• Vastliggende pagina
  • Info
  • Bijlages
Verschillen tussen versies 45 en 50 (omvat 5 versies)
Versie 45 sinds 2015-05-07 20:04:36
Grootte: 13833
Auteur: testcees
Commentaar:
Versie 50 sinds 2015-07-07 21:19:03
Grootte: 13532
Auteur: testcees
Commentaar: manpage
Verwijderingen worden op deze manier gemarkeerd. Toevoegingen worden op deze manier gemarkeerd.
Regel 4: Regel 4:
 . <<GeschiktVoor("Ubuntu, server","8.04 LTS 9.04 9.10 10.04 LTS")>>  . <<GeschiktVoor("Ubuntu, kubuntu, xubuntu, server","12.04 LTS 14.04 LTS")>>
Regel 7: Regel 7:
SSH ([[http://nl.wikipedia.org/wiki/Secure_Shell|Secure SHell]]) is een protocol voor veilige communicatie tussen computersystemen. SSH biedt uitgebreide mogelijkheden zoals een terminalscherm of grafisch programma openen op een andere computer, bestanden versturen en ontvangen of een eigen virtueel netwerk (een vpn verbinding) over een internetverbinding. Dit laatste valt buiten bereik van dit artikel.

SSH vervangt oudere protocollen zoals telnet, rlogin, en rsh/rexec door een beveiligbare variant.

Voor een SSH-verbinding kan gebruik gemaakt worden van verschillende authenticatiemethodes, met een wachtwoord of een SSH-sleutel.

De computers waartussen de verbinding wordt gemaakt hebben ieder een eigen 'rol' in deze verbinding. De computer die een verbinding wilt maken wordt de 'client' computer genoemd. Vaak dus de PC waarmee wordt gewerkt. De andere computer wordt de 'server' computer genoemd. Op de 'server' computer moet de server software actief zijn. Verder zijn er geen eisen aan de 'server'-computer. Het kan een echte server zijn maar ook een desktop of een laptop: de term 'server' geeft alleen aan welke 'rol' de computer heeft.

 . (!) Ook op een 'client' computer kan de serversoftware actief zijn. Zo kan over en weer een netwerkverbinding worden opgezet.
SSH ([[https://nl.wikipedia.org/wiki/Secure_Shell|Secure SHell]]) is een protocol voor veilige communicatie tussen computersystemen. SSH biedt uitgebreide mogelijkheden zoals een terminalscherm of grafisch programma openen op een andere computer, bestanden versturen en ontvangen of een eigen virtueel netwerk (een vpn verbinding) over een internetverbinding. Dit laatste valt buiten bereik van dit artikel.

SSH vervangt oudere protocollen zoals telnet, rlogin, en rsh/rexec door een beveiligbare variant. Omdat SSH een versleutelde verbinding maakt is het zo voor iemand die de verbinding afluistert ([[https://nl.wikipedia.org/wiki/Internettap|aftapt]]) zo goed als onmogelijk om gegevens of wachtwoorden te achterhalen.

Voor een SSH-verbinding kan gebruik gemaakt worden van verschillende authenticatiemethodes, met een wachtwoord of een [[https://nl.wikipedia.org/wiki/Publieke_sleutel|publiek]]/[[https://nl.wikipedia.org/wiki/Geheime_sleutel|geheim]] sleutelpaar (''private/public key'').

SSH kan ook voor beveiligde bestandsoverdracht gebruikt worden met ''scp'' of ''sftp'' (vervanger van ''ftp'').

De computers waartussen de verbinding wordt gemaakt hebben ieder een eigen "rol" in deze verbinding. De computer die een verbinding wilt maken wordt de ''client'' computer genoemd, vaak de PC waarmee wordt gewerkt. De andere computer wordt de ''server'' of ''host'' computer genoemd. Op de server-computer moet de server software, ''sshd'', actief zijn. Verder zijn er geen eisen aan de server-computer. Het kan een echte server zijn maar ook een desktop of een laptop, nogmaals de term ''server'' geeft alleen aan welke "rol" de computer heeft.

 . (!) Ook op een client-computer kan de serversoftware actief zijn. Zo kan over en weer een netwerkverbinding worden opgezet.
Regel 20: Regel 22:
 * Het gebruik van een SSH-client inclusief het maken van een SSH-sleutel  * Het gebruik van een SSH-client inclusief sleutepaar.

{{attachment:OpenSSH
logo.jpg}}
Regel 32: Regel 36:
 . (!) De OpenSSH-server wordt met de standaard configuratie van Ubuntu geïnstalleerd welke voldoet voor eenvoudig gebruik. '''Verdere configuratie is optioneel'''.  . <!> De OpenSSH-server wordt met een standaard configuratie van Ubuntu geïnstalleerd welke voldoet voor eenvoudig gebruik. '''Verdere configuratie is optioneel'''.
Regel 37: Regel 41:

 .
{{{
{{{
Regel 41: Regel 44:
Regel 43: Regel 45:

  .
{{{
{{{
Regel 49: Regel 50:
Een paar voorbeelden van mogelijke wijzigingen in bestand {{{/etc/ssh/sshd_config}}}: Een paar voorbeelden van mogelijke wijzigingen in bestand {{{/etc/ssh/sshd_config}}}
Regel 52: Regel 53:

 . {{{
{{{
# What ports, IPs and protocols we listen for
Regel 56: Regel 57:
 . (!) Door het gebruik van een niet-standaard poortnummer zal (bij gebruik van de SSH-server op internet) deze toegang minder duidelijk zichtbaar zijn. Dit mag echter niet als beveiligingsmaatregel worden gezien en aanvullende maatregelen zoals het gebruiken van een SSH-sleutel of een sterk wachtwoord blijven van belang.

 * Om toe te staan dat een publieke SSH-sleutel wordt gebruikt om een verbinding te maken wijzig de volgende regel, of voeg deze eventueel toe als deze er niet is:

 . {{{

(!) Door het gebruik van een ''niet''-standaard poortnummer zal (bij gebruik van de SSH-server op internet) deze toegang minder duidelijk zichtbaar zijn. Dit mag echter niet als beveiligingsmaatregel worden gezien en aanvullende maatregelen zoals het gebruiken van een SSH-sleutel of een sterk wachtwoord blijven van belang.

Om toe te staan dat een publieke SSH-sleutel wordt gebruikt om een verbinding te maken wijzig de volgende regel, of voeg deze eventueel toe als deze er niet is:

{{{
Regel 63: Regel 65:
 . Als er een #-teken aan het begin van de regel is geplaatst, is deze regel uitgeschakeld. Wees er dus zeker van dat er geen #-teken is geplaatst!

 * Er kan een bestand met een inlogboodschap worden gebruikt. Om de server de inhoud van {{{/etc/issue.net}}} (de versie van Ubuntu) te laten zien bij het inloggen kan de volgende regel worden gewijzigd, of toegevoegd:

 . {{{
Als er een #-teken aan het begin van de regel is geplaatst, is deze regel uitgeschakeld. Wees er dus zeker van dat er ''geen ''#-teken is geplaatst!

 * Er kan een bestand met een inlogboodschap worden gebruikt. Bijvoorbeeld om de inhoud van {{{/etc/issue.net}}} (de versie van Ubuntu) te laten zien bij het inloggen kan de volgende regel worden gewijzigd, of toegevoegd:

{{{
Regel 70: Regel 72:
 . Sla het gewijzigde bestand {{{/etc/ssh/sshd_config}}} op en herstart de server om de wijzigingen toe te passen:

 . {{{
sudo service ssh restart 
}}}
Sla het gewijzigde bestand {{{/etc/ssh/sshd_config}}} op en herstart de server om de wijzigingen toe te passen:

{{{
sudo service ssh restart
}}}
Regel 78: Regel 81:
 . (!) Als de SSH-server op een router is aangesloten moet deze router voor internet toegang zijn of worden ingesteld. Is er geen toegang ''vanaf'' het internet kan de standaard beveiliging voldoende zijn.

Als de SSH-server bereikbaar is via internet (als de computer direct is verbonden met een modem of als 'portworwarding' is ingesteld op de internet-router) is veiligheid extra belangrijk.

