Ero sivun ”SSH” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
 
(8 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 1: Rivi 1:
 +
'''SSH''' (''Secure SHell''), tarkemmin Openssh pääte-emulaattoria käytetään yleensä [[GnuPG]] avaimilla, mutta se tukee myös turvallisten äly-/henkilökorttien käyttöä PGP-avainparien sijasta. Ohjelmisto koostuu useasta komponentista: '''sshd''' palvelimesta etäpäässä, ja '''ssh''' asiakkaasta, asiakaspään käyttöä helpottavista '''ssh-agent''' taustaprosessista joka muistaa salasanat ja tunnusluvut, sekä sen hallintatyökalusta '''ssh-add'''.
  
 +
'''ssh-agent''' ei käytä asetustiedostoa, vain sen käynnistysaikaisella -P vivulla voi rajata mitä pkcs11-kirjastoja '''ssh-add''' saa käyttää '''-s''' vivullaan. Tästä syystä myöskään graafiset *sshaskpass* ohjelmat eivät toimi älykortilla koska ne eivät ilmeisesti ymmärrä mitään älykorttien olemassaolosta ja antavat pin-koodin standardi ulostulostaan, ei muuta.
  
  
 
== ssh-add ==
 
== ssh-add ==
 +
Alkutilanne: Ollaan kirjauduttu paikalliseen koneeseen ja ssh-agent on taustalla ajossa.
 +
 +
Lisätään varmennekortin varmenteet tunnistusagentin käytettäväksi käyttäen pkcs11-pluginia.
 
<pre>
 
<pre>
% ssh-add -s /usr/lib64/onepin-opensc-pkcs11.so
+
% ssh-add -s /usr/lib64/opensc-pkcs11.so
 
Enter passphrase for PKCS#11:  
 
Enter passphrase for PKCS#11:  
Card added: /usr/lib64/onepin-opensc-pkcs11.so
+
Card added: /usr/lib64/opensc-pkcs11.so
 
%  
 
%  
 +
</pre>
 +
 +
Listataan tunnistusagentin näkemien varmenteiden sormenjäljet:
 +
<pre>
 
% ssh-add -l
 
% ssh-add -l
 
2048 SHA256:JFldTBUHPKJ5lSSgq1CgKpyjO0OXu7LfX8IW0gYOoM8 /home/tuju/.ssh/id_rsa (RSA)
 
2048 SHA256:JFldTBUHPKJ5lSSgq1CgKpyjO0OXu7LfX8IW0gYOoM8 /home/tuju/.ssh/id_rsa (RSA)
Rivi 16: Rivi 25:
 
</pre>
 
</pre>
  
 +
 +
Listataan kaikkien varmenteiden julkiset avaimet, haluttu todentamisavain suodattaen:
 +
<pre>
 +
% ssh-add -L |grep todentamis
 +
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzjrKaokhLj376NMNYCqGqm85OwY9+4zp+Q1LiqKjXLavp9uQucx3/61I/IRHevzWYOY5Q7T43nK0AlhBbvdnIyZuEMPfCBTwknQvgd02VoOuUOTX5J6C9+SlOIb8nUgqvUVyjMHcveZvPdEQCsl/6A2o+OXvafWG1C7ImY/k/0ZCdASi/L0LkWzRDkTIxHHqWWgvJnnkGucFJEBrUU1IoVNoPSUtJJ2xeSH/HKPn+bEM5x78e0zsk4JmzWh1/s9W9nr105bPxq+xRkVGJr4H5Qi1IFlN9flnE3ae1xWHwOvu6hJu78YDdI2c7jClqAC7mRYjS7jaxPx9hzsV7BEUJ todentamis- ja salausvarmenne
 +
</pre>
 +
 +
Julkinen avain käyttäjän kotihakemistossa etäpalvelimella:
 +
<pre>
 +
$ cat .ssh/authorized_keys
 +
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzjrKaokhLj376NMNYCqGqm85OwY9+4zp+Q1LiqKjXLavp9uQucx3/61I/IRHevzWYOY5Q7T43nK0AlhBbvdnIyZuEMPfCBTwknQvgd02VoOuUOTX5J6C9+SlOIb8nUgqvUVyjMHcveZvPdEQCsl/6A2o+OXvafWG1C7ImY/k/0ZCdASi/L0LkWzRDkTIxHHqWWgvJnnkGucFJEBrUU1IoVNoPSUtJJ2xeSH/HKPn+bEM5x78e0zsk4JmzWh1/s9W9nr105bPxq+xRkVGJr4H5Qi1IFlN9flnE3ae1xWHwOvu6hJu78YDdI2c7jClqAC7mRYjS7jaxPx9hzsV7BEUJ todentamis- ja salausvarmenne
 +
</pre>
 +
 +
Tämän jälkeen kortin varmenteet ovat käytettävissä:
 +
% ssh tuju@digivirasto.fi
 +
Last login: Sat Mar 27 11:35:02 2021 from 172.16.16.16
 +
digivirasto.fi %
 +
 +
== Vianmääritys ==
 +
 +
Virheet saa tulostettua lisäämällä ''verbosity'' tasoa komentoon -v vivuilla.
 +
 +
ssh -vvvv tuju@digivirasto.fi
 +
 +
joka tulostaa paljon tekstiä. Jos yhteydessä on jokin ongelma, se näkyy tulostuksessa.
 +
 +
=== Type 51 ===
 +
 +
Vika on todennäköisesti tiedostojen (authorized_keys) tai hakemiston ($HOME/.ssh) oikeuksissa. Niitä pitää kiristää (640, 700).
  
