Tartalomjegyzék Ajánlás v Tartalomjegyzék vii Köszönetnyilvánítás xiii A szerzõrõl xv Bevezetés xvii I. rész Az SSH alapjai 1. fejezet Az SSH áttekintése 3 Az SSH1 és az SSH2 különbségei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Az SSH használatának különbözõ módjai . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Biztonság . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Távoli parancssor-végrehajtás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Távoli fájlátvitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Távoli hálózati hozzáférés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Biztonságos felügyelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Közvetítõ szolgáltatások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Az SSH ügyfél–kiszolgáló felépítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Az SSH titkosító rendszerének felépítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Az SSH alapvetõ biztonsági hézagai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Az SSH ügyfelek és kiszolgálók fajtái . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Az SSH alapszintû telepítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Az SSH kereskedelmi változata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 VShell SSH Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Az SSH optimális használati módjai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
viii
SSH a gyakorlatban
2. fejezet SSH kiszolgálók 33 Az OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Az SSH Communications SSH kiszolgálója . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Az SSH Communications SSH kiszolgálója (Unix) . . . . . . . . . . . . . . . . . . . 41 Az SSH Communications SSH kiszolgálója (Windows) . . . . . . . . . . . . . . . 53 A VanDyke Software VShell SSH kiszolgálója . . . . . . . . . . . . . . . . . . . . . . . . . 69 Általános beállítások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Hitelesítési beállítások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 SFTP-beállítások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Kioldók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Naplózási beállítások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Az OpenSSH, az SSH Communications SSH és a VShell kiszolgáló összehasonlítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 3. fejezet SSH ügyfélprogramok 85 Parancssoros SSH ügyfélprogramok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Telepítés Windowsra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Telepítés Unixra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Az SSH ügyfélprogram beállítófájlja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Grafikus felületû SSH ügyfélprogramok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Telepítés Windows rendszeren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Az SSH Communications ügyfélprogramja . . . . . . . . . . . . . . . . . . . . . . . . 96 A VanDyke Software SecureCRT programja . . . . . . . . . . . . . . . . . . . . . . 103 A PuTTY ügyfélprogram . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 A WinSCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 A MindTerm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 A MacSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 4. fejezet Hitelesítés az SSH-val 117 Általános beállítások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 SSH Communications SSH kiszolgáló (Windows) . . . . . . . . . . . . . . . . . . 118 SSH Communications SSH kiszolgáló (Unix) . . . . . . . . . . . . . . . . . . . . . . 120 VShell SSH kiszolgáló . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 OpenSSH (Unix és Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Jelszavak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Gép alapú hitelesítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Kiszolgálóhitelesítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Nyilvános kulcsok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Kulcsok létrehozása az OpenSSH-val . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
SSH a gyakorlatban
Kulcsok létrehozása az SSH Communications SSH-val (Windows grafikus felület) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Kulcsok létrehozása a VanDyke SecureCRT-vel . . . . . . . . . . . . . . . . . . . 147 SSH ügynökök . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 5. fejezet Felügyelet az SSH-val 155 Hálózati eszközök . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Cisco útválasztók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Cisco kapcsolók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Cisco VPN Concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Cisco PIX tûzfalak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Network Appliance adattárolók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Biztonságos felügyelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Felügyeleti kiszolgálók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Kéttényezõs hitelesítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 SOCKS felügyelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 SSH: felhasználói korlátozások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 SSH: hálózati hozzáférés-szabályozás . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 II. rész Távoli elérési megoldások 6. fejezet SSH kapuátirányítás 187 A kapuátirányítás hálózati alapjai az ügyfél oldalon . . . . . . . . . . . . . . . . . . . 193 A kapuátirányítás hálózati alapjai a kiszolgáló oldalon . . . . . . . . . . . . . . . . . 199 SSH kapuátirányítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Helyi kapuátirányítás az SSH ügyfeleken . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Parancssori ügyfelek beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Az SSH Communications grafikus SSH ügyfelének beállítása . . . . . . . . . 