 * Kijk voor meer zekerheid bij een internettoegang ook in het artikel over de [[community/UbuntuFirewall|Ubuntu Firewall]]. Om toegang te geven tot de SSH-server in ufw: {{{sudo ufw allow ssh}}}

 . <!> Weet dat door onbekenden zeker een poging gedaan zal worden via SSH in te breken op de computer.

 . Een complex wachtwoord van zeker meer dan 6 tekens is noodzakelijk om te voorkomen dat het wachtwoord wordt geraden.
Als de SSH-server bereikbaar is via internet (als de computer direct is verbonden met een modem of als 'portworwarding' is ingesteld op de internet-router) of gebruikt wordt op vreemde (!WiFi) netwerken is veiligheid extra belangrijk.

 * Kijk voor meer zekerheid ook in het artikel over de [[community/UbuntuFirewall|Ubuntu Firewall]]. Om toegang te geven tot de SSH-server in ufw: {{{sudo ufw allow ssh}}}

 . <!> Weet dat als de SSH-server bereikbaar is via internet er door onbekenden zeker een poging gedaan zal worden via SSH in te breken, gebruik. Een complex wachtwoord of gebruik van SSH-sleutels.
Regel 89: Regel 88:
 . Voor extra veiligheid kan het inloggen met een wachtwoord helemaal worden '''uit'''geschakeld. Let er wel op dat er dan sleutels aangemaakt dienen te worden. Meer hierover bij [[#SshSleutels|SSH-sleutels]].  Wachtwoorden uitschakelen doe je door het aanpassen van de volgende regel in bestand /etc/ssh/sshd_config: Voor extra veiligheid kan inloggen met een wachtwoord beter helemaal worden '''uit'''geschakeld. Let er wel op dat er dan sleutels aangemaakt dienen te worden. Meer hierover bij [[#SshSleutels|SSH-sleutels]].

Wachtwoorden uitschakelen kan door het aanpassen van de volgende regel in bestand /etc/ssh/sshd_config
Regel 95: Regel 96:
 . Als hierna de SSH-server wordt herstart met de opdracht:

 . {{{
sudo service ssh restart
}}}
 . Voor toegang is het gebruik van een sleutel nu verplicht.

<!> Test vooraf of de verbinding '''alleen''' met een SSH-sleutel gemaakt kan worden, met een wachtwoord kan de SSH server niet meer gebruikt worden!

=== Gebruikersgroep voor SSH ===
Voor meer veiligheid kan de SSH-toegang worden beperkt tot een groep van gebruikers.

 . Maar hiervoor een groep aan:

 . {{{
adduser naam sshgebruik
}}}
 . Voeg 1 of meerdere gebruikers toe aan deze groep (wijzig 'naam' in de gewenste gebruikersnaam):

 . {{{
sudo adduser naam sshgebruik
}}}
 . Neem een extra regel op in {{{/etc/ssh/sshd_config}}}:

 . {{{
AllowGroups sshgebruik
}}}
 . Na een herstart van de SSH-server ({{{sudo service ssh restart}}}) kunnen alleen gebruikers van deze groep de inloggen via SSH.
Herstart hierna de server met de opdracht:

 . {{{
sudo service ssh restart
}}}

Voor toegang moet nu een SSH-sleutel worden gebruikt.

 . <!> Test vooraf of een verbinding met een SSH-sleutel kan worden gemaakt!
Regel 126: Regel 108:
Het installeren van de OpenSSH-client is eenvoudig en is normaal al tijdens de installatie van Ubuntu gedaan: Het installeren van de OpenSSH-client is eenvoudig en wordt normaal tijdens de installatie van Ubuntu gedaan:
Regel 131: Regel 113:
Vanaf een Ubuntu-computer kan een SSH-verbinding gemaakt worden door een terminalopdracht met het ip-adres. Er kunnen dan vanaf de client-computer opdrachten worden uitgevoerd op de server-computer. (in dit voorbeeld is 192.168.1.2 het ip-adres van de server)

{{{
ssh naam@192.168.1.2
}}}
{{attachment:sshlogin1004.png}} <<BR>>

== De X client ==
De SSH-verbinding kan ook gebruikt worden voor bestandsbeheer. In Ubuntu kunt u dit doen door een wilekeurige map te openen, en daar te klikken op Bestand --> Verbinden met Server...

