa i id_dsa.pub. Zasada ich działania jest prosta. Pierwszy klucz jest naszym prywatnym kluczem, którego powinniśmy strzec jak oka w głowie. Drugi zaś kopiujemy do katalogu ~/.ssh/authorized_keys (tak, zgadza się, tutaj nie ma ukośnika na końcu, ponieważ jest to plik, a nie folder) na naszym zdalnym serwerze, a potem możemy już o nim zapomnieć.  Wróćmy jednak raz jeszcze do pliku konfiguracyjnego (/etc/ssh/sshd_config). Jak pamiętamy wyłączyliśmy możliwość bezpośredniego połączenia się z serwerem przez SSH dla konta roota. Aby dostać uprawnienia super użytkownika należy teraz logując się na zwykłe konto użyć polecenia „su -”. Po wpisaniu hasła możemy zwyczajnie pracować na maszynie jako administrator. Przejdźmy teraz do pliku /etc/group. Starym, znanym dobrze sposobem dopisujemy w nim wiersz “wheel:x:10:root,kazio,stasio,maniek”, gdzie kazio, stasio i maniek to nazwy użytkowników, którym chcemy przydzielić uprawnienia do korzystania z polecenia su. Po zapisaniu pliku wydajemy polecenia  # chgrp wheel /bin/su # chmod o-rwx /bin/su  Od tej chwili tylko i wyłącznie root, oraz podani wcześniej użytkownicy mają prawo dostępu do polecenia su. Sens tej metody jest jasny. Każdy kto zechce skorzystać z konta administratora systemu, będzie musiał najpierw zalogować się na jedno z kont podanych w pliku /etc/group. Czyli tak na prawdę uzyskanie uprawnień roota wymaga podania dwóch haseł, przy czym musimy jeszcze wiedzieć, który z użytkowników ma w ogóle prawo do korzystania z przełączenia użytkownika. Jest to kolejna kłoda rzucona pod nogi potencjalnemu włamywaczowi. Wykończeniem konfiguracji tego konkretnego zabezpieczenia jest dodanie do konfiguracji SSH linii AllowGroups wheel. Określa ona, którzy użytkownicy mają w ogóle prawo do zdalnego logowania z użyciem bezpiecznej powłoki. Jeżeli jednak nie mamy ochoty nadawać uprawnień dla całej grupy, możemy użyć opcji AllowUsers stasio rysio, która nada przywileje tylko wybranym. Analogicznie możemy odciąć dostęp dla danych użytkowników korzystając z parametru DenyUsers.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *