enos.itcollege.ee sisselogimise harjutus

Ülesanne

Logida SSHga sisse masinasse enos.itcollege.ee, mis on tudengitele kasutatav server ja seal töötab ka OpenSSH server ning võimalus turvaliselt sisse logida ülikooli kasutajaga. Tegevuste teostamiseks kasutame GNU/Linuxi keskkonda.

Eemaldada vana võti usaldusväärsete serverite nimekirjast failis ~/.ssh/known_hosts kui see oli sinna varasemalt lisatud. See on kasutajaspetsiifiline seadistus, st iga kasutaja puhul on see fail erinev. Kontrollida enos.itcollege.ee serveri ECDSA avalikku võtit ja sobivuse korral logida sisse.

Usaldusväärne allikas enos.itcollege.ee OpenSSH serverivõtmete osas:

http://enos.itcollege.ee/ssh-fingerprints.txt

Sammud

kontrollime kas enos.itcollege.ee on usaldusväärsete serverite nimekirjas ~/.ssh/known_hosts
- ssh-keygen -F enos.itcollege.ee #avalik võti ise
- ssh-keygen -lF enos.itcollege.ee #SHA256 sõrmejälg
- ssh-keygen -lF enos.itcollege.ee -E md5 #MD5 sõrmejälg
- failis ~/.ssh/known_hosts on krüpteeritud kujul teave masina kohta ja tema avalik võti, mille sõrmejäljega nõustuti esmakordsel SSH’ga ühendumisel
eemaldada enos.itcollege.ee avalik võti usaldusväärsete serverite nimekirjast ~/.ssh/known_hosts juhul kui see seal on, et saaksime selle usaldamist kontrollida:
- ssh-keygen -R enos.itcollege.ee
kontrollida enos.itcollege.ee serveri SSH võtmeid ja nende usaldusväärsust. Üldjuhul esmakordsel ühendumisel Linuxist pakutakse ECDSA ja kui MS Windowsist siis RSA võtme sõrmejälg (avaliku võtme lühem kuju, kasutades räsifunktsiooni). Praktikas kui paigaldatakse ise server siis tuleks kohe ka serverivõtmete sõrmejäljed genereerida ja kirja panna enda jaoks (selleks on skriptid OpenSSH 6.7 ja vanema - ning OpenSSH 6.8 ja uuema jaoks - seda skripti siis käivitada oma serveris ja väljund suunata > abil faili ning siis see fail teha enda jaoks alati kättesaadavaks). Praegu enos.itcollege.ee serveri puhul on selleks on kaks võimalust - vaadata http://enos.itcollege.ee/ avalehel serveriadministraatori poolt sinna pandud sõrmejälgede faili või pärida üle võrgu serverist (ei pruugi piisavalt usaldusväärne olla kuna andmesidesessioon võidakse kaaperdada - sisuliselt sama kui esimesel ühendumisel pimesi olla nõus pakutava sõrmejäljega ilma seda kontrollimata). Valida kas 1. või 2. variant allpool pakutust kuna kasutatakse samu ajutisi faile muutujate jaoks.
- võtmete võrdlemine:
  - ühendumisel pakutav avaliku võtme sõrmejälg: esmakordsel ühendumisel serverisse pakutakse sõrmejälge, millega nõusolekut küsitakse(NB! asendada “student” tegeliku kasutajaga):
```
ssh [email protected]

The authenticity of host 'enos.itcollege.ee (193.40.231.204)' can't be established.

ECDSA key fingerprint is SHA256:**OLl89EFRSLMfPyhF5oWXmJEO1cAaY/3T3PN3tnE0hX0**.

Are you sure you want to continue connecting (yes/no)?
```
    NB! Paneme tähele, et viimane punkt ei ole sõrmejälje osa!
siin võime alguses vastata “no” (seetõttu tuleb ka teade: “Host key verification failed.”) kuid meile jääb terminali näha pakutud SHA256 algoritmiga sõrmejälg, mida saame mõne hetke pärast võrrelda usaldusväärsest allikast pärit sõrmejäljega. Täpselt sama tulemus on kui enne esmakordset ühendumist pärime serverilt pakutud ECDSA võtme sõrmejälge
- loome ühendumise skriptis vastava muutuja (soovitav)
```
serverhash=$(ssh-keyscan -t ecdsa enos.itcollege.ee | ssh-keygen -lf - | cut -d':' -f2 | rev | cut -d' ' -f3 | rev)
```
usaldusväärsed sõrmejäljed süsteemiadministraatorilt: küsime ECDSA avaliku võtme usaldusväärsest allikast: serveri avalehelt kuhu süsteemiadministraator on selle pannud
loome skriptis vastava muutuja (soovitav)
- trustedhash=$(wget -O- -q http://enos.itcollege.ee/ssh-fingerprints.txt | grep ECDSA | grep SHA-256 | cut -d' ' -f9)
lisateave: üldjuhul ühendudes GNU/Linuxist pakutakse ECDSA võtit, MS Windowsist tulles RSA võtit. Siiski kui pakutakse midagi muud siis tuleb ka vastavalt selle võtme sõrmejälge edaspidi võrdlemisel kasutada.
võrdleme muutujaid
- if [ $serverhash = $trustedhash ]; then clear; printf "\nSõrmejälgi SAAB usaldada. VÕIB sisse logida. \n\nUsaldusväärne sõrmejälg on $(echo $trustedhash)\n\n"; else clear; printf "\nSõrmejälgi EI SAA usaldada. \nEI SOOVITA sisse logida\n\n"; fi
  - siin puhastatakse terminal eelnevast tekstist clear käsu abil, et tuua paremini jälgitavalt esile selle võrdlemise tulemust.
  - eraldaja semikooloni puhul ei kontrollita eelneva käsu edukat lõppemist (seda tehakse && puhul)
kui muutujate väärtused on samad siis on alust arvata, et tegemist on õige serveriga ja võime alustada sisselogimist. NB! Kui ei veendu serveri ehtsuses siis seda võidakse kurjasti kasutada (MITM). See on kõige kriitilisem moment kui nüüd reaalselt toimub serveri esmakordne usaldamine ja tema avaliku võtme kirjutamine usaldusväärsete serverite nimekirja failis ~/.ssh/known_hosts Edaspidi toimub usaldusväärsuse kontrollimine igal ühendumisel juba ~/.ssh/known_hosts failis oleva kirje abil. Kuna selline silmaga võrdlemine on tülikas siis on mõistlik kasutada sisselogimiseks skripti, mis teeb selle võrdlemise meie eest.
sõrmejälgede sobivuse korral lisada esmakordsel ühendumisel SSH kaudu pakutav avalik võti usaldusväärsete serverite nimekirja (~/.ssh/known_hosts) - selleks logida tavapäraselt serverisse SSH kaudu ja olla nõus pakutud sõrmejäljega:
- ssh [email protected](NB! asendada “student” tegeliku kasutajaga)

Väljade selgitus

Siin näites võetakse enos.itcollege.ee avalik võti otse ~/.ssh/known_hosts failist kus on kirjas usaldusväärsed serverid:

ssh-keygen -F enos.itcollege.ee | ssh-keygen -lf - | cut -d':' -f2 | rev | cut -d'|' -f4 | rev