{{attachment:VerbindenMetServer1004.png}}

De eerste keer zal gevraagd worden om de server op te nemen in de lijst van "bekende" computers (~/.ssh/known_hosts):

{{attachment:Identificatie.png}}


Er komt dan op het bureaublad een icoon voor deze verbinding.

 . {{attachment:netwerkicoon.png}}

Door op dit icoon te dubbelklikken kunnen bestanden op dezelfde manier gebruikt worden als lokaal opgeslagen bestanden.

{{attachment:sshbestandsbeheer1004.png}}
Vanaf een Ubuntu-computer kan een SSH-verbinding gemaakt worden door een ssh terminalopdracht. Er kunnen dan opdrachten worden uitgevoerd op de server-computer. (in dit voorbeeld is 192.168.178.25 het ip-adres van de server)

{{{
ssh naam@192.168.178.25
}}}
{{attachment:sshlogin1404.png}}

Omdat dit de eerste keer is dat er met deze server een verbinding wordt gemaakt wordt gevraagd deze server toe te voegen aan de lijst met bekende hosts (~/.ssh/known_hosts).

== De bestandsbeheer client ==
De SSH-verbinding kan worden gebruikt voor bestandsbeheer. In Bestandsbeheer (Nautilus) klik op Bestand → Verbinden met Server...

{{attachment:VerbindenMetServer1404.png}}

Als dit de eerste keer is dat verbinding met deze ssh-server wordt gemaakt zal worden gevraagd deze server op te nemen in de lijst van "bekende" computers (~/.ssh/known_hosts):

{{attachment:Identificatie1404.png}}

Tenzij er gebruik wordt gemaakt van sleutels zal om een gebruikersnaam en wachtwoord worden gevraagd:

{{attachment:Wachtwoord1404.png}}

De server zal worden getoond als netwerklocatie onderaan het linkerdeel van het bestandsbeheerprogramma. Eventueel kan een Bladwijzer worden toegevoegd om de volgende keer snel met de SSH-server te verbinden.

 . {{attachment:Netwerklocatie.png}}
Regel 157: Regel 140:
Bijvoorbeeld op een Windows-computer kan u een SSH-verbinding maken met het programma PuTTY:

{{attachment:InstallatieServerHardy/putty.png}}
Vanaf een Windows-computer kan een SSH-verbinding worden gemaakt met het programma PuTTY.

{{attachment:putty.png}}
Regel 162: Regel 145:
 * Voor veel besturingssystemen is er software gemaakt gebaseerd op PuTTY, kijk [[http://www.chiark.greenend.org.uk/~sgtatham/putty/links.html|hier]] voor een overzicht.

## Er is onduidelijkheid of de veiligheidsisico's van een derde website gebruiken als SSH-client.
## == De Webbrowser client ==
## En zelf systemen waar geen software kan op geinstalleerd worden of met ongewone besturingsystemen (zoals een GSM) kunnen een SSH verbinding maken.
## Het enigste wat je nodig hebt is een webbrowser met javascript ondersteuning.
## Door naar de [[http://webSSH.cz.cc/|Web-based SSH]] site te surfen en daar 'connect' te kiezen, kan je een verbinding starten.

 * [[https://winscp.net/eng/docs/lang:nl|WinSCP]] is een open source bestandbeheerprogramma wat gebruik kan maken van SSH verbindingen.

 * [[https://connectbot.org/|Connectbot]] is een open source SSH client voor Android.

Deze opsomming is zeer beperkt, er zijn nog veel meer ssh clientprogramma's voor verschillende besturingssystemen.
Regel 195: Regel 177:
Er wordt (twee keer) gevraagd om een wachtwoord. Druk op Enter als ''geen'' wachtwoord gebruikt moet worden of geef een wachtwoordzin op.

