Lgraczyk: Created page with " {| align="right" | TOC |} ==Zadania== === Zadanie 1 === Wyłączyć logowanie `ssh` dla użytkownika `foo`. ===Zadanie 2=== Zalogować się z ma..."

2020-12-08T12:51:39Z

Created page with " {| align="right" | __TOC__ |} ==Zadania== === Zadanie 1 === Wyłączyć logowanie <code>ssh</code> dla użytkownika <code>foo</code>. ===Zadanie 2=== Zalogować się z ma..."

New page

{| align="right"
| __TOC__
|}

==Zadania==
=== Zadanie 1 ===
Wyłączyć logowanie <code>ssh</code> dla użytkownika <code>foo</code>.

===Zadanie 2===
Zalogować się z maszyny matki na maszynę wirtualną za pomocą '''klucza ssh'''.

===Zadanie 3.A===
Proszę zainstalować firewall '''ufw''', a następnie korzystając z informacji z <code>man ufw</code>:

* Wyłączyć możliwość wykonywania połączeń przychodzących
* Zweryfikować brak możliwości podłączania się z serwerem ssh
* Umożliwić łączenie się na port 22 (port SSH)
* Zweryfikować że ssh działa
* Wyłączyć firewall ufw

===Zadanie 3.B===
* Wykonać zadanie 3.A przy użyciu graficznej wersji '''gufw'''
* Użyć programu '''netstat''' do monitorowania obecnych połączeń. Następnie włączyć nasłuch na porcie 4444 (przy użyciu <code>ncat</code>) i połączyć się przy użyciu programu <code>telnet</code>. Przy użyciu ponownie wywołanego programu <code>netstat</code> należy zaobserwować nowe połączenie.
* Użyć komendy '''last''' by zaobserwować ostatnie logowania.
* Włączyć logowanie w ufw, wykonać nieudaną próbę połączenia, obejrzeć plik z logami.

==Zmiana interfejsu sieciowego==
Włączamy maszynę wirtualną w trybie '''bridged adapter'''. Przypomnienie:

Settings -> Network Adapters -> Attached to: Bridged Adapter, eth0

==Serwer ssh==
Protokół SSH poznaliśmy po krótce już na poprzednich zajęciach. Jest to szyfrowany protokół komunikacyjny w architekturze klient-serwer, działający w niezabezpieczonej sieci, który umożliwia:

* bezpieczną zdalną pracę na komputerze podłączonym do Internetu,
* bezpieczne logowanie za pomocą pary kryptograficznych kluczy,
* tworzenie bezpiecznych tuneli pozwalających np. na omijanie niektórych firewalli.

===Konfiguracja serwera ssh===
Konfiguracja serwera ssh mieści się w katalogu <code>/etc/ssh/sshd_config</code> ('''Uwaga!''' Proszę nie pomylić z <code>ssh_config</code> — bez "d" w środku).

Aby zapoznać się z możliwościami konfiguracyjnymi ssh za pomocą tego pliku, proszę przejrzeć stronę manuala: <code>man sshd_config</code>.

=== Zadanie 1 ===
Proszę wyłączyć możliwość logowania ssh dla użytkownika <code>foo</code>.

Po wykonaniu zmian należy zrestartować serwer wykonując polecenie:

sudo service ssh restart

==Logowanie za pomocą klucza==

===Logowanie na zdalną maszynę===
Logowanie na zdalną maszynę:

ssh username@numer_ip
Przy pierwszym logowaniu pojawi się ostrzeżenie:

The server's host key is not cached in the registry. You
have no guarantee that the server is the computer you
think it is.
The server's rsa2 key fingerprint is:
ssh-rsa 2048 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:
Mówi ono że:

Nie łączyliście się z tym serwerem do tej pory i sygnatura tego serwera nie znajduje się w rejestrze.

System SSH nie ma pewności, że połączyliście się z właściwym serwerem - w pliku <code>~/.ssh/known_hosts</code> zabrakło sygnatury serwera. W takim wypadku komputer zwykle pyta (1) czy na pewno chcemy się połączyć z nieznanym serwerem, oraz (2) czy od razu dodać jego sygnaturę do rejestru. Oczywiście, gdybyśmy ręcznie dodali sygnaturę serwera do tego pliku, ssh nie wyświetliłby tego komentarza nawet za pierwszym połączeniem.

===Działanie logowania za pomocą klucza===
'''Kryptografia klucza publicznego''' (nazywana również '''kryptografią asymetryczną''') to rodzaj kryptografii, w którym używa się zestawów dwu lub więcej powiązanych ze sobą kluczy, umożliwiających wykonywanie różnych czynności kryptograficznych. Jeden z kluczy może być udostępniony publicznie bez utraty bezpieczeństwa danych zabezpieczanych tym kryptosystemem ([https://pl.wikipedia.org/wiki/Kryptografia_klucza_publicznego więcej]).

Klient generuje parę kluczy, zwanych publicznym i prywatnym, klucze te (bez wchodzenia w szczegóły) pozwalają na wykonanie kryptograficznego podpisu wiadomości. Klucz prywatny pozwala na podpisanie wiadomości, a publiczny na weryfikację poprawności podpisu i jej otwarcie. Mając klucz publiczny nie da się ani podpisać wiadomości, ani uzyskać klucza prywatnego.

Procedura logowania za pomocą klucza wygląda następująco:
* Klient i serwer negocjują połączenie 1-do-1, którego nikt nie może podsłuchać.
* Serwer udowadnia klientowi, że jest tym serwerem do którego klient chciał się połączyć (patrz wyżej).
* Klient wysyłą prośbę: chcę zalogować się jako użytkownik <code>xyz</code>.
* Serwer odpowiada: w takim razie podpisz mi ten losowy ciąg znaków.
* Klient swoim kluczem prywatnym podpisuje ów losowy ciąg znaków.
* Serwer znajduje odpowiedni klucz publiczny i sprawdza poprawność podpisu.

Klucze mają następujące przewagi nad hasłami:

* Bezpieczne hasła są bardzo trudne do zapamiętania (długi ciąg losowych znaków). Klucze są zapamiętywane przez komputer, więc mogą zawierać więcej “losowości”.
* Hasło jest wysyłane w tekście jawnym na serwer, w autoryzacji kluczem publicznym w komunikacji nie pojawiają się dane, które pozwalają na autoryzację.
* Hasło trzeba podawać przy każdym kolejnym logowaniu. Istnieją natomiast dość standardowe metody bezpiecznego przechowywania kluczy ssh w pamięci RAM komputera (hasło do klucza podaje się tylko raz przy logowaniu na komputer; my na zajęciach będziemy używali kluczy bez hasła)

===Instalacja swojego klucza na serwerze===
By wygenerować klucz należy wykonać polecenie <code>ssh-keygen</code>, można podać hasło do klucza, ale na dziś sobie to darujemy. Polecenie to wykonujemy na komputerze, z którego chcemy się zalogować.

Polecenie <code>ssh-keygen</code> tworzy dwa pliki:

* <code>~/.ssh/id_rsa.pub</code> — zawiera klucz publiczny
* <code>~/.ssh/id_rsa </code>— zawiera klucz prywatny
Plik <code>$HOME/.ssh/authorized_keys</code> zawiera listę kluczy publicznych, po jednym w każdej linii. Klucz prywatny powiązany z dowolnym z tych kluczy publicznych może posłużyć do logowania się do serwera.



'''Uwaga 2!''' Postępowanie:
* Generujemy na komputerze, z którego się logujemy, klucz prywatny i publiczny.
* Klucz publiczny wysyłamy na komputer, na który chcemy się zalogować (do folderu <code>~/.ssh</code>).
* Na komputerze, na który chcemy sie zalogować kopiujemy zawartość klucza publicznego do pliku <code>~/.ssh/authorized_keys</code>.
* Przed pierwszym logowaniem, w nowszych wersjach Ubuntu, musimy również na maszynie, z której się będziemy logować, wykonać polecenie <code>ssh-add</code> (komenda dodaje dane klucza prywatnego do specjalnego agenta ssh, <code>ssh-agent</code>, który zarządza kluczami prywatnymi na danej maszynie).

===Zadanie 2===
Zalogować się z maszyny wirtualnej na maszynę-matkę za pomocą klucza ssh.

==Instalacja firewalla==
Firewall to oprogramowanie pozwalające na kontrolę pakietów IP przetwarzanych przez maszynę.

W systemach GNU/Linux firewall jest częścią jądra systemu i można go kontrolować za pomocą polecenia <code>iptables</code>. Polecenie to jednak nie jest bardzo przyjazne, więc poznamy bardzo prostą nakładkę na <code>iptables</code>, którą jes program <code>ufw</code>.

===Zadanie 3.A===
Proszę zainstalować program <code>ufw</code>, a następnie korzystając z informacji z <code>man ufw</code>:

* Wyłączyć możliwość wykonywania połączeń przychodzących
* Zweryfikować brak możliwości podłączania się z serwerem ssh
* Umożliwić łączenie się na port 22 (port SSH)
* Zweryfikować że ssh działa
* Wyłączyć firewall.

==Firewall i bezpieczeństwo - ciąg dalszy==
* <code>gufw</code> - graficzna nakładna na ufw
* <code>ufw logging on</code> - zablokowane próby nawiązania połączenia będą zapisywane w katalogu <code>/var/log/</code> w plikach o nazwach zaczynających się od <code>ufw</code>.
* <code>netstat</code> - rozbudowany program wyświetlajacy informacje o połączeniach sieciowych
** Należy wypróbować: <code>netstat -atunp</code>

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
'''Port 53''': DNS
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN -
'''Port 22''': SSH
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
'''Port 631''': IPP (Internet Printing Protocol)
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp6 0 0 :::22 :::* LISTEN -
tcp6 0 0 ::1:631 :::* LISTEN -
udp 0 0 0.0.0.0:5353 0.0.0.0:* -
udp 0 0 0.0.0.0:59398 0.0.0.0:* -
udp 0 0 127.0.1.1:53 0.0.0.0:* -
udp 0 0 0.0.0.0:68 0.0.0.0:* -
udp 0 0 194.29.175.249:123 0.0.0.0:* -
udp 0 0 127.0.0.1:123 0.0.0.0:* -
udp 0 0 0.0.0.0:123 0.0.0.0:* -
udp 0 0 0.0.0.0:631 0.0.0.0:* -
udp6 0 0 :::5353 :::* -
udp6 0 0 :::51224 :::* -
udp6 0 0 fe80::15a4:1221:4cd:123 :::* -
udp6 0 0 ::1:123 :::* -
udp6 0 0 :::123 :::* -

* <code>last</code> - komenda wyświetlająca informacje o ostatnich logowaniach na komputer/serwer

===Zadanie 3.B===
* Wykonać zadanie 3.A przy użyciu <code>gufw</code>
* Użyć <code>netstat</code> do monitorowania obecnych połączeń. Następnie włączyć nasłuch na porcie 4444 (przy użyciu <code>ncat</code>) i połączyć się przy użyciu programu <code>telnet</code>. Przy użyciu ponownie wywołanego programu <code>netstat</code> należy zaobserwować nowe połączenie.
* Użyć komendy <code>last</code> by zaobserwować ostatnie logowania.
* Włączyć logowanie w <code>ufw</code>, wykonać nieudaną próbę połączenia, obejrzeć plik z logami.

SK Zadanie 6 Remote - Revision history

Lgraczyk: Created page with " {| align="right" | __TOC__ |} ==Zadania== === Zadanie 1 === Wyłączyć logowanie ssh dla użytkownika foo. ===Zadanie 2=== Zalogować się z ma..."

Lgraczyk: Created page with " {| align="right" | TOC |} ==Zadania== === Zadanie 1 === Wyłączyć logowanie `ssh` dla użytkownika `foo`. ===Zadanie 2=== Zalogować się z ma..."