207 A VanDyke Software SecureCRT programjának beállítása . . . . . . . . . . . . 208 A PuTTY beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Távoli kapuátirányítás az SSH ügyfeleken . . . . . . . . . . . . . . . . . . . . . . . . . . 213 Az OpenSSH ügyfél beállítása (Unix és Windows) . . . . . . . . . . . . . . . . . 213 Az SSH Communications parancssori ügyfelének beállítása (Unix és Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Az SSH Communications grafikus SSH ügyfelének beállítása (Windows) 214 A VanDyke Software SecureCRT programjának beállítása . . . . . . . . . . . . 215 Kapuátirányítás az SSH kiszolgálókon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Az OpenSSH kiszolgáló beállítása (Unix és Windows) . . . . . . . . . . . . . . 217 Az SSH Communications SSH kiszolgálójának beállítása (Unix) . . . . . . . 217 Az SSH Communications SSH kiszolgálójának beállítása (Windows) . . . 220
ix
x
SSH a gyakorlatban
A VanDyke Software VShell SSH kiszolgálójának beállítása . . . . . . . . . . 222 Az SSH kapuátirányítás elõnyei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 7. fejezet Biztonságos távoli elérés 229 Biztonságos elektronikus levelezés SSH-val . . . . . . . . . . . . . . . . . . . . . . . . . 230 Az SSH kiszolgáló beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 Az SSH ügyfél beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 A levelezõprogram beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Biztonságos levelezés a gyakorlatban . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 Biztonságos fájlátvitel (SMB és NFS) SSH-val . . . . . . . . . . . . . . . . . . . . . . . . 239 Az SSH kiszolgáló beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Az SSH ügyfél beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 A fájlkiszolgáló ügyfeleinek beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Biztonságos fájlátvitel a gyakorlatban . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Biztonságos felügyelet az SSH-val . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 Az SSH kiszolgáló beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Az SSH ügyfél beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 A felügyeleti ügyfelek beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 Biztonságos felügyelet a gyakorlatban . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Biztonságos felügyelet a Windows terminálszolgáltatásokkal és az SSH-val . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Biztonságos felügyelet a VNC-vel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Biztonságos virtuális magánhálózat SSH-val (PPP SSH felett) . . . . . . . . . . . . 258 PPP démon a kiszolgálón . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 A VPN-felhasználó és a sudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 III. rész Protokollhelyettesítés 8. fejezet A sokoldalú SSH 267 Terminálelérés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Betörés egy RSH rendszerbe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Betörés egy Rlogin rendszerbe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Betörés egy Rexec rendszerbe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Miért jobb az SSH? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 Fájlátvitel SFTP protokollal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 SFTP az OpenSSH SFTP kiszolgálójával . . . . . . . . . . . . . . . . . . . . . . . . . 274 SFTP a VanDyke Software VShell programjával . . . . . . . . . . . . . . . . . . . 277 SFTP az SSH Communications SSH kiszolgálójával . . . . . . . . . . . . . . . . . 283 A három SFTP megoldás összehasonlítása . . . . . . . . . . . . . . . . . . . . . . . 287
SSH a gyakorlatban
Biztonságos csevegés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Biztonságos másolatkészítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 9. fejezet Köztes kiszolgálók biztonságos webes környezetben 295 Az SSH és a SOCKS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 A dinamikus kapuátirányítás és a SOCKS . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 Biztonságos böngészés az SSH-val . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 SSH HTTP-közvetítõn keresztül . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Biztonságos vezeték nélküli kapcsolatok az SSH-val . . . . . . . . . . . . . . . . . . 316 Vezeték nélküli hálózatok biztosítása az SSH-val és köztes HTTP kiszolgálókkal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Vezeték nélküli hálózat biztonságossá tétele az SSH-val és dinamikus kapuátirányítással . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 10. fejezet SSH esettanulmányok 321 Elsõ esettanulmány: biztonságos távoli elérés . . . . . . . . . . . . . . . . . . . . . . . 322 A probléma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Üzleti követelmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Beállítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Az eredmények ellenõrzése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 Második esettanulmány: biztonságos vezeték nélküli kapcsolat . . . . . . . . . . 335 A probléma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Üzleti követelmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Beállítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Az eredmények ellenõrzése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Harmadik esettanulmány: biztonságos fájlkiszolgálók . . . . . . . . . . . . . . . . . 343 A probléma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Üzleti követelmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Beállítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Az eredmények ellenõrzése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Összegzés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Zárszó 349 Tárgymutató 351
xi