De publieke sleutel komt standaard in bestand {{{~/.ssh/id_rsa.pub}}} en de privé sleutel in het bestand {{{~/.ssh/id_rsa}}}. De publieke sleutel moet nu worden toegevoegd, op de ''server''-computer, aan het bestand {{{~/.ssh/authorized_keys}}}. 
Er wordt (twee keer) gevraagd om een wachtwoordzin. Druk op Enter als ''geen'' wachtwoord gebruikt moet worden of geef een wachtwoordzin op.

De publieke sleutel komt standaard in bestand {{{~/.ssh/id_rsa.pub}}} en de privé sleutel in het bestand {{{~/.ssh/id_rsa}}}. De publieke sleutel moet nu worden toegevoegd, op de ''server''-computer, aan het bestand {{{~/.ssh/authorized_keys}}}.
Regel 202: Regel 184:
ssh-copy-id naam@computernaam
}}}
(!) computernaam kan ook het ip-adres van de SSH-server zijn.
ssh-copy-id naam@servercomputer
}}}
(!) servercomputer kan een computernaam of het ip-adres van de SSH-server zijn.
Regel 210: Regel 192:
Regel 220: Regel 203:
Druk vervolgens op ''Save private key'' en sla de eigen sleutel op een ''veilige plek'' op.  Druk vervolgens op ''Save private key'' en sla de eigen sleutel op een ''veilige plek'' op.
Regel 224: Regel 207:
Stel PuTTY in om de sleutel te gebruiken.
Open het menu ''SSH'' en kies ''auth''.
Vul in (of ''Browse'' naar) de naam en locatie van de eigen sleutel.
Stel PuTTY in om de sleutel te gebruiken.  Open het menu ''SSH'' en kies ''auth''.  Vul in (of ''Browse'' naar) de naam en locatie van de eigen sleutel.
Regel 252: Regel 233:
Regel 257: Regel 239:
Regel 264: Regel 247:
Meer informatie over dit onderwerp:

 * Een onderdeel in de [[https://help.ubuntu.com/14.04/serverguide/openssh-server.html|Ubuntu Server Guide]]

N
ederlandstalig
 * Wikipedia: http://nl.wikipedia.org/wiki/Secure_Shell

Engelstalig
* Onderdeel van de [[https://help.ubuntu.com/14.04/serverguide/openssh-server.html|Ubuntu Server Guide]]
Regel 269: Regel 255:
 * Wikipedia: http://nl.wikipedia.org/wiki/Secure_Shell  * [[http://manpages.ubuntu.com/manpages/trusty/man1/ssh.1.html|Ubuntu manpage]]
Regel 272: Regel 258:
[[ http://creativecommons.org/licenses/by-nc-sa/3.0/deed.nl | {{http://i.creativecommons.org/l/by-nc-sa/3.0/80x15.png|CC-BY-SA}} ]]

CategoryNetwerkenEnServers
[[http://creativecommons.org/licenses/by-nc-sa/3.0/deed.nl|{{http://i.creativecommons.org/l/by-nc-sa/3.0/80x15.png|CC-BY-SA}}]]

CategoryNetwerkenEnServers   

OpenSSH server

Inleiding

SSH (Secure SHell) is een protocol voor veilige communicatie tussen computersystemen. SSH biedt uitgebreide mogelijkheden zoals een terminalscherm of grafisch programma openen op een andere computer, bestanden versturen en ontvangen of een eigen virtueel netwerk (een vpn verbinding) over een internetverbinding. Dit laatste valt buiten bereik van dit artikel.

SSH vervangt oudere protocollen zoals telnet, rlogin, en rsh/rexec door een beveiligbare variant. Omdat SSH een versleutelde verbinding maakt is het zo voor iemand die de verbinding afluistert (aftapt) zo goed als onmogelijk om gegevens of wachtwoorden te achterhalen.

Voor een SSH-verbinding kan gebruik gemaakt worden van verschillende authenticatiemethodes, met een wachtwoord of een publiek/geheim sleutelpaar (private/public key).

SSH kan ook voor beveiligde bestandsoverdracht gebruikt worden met scp of sftp (vervanger van ftp).

