Johannes Franken

Transkript

1 Johannes Franken 1. Grundlagen 2. SSH-Tunnels legen 3. Firewalls durchbohren Script: (,2,3)

2 Teil 1: Grundlagen Bezugsquellen Alternativen

3 ssh-protokolle

4 Konfiguration Client-Konfiguration Kommandozeilenparameter ~/.ssh/config /etc/ssh/ssh_config ssh(1), ssh_config(5)

5 Server-Konfiguration Kommandozeilenparameter /etc/ssh/sshd_config sshd(8), sshd_config(5)

6 Login Sessions Durch Eingabe von ssh hostname ssh -l username hostname ssh ssh -o User=username hostname ssh hostname und User hostname in der config-datei.

7 Escape-Kommandos Während der ssh-sitzung <Enter><Tilde> und. Beendet die Sitzung inkl. aller Tunnels. & beendet die Sitzung. Die Tunnels bleiben bestehen. C <Strg-Z> Zeigt einen Prompt (ssh>), an dem man mit den Befehlen -L und -R nachträglich Portforwarding einrichten kann (Details: siehe Teil 2). Suspended die ssh. Man landet in der Shell, aus der man ssh aufgerufen hatte. Mit fg geht s weiter. # zeigt alle Verbindungen an, die gerade über die aktuelle ssh tunneln.? Hilfemenü. Zeigt auch die hier nicht genannten, eher unwichtigen Befehle an.

8 Interaktive Programme automatisch starten $ ssh tp -t vim /etc/hosts

9 Verschlüsselung Ciphers: Auswahl: 3des blowfish ssh -c blowfish... ssh -o Cipher=blowfish... Eintrag Cipher blowfish für einige oder alle Hosts in der ~/.ssh/config oder /etc/ssh/ssh_config. Transparente Verschlüsselung

10 Komprimierung spart 50% der Netzwerk-Pakete ssh -C... ssh -o Compression yes... Compression yes in ~/.ssh/config oder /etc/ssh/ssh_config einbauen. Auf dem Server in /etc/ssh/sshd_config die Zeile Compression yes. Transparente Beschleunigung

11 Public key authentication Algorithmen RSA RSA1 DSA

12 ssh-keygen Erstellung: ssh-keygen -t Verfahren -f Dateiname Algorithmus RSA für SSH ab Version 2 RSA für SSH Version 1 Parameter für ssh-keygen Dateinamen -t rsa ~/.ssh/id_rsa[.pub] ssh-rsa Publickey beginnt mit -t rsa1 ~/.ssh/identity[.pub] o.ä, (bits exponent) DSA -t dsa ~/.ssh/id_dsa[.pub] ssh-dss Fingerprints: ssh-keygen -l -f Dateiname Passwortänderung: ssh-keygen -p -f Dateiname Publickey: ssh-keygen -y -f Dateiname

13 known_hosts ssh -o StrictHostkeyChecking yes ~/.ssh/config für die betreffenden Hosts StrictHostkeyChecking yes Format der known_hosts: 1. Liste von Hostnamen oder IP-Adressen eines Servers, durch Komma getrennt. Wildcards *? und Negation! sind erlaubt 2. Ein Leerzeichen 3. Der Publickey dieses Servers (ohne Kommentar) 4. optional: ein Leerzeichen, gefolgt von einem Kommentar /etc/ssh/ssh_host_dsa_key[.pub] (im DSA-Format) /etc/ssh/ssh_host_rsa_key[.pub] (im RSA-Format für SSH Version ab Version 2) /etc/ssh/ssh_host_key[.pub] (im RSA-Format für SSH Version 1) sshd(8)

14 ssh-keyscan ssh-keyscan(1)

15 authorized_keys ~/.ssh/authorized_keys Zeilenformat: 1. Optional eine Liste von Optionen, durch Komma getrennt, gefolgt von einem Leerzeichen. Beispiele: a. environment="sshkey=jfranken" b. command="./menu.pl" c. from="*.jfranken.de,egal.our-isp.org" d. no-port-forwarding e. no-x11-forwarding f. permitopen="host:port" g. no-agent-forwarding h. no-pty 2. Der Public-Key (siehe *.pub-datei) ohne Kommentar 3. optional: Ein Leerzeichen und ein Kommentar auf dem Server in der /etc/ssh/sshd_config die Option PasswordAuthentication No ssh-copy-id ssh-copy-id -i ~/.ssh/id_rsa.pub ssh-copy-id(1)

16 Login ohne Passwortabfrage Leere Passphrase ssh-agent, ssh-add Übersicht ssh-add -l, Publickeys ssh-add -L. Details: siehe: ssh-agent(1), ssh-add(1)

17 Teil 2: SSH-Tunnels

18 X11 Forwarding ohne X11-Tunnel: $ xhost gate gate being added to access control list $ ssh gate $ export DISPLAY=hamster:0 $ netscape & [1] $

19 mit X11-Tunnel: $ export DISPLAY=:0 $ ssh -X gate $ echo $DISPLAY localhost:10.0 $ netscape & [1] $ Hierzu muß auf gate die libx.so und xauth installiert sein und X11Forwarding yes in /etc/ssh/sshd_config stehen.

20 Pipes imap rsync scp sftp uucp cvs... $ ssh gate df awk /\/$/ {print $5} 64% $ $ tar cf - mydir/ ssh gate cd /tmp && tar xpvf -

21 Local port forwarding auf hamster ssh -g -L 4321: gate aufrufen Im Browser

22 Remote port forwarding auf hamster ssh -R 9030:intranet:80 gate aufrufen Im Browser Zugriff für andereren Rechner erlauben: In /etc/ssh/sshd_config auf gate die Zeile GatewayPorts yes eintragen - oder Port umleiten.

23 Tunnels ineinander stecken Mit dem -p Parameter weise ich den ssh-client an, den sshd auf einem anderen Zielport als 22 anzusprechen.

24 ppp over ssh Server: ~pppuser/.ssh/authorized_keys: no-port-forwarding,no-x11-forwarding,no-agent-forwarding,\ command="/usr/sbin/pppd remotename pppuser\ : notty debug"\ ssh-rsa AAAAB3NzaC1... Client: Provider anlegen: $ cat >/etc/ppp/peers/ssh <<FERTIG pty ssh -e none pppuser@gate false user pppuser nodetach noauth # debug FERTIG /usr/sbin/pppd call ssh pppd(8)

25 Teil 3: Firewalls durchbohren

26 Motivation

27 Offene Ports nutzen nmap -sa -p Starting nmap V. 2.54BETA22 ( ) Interesting ports on ( ): (The 21 ports scanned but not shown below are in state: filtered) Port State Service 25/tcp UNfiltered smtp 80/tcp UNfiltered http 443/tcp UNfiltered https Nmap run completed -- 1 IP address (1 host up) scanned in 5138 seconds Sobald auch nur ein Port unfiltered ist (hier z.b. 80), kann ich auf meinem Server für diesen Port einen sshd starten:

28 oder umleiten (ssh,xinetd,firewall) Client: ssh -p oder ~/.ssh/config: Host Port 80 User jfranken

29 Vorhandene Proxyserver nutzen ssh over http httptunnel Details: siehe

30 ssh over https ssh-https-tunnel: (HTTP_PROXY) transconnect: $ LD_PRELOAD=~/.tconn/tconn.so netcat hamster daytime Sat Sep 14 11:25: proxytunnel:

31 Empfehlungen/Fragen/Diskussion