 
== Aiheesta muualla ==
 
== Aiheesta muualla ==
 +
* [http://openssh.com/ openssh.com]
 
* http://www.freeipa.org/page/V4/User_Certificates
 
* http://www.freeipa.org/page/V4/User_Certificates
  
 
[[Luokka:Ohjelmat]]
 
[[Luokka:Ohjelmat]]

Nykyinen versio 5. huhtikuuta 2021 kello 09.13

SSH (Secure SHell), tarkemmin Openssh pääte-emulaattoria käytetään yleensä GnuPG avaimilla, mutta se tukee myös turvallisten äly-/henkilökorttien käyttöä PGP-avainparien sijasta. Ohjelmisto koostuu useasta komponentista: sshd palvelimesta etäpäässä, ja ssh asiakkaasta, asiakaspään käyttöä helpottavista ssh-agent taustaprosessista joka muistaa salasanat ja tunnusluvut, sekä sen hallintatyökalusta ssh-add.

ssh-agent ei käytä asetustiedostoa, vain sen käynnistysaikaisella -P vivulla voi rajata mitä pkcs11-kirjastoja ssh-add saa käyttää -s vivullaan. Tästä syystä myöskään graafiset *sshaskpass* ohjelmat eivät toimi älykortilla koska ne eivät ilmeisesti ymmärrä mitään älykorttien olemassaolosta ja antavat pin-koodin standardi ulostulostaan, ei muuta.


ssh-add

Alkutilanne: Ollaan kirjauduttu paikalliseen koneeseen ja ssh-agent on taustalla ajossa.

Lisätään varmennekortin varmenteet tunnistusagentin käytettäväksi käyttäen pkcs11-pluginia.

% ssh-add -s /usr/lib64/opensc-pkcs11.so
Enter passphrase for PKCS#11: 
Card added: /usr/lib64/opensc-pkcs11.so
% 

Listataan tunnistusagentin näkemien varmenteiden sormenjäljet:

% ssh-add -l
2048 SHA256:JFldTBUHPKJ5lSSgq1CgKpyjO0OXu7LfX8IW0gYOoM8 /home/tuju/.ssh/id_rsa (RSA)
2048 SHA256:WFeN5DnER/SnsQamA2wss3JmozL+gTIshLCZqJWslzA todentamis- ja salausvarmenne (RSA)
4096 SHA256:wUiMf16RKxOYvJK1ZuUs0ZdOpS4uIRMWy75cEhhH5Gc VRK Gov. CA for Citizen Qualified Certificates - G2 (RSA)
2048 SHA256:TiEK1y4+KwXD6KE9/nTlvHIt84Qs04xNunIZ7djj5qA VRK Gov. Root CA (RSA)
%


Listataan kaikkien varmenteiden julkiset avaimet, haluttu todentamisavain suodattaen:

% ssh-add -L |grep todentamis
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzjrKaokhLj376NMNYCqGqm85OwY9+4zp+Q1LiqKjXLavp9uQucx3/61I/IRHevzWYOY5Q7T43nK0AlhBbvdnIyZuEMPfCBTwknQvgd02VoOuUOTX5J6C9+SlOIb8nUgqvUVyjMHcveZvPdEQCsl/6A2o+OXvafWG1C7ImY/k/0ZCdASi/L0LkWzRDkTIxHHqWWgvJnnkGucFJEBrUU1IoVNoPSUtJJ2xeSH/HKPn+bEM5x78e0zsk4JmzWh1/s9W9nr105bPxq+xRkVGJr4H5Qi1IFlN9flnE3ae1xWHwOvu6hJu78YDdI2c7jClqAC7mRYjS7jaxPx9hzsV7BEUJ todentamis- ja salausvarmenne

Julkinen avain käyttäjän kotihakemistossa etäpalvelimella:

$ cat .ssh/authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzjrKaokhLj376NMNYCqGqm85OwY9+4zp+Q1LiqKjXLavp9uQucx3/61I/IRHevzWYOY5Q7T43nK0AlhBbvdnIyZuEMPfCBTwknQvgd02VoOuUOTX5J6C9+SlOIb8nUgqvUVyjMHcveZvPdEQCsl/6A2o+OXvafWG1C7ImY/k/0ZCdASi/L0LkWzRDkTIxHHqWWgvJnnkGucFJEBrUU1IoVNoPSUtJJ2xeSH/HKPn+bEM5x78e0zsk4JmzWh1/s9W9nr105bPxq+xRkVGJr4H5Qi1IFlN9flnE3ae1xWHwOvu6hJu78YDdI2c7jClqAC7mRYjS7jaxPx9hzsV7BEUJ todentamis- ja salausvarmenne

Tämän jälkeen kortin varmenteet ovat käytettävissä:

% ssh tuju@digivirasto.fi 
Last login: Sat Mar 27 11:35:02 2021 from 172.16.16.16
digivirasto.fi %

Vianmääritys

Virheet saa tulostettua lisäämällä verbosity tasoa komentoon -v vivuilla.

ssh -vvvv tuju@digivirasto.fi 

joka tulostaa paljon tekstiä. Jos yhteydessä on jokin ongelma, se näkyy tulostuksessa.

Type 51

Vika on todennäköisesti tiedostojen (authorized_keys) tai hakemiston ($HOME/.ssh) oikeuksissa. Niitä pitää kiristää (640, 700).

Aiheesta muualla