De computers waartussen de verbinding wordt gemaakt hebben ieder een eigen "rol" in deze verbinding. De computer die een verbinding wilt maken wordt de client computer genoemd, vaak de PC waarmee wordt gewerkt. De andere computer wordt de server of host computer genoemd. Op de server-computer moet de server software, sshd, actief zijn. Verder zijn er geen eisen aan de server-computer. Het kan een echte server zijn maar ook een desktop of een laptop, nogmaals de term server geeft alleen aan welke "rol" de computer heeft.

  • Info (!) Ook op een client-computer kan de serversoftware actief zijn. Zo kan over en weer een netwerkverbinding worden opgezet.

In dit artikel zal worden besproken:

  • De installatie en configuratie van het pakket openssh-server
  • Het gebruik van een SSH-client inclusief sleutepaar.

OpenSSH logo.jpg

Server

Installatie

Om het pakket openssh-server met bijbehorende programma's te installeren kan de volgende terminalopdracht worden gebruikt:

sudo apt-get install openssh-server

Of klik hier om het pakket automatisch te installeren.

Configuratie

  • Info <!> De OpenSSH-server wordt met een standaard configuratie van Ubuntu geïnstalleerd welke voldoet voor eenvoudig gebruik. Verdere configuratie is optioneel.

De OpenSSH server, sshd, kan worden geconfigureerd door het bestand /etc/ssh/sshd_config te wijzigen.

  • Type voor (Engelstalige) informatie over dit configuratiebestand in een terminalscherm:

man sshd_config
  • Info (!) Maak voor het wijzigen van bestand /etc/ssh/sshd_config een kopie en beveilig deze, om wijzigingen in geval van problemen te kunnen terugdraaien, met de volgende terminalopdrachten:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.origineel
sudo chmod a-w /etc/ssh/sshd_config.origineel

Een paar voorbeelden van mogelijke wijzigingen in bestand /etc/ssh/sshd_config

  • De OpenSSH-server gebruikt standaard TCP poort 22. Plaats eventueel een ander poortnummer (bijvoorbeeld poort 2222) in de Port regel:

# What ports, IPs and protocols we listen for
Port 2222

Info (!) Door het gebruik van een niet-standaard poortnummer zal (bij gebruik van de SSH-server op internet) deze toegang minder duidelijk zichtbaar zijn. Dit mag echter niet als beveiligingsmaatregel worden gezien en aanvullende maatregelen zoals het gebruiken van een SSH-sleutel of een sterk wachtwoord blijven van belang.

Om toe te staan dat een publieke SSH-sleutel wordt gebruikt om een verbinding te maken wijzig de volgende regel, of voeg deze eventueel toe als deze er niet is:

PubkeyAuthentication yes

Als er een #-teken aan het begin van de regel is geplaatst, is deze regel uitgeschakeld. Wees er dus zeker van dat er geen #-teken is geplaatst!

  • Er kan een bestand met een inlogboodschap worden gebruikt. Bijvoorbeeld om de inhoud van /etc/issue.net (de versie van Ubuntu) te laten zien bij het inloggen kan de volgende regel worden gewijzigd, of toegevoegd:

Banner /etc/issue.net

Sla het gewijzigde bestand /etc/ssh/sshd_config op en herstart de server om de wijzigingen toe te passen:

sudo service ssh restart

Info <!> Waarschuwing: Als er alleen via SSH toegang is tot de server kan een fout in de configuratie betekenen dat de server niet meer te gebruiken is na een herstart!

Internet toegang

Als de SSH-server bereikbaar is via internet (als de computer direct is verbonden met een modem of als 'portworwarding' is ingesteld op de internet-router) of gebruikt wordt op vreemde (WiFi) netwerken is veiligheid extra belangrijk.

  • Kijk voor meer zekerheid ook in het artikel over de Ubuntu Firewall. Om toegang te geven tot de SSH-server in ufw: sudo ufw allow ssh

  • Info <!> Weet dat als de SSH-server bereikbaar is via internet er door onbekenden zeker een poging gedaan zal worden via SSH in te breken, gebruik. Een complex wachtwoord of gebruik van SSH-sleutels.

Wachtwoorden UITschakelen

Voor extra veiligheid kan inloggen met een wachtwoord beter helemaal worden uitgeschakeld. Let er wel op dat er dan sleutels aangemaakt dienen te worden. Meer hierover bij SSH-sleutels.

Wachtwoorden uitschakelen kan door het aanpassen van de volgende regel in bestand /etc/ssh/sshd_config

  • PasswordAuthentication no

Herstart hierna de server met de opdracht:

  • sudo service ssh restart

Voor toegang moet nu een SSH-sleutel worden gebruikt.

  • Info <!> Test vooraf of een verbinding met een SSH-sleutel kan worden gemaakt!

Clients

De terminal client

Het installeren van de OpenSSH-client is eenvoudig en wordt normaal tijdens de installatie van Ubuntu gedaan:

sudo apt-get install openssh-client

Vanaf een Ubuntu-computer kan een SSH-verbinding gemaakt worden door een ssh terminalopdracht. Er kunnen dan opdrachten worden uitgevoerd op de server-computer. (in dit voorbeeld is 192.168.178.25 het ip-adres van de server)

ssh naam@192.168.178.25

sshlogin1404.png

Omdat dit de eerste keer is dat er met deze server een verbinding wordt gemaakt wordt gevraagd deze server toe te voegen aan de lijst met bekende hosts (~/.ssh/known_hosts).

De bestandsbeheer client

De SSH-verbinding kan worden gebruikt voor bestandsbeheer. In Bestandsbeheer (Nautilus) klik op Bestand → Verbinden met Server...

VerbindenMetServer1404.png

Als dit de eerste keer is dat verbinding met deze ssh-server wordt gemaakt zal worden gevraagd deze server op te nemen in de lijst van "bekende" computers (~/.ssh/known_hosts):

Identificatie1404.png

Tenzij er gebruik wordt gemaakt van sleutels zal om een gebruikersnaam en wachtwoord worden gevraagd:

Wachtwoord1404.png

De server zal worden getoond als netwerklocatie onderaan het linkerdeel van het bestandsbeheerprogramma. Eventueel kan een Bladwijzer worden toegevoegd om de volgende keer snel met de SSH-server te verbinden.

  • Netwerklocatie.png

Een ssh client voor andere besturingssystemen

Vanaf een Windows-computer kan een SSH-verbinding worden gemaakt met het programma PuTTY.

putty.png

  • PuTTY kan hier worden gedownload.

  • WinSCP is een open source bestandbeheerprogramma wat gebruik kan maken van SSH verbindingen.

  • Connectbot is een open source SSH client voor Android.

Deze opsomming is zeer beperkt, er zijn nog veel meer ssh clientprogramma's voor verschillende besturingssystemen.

SSH-sleutels

Wachtwoordzin

Een SSH-sleutel kan gebruikt worden op een verbinding te maken zonder wachtwoord. Net als met een gewone sleutel moet je een SSH-sleutel veilig bewaren en niet verliezen. Om misbruik van de sleutel bij verlies tegen te gaan kan de sleutel worden beveiligd met een wachtwoordzin.

Deze wachtwoordzin wordt niet gebruikt voor de SSH-verbinding, maar is wel nodig om de SSH-sleutel te kunnen gebruiken. In Ubuntu kan de wachtwoordzin worden opgeslagen in een sleutelbos zodat deze maar eenmalig moet worden ingevoerd.

  • sshkeyring.png

Om de sleutel te gebruiken zonder wachtwoordzin, bijvoorbeeld voor een geautomatiseerde server-actie, kan eventueel een sleutel zonder wachtwoordzin worden gemaakt.

Een sleutel zonder wachtwoordzin kan eventueel versleuteld worden opgeslagen, bijvoorbeeld in de map ~/Private.

Als de sleutel toch openbaar wordt (verloren is), moet de regel met deze sleutel uit het bestand ~/.SSH/authorized_keys worden gewist waarna deze sleutel geen toegang meer geeft. Door gebruik te maken van een goede (lange) wachtwoordzin is de kans beperkt dat deze wordt "gekraakt" voordat de sleutel is gewist.

Sleutels maken met Ubuntu

Met een SSH-sleutel is het mogelijk een netwerkverbinding te maken zonder gebruik te maken van een wachtwoord. SSH maakt voor de authenticatie gebruik van een privé sleutel (private key) en een publieke sleutel (public key). Deze sleutels vormen samen een 'sleutelpaar' (key pair).

Om een 'sleutelpaar' te maken, type in een Terminal:

ssh-keygen -t rsa

Deze opdracht maakt de sleutels. Er wordt gevraagd in welk bestand de sleutel opgeslagen moet worden ("Enter file in which to save key file"). Druk op Enter om de sleutel op te slaan op de standaard lokatie (in de verborgen map ~/.ssh).

Er wordt (twee keer) gevraagd om een wachtwoordzin. Druk op Enter als geen wachtwoord gebruikt moet worden of geef een wachtwoordzin op.

De publieke sleutel komt standaard in bestand ~/.ssh/id_rsa.pub en de privé sleutel in het bestand ~/.ssh/id_rsa. De publieke sleutel moet nu worden toegevoegd, op de server-computer, aan het bestand ~/.ssh/authorized_keys.

Dit kan door op de client-computer de volgende opdracht te geven (om de publieke sleutel naar de server te sturen):

ssh-copy-id naam@servercomputer

Info (!) servercomputer kan een computernaam of het ip-adres van de SSH-server zijn.

Geef (de laatste keer) uw wachtwoord. Het moet nu mogelijk zijn om een SSH-verbinding te maken op basis van de SSH-sleutels.

Sleutels maken met PuTTY

  • Windows versie

Onderdeel van de Putty software is PuTTYgen. Hiermee kan een ssh sleutelpaar worden gemaakt. Start PuTTYgen en klik op Generate. Er wordt gevraagd om met de muis te bewegen:

  • keygen.png

Als de sleutels zijn gemaakt selecteer dan het bovenste deel van het venster om te kopiëren:

  • keykopieeren.png

Voeg de gekopieerde tekst als sleutel toe aan bestand ~/.ssh/authorized_keys op de server.

Druk vervolgens op Save private key en sla de eigen sleutel op een veilige plek op.

Druk op Save public key om de openbare sleutel in PuTTY formaat op te slaan.

Stel PuTTY in om de sleutel te gebruiken. Open het menu SSH en kies auth. Vul in (of Browse naar) de naam en locatie van de eigen sleutel.

  • puttykey.png

Ga terug naar het Session scherm om een verbinding te maken.

versleutelde persoonlijke map

Als de persoonlijke map van de gebruiker is versleuteld kan de ssh-server geen toegang krijgen tot de sleutel in bestand ~/.ssh/authorized_keys totdat u bent aangemeld. De ssh-server zal om een wachtwoord vragen.

Om dit op te lossen kunt u een map maken buiten de persoonlijke map bijvoorbeeld /etc/ssh/<gebruikersnaam> (vervang <gebruikersnaam> door de naam waarmee u aanmeld). De gebruiker moet eigenaar zijn en de map moet beveiligd worden met 755:

  • sudo mkdir /etc/ssh/<gebruikersnaam>
    sudo chown <gebruikersnaam> /etc/ssh/<gebruikersnaam>
    sudo chmod 755 /etc/ssh/<gebruikersnaam>

Plaats nu bestand authorized_keys in deze map:

  • mv ~/.ssh/authorized_keys /etc/ssh/<gebruikersnaam>

De eigenaar van bestand authorized_keys moet de gebruiker zelf zijn en de rechteninstelling 664.

Open nu bestand /etc/ssh/sshd_config met een teksteditor en voeg de volgende regel toe:

  • AuthorizedKeysFile /etc/ssh/%u/authorized_keys

Herstart de ssh service:

  • sudo service ssh restart

De volgende keer dat u zich aanmeld kunnen de sleutels worden gebruikt.

Meer informatie

Nederlandstalig

Engelstalig


CC-BY-SA

CategoryNetwerkenEnServers

CategoryVeiligheid

community/Openssh-server (laatst bewerkt op 2019-02-03 14:41:20 door testcees)