10.10. openMosixView + SSH

(это HOWTO о настройке SSH)

Самая веская причина, по которой следует использовать SSH вместо RSH, – это частые сообщения о том, как очередной хакер проник в незащищённую систему/сеть. Так что SSH – это неплохая защита в любом случае.

freedom x security = constant (из группы новостей по безопасности)

Специфика SSH такова, что устанавливаемое соединение защищено, даже если у вас не запрашивается пароль. Ниже изложено описание, как такое соединение настроить.

Для начала необходимо запустить демон sshd на удалённой стороне. Если он ещё не установлен, то скорей установите его! Если он просто не запущен, то выполните:

/etc/init.d/ssh start

Теперь вам необходимо сгенерировать ключ для локальной машины утилитой ssh-keygen.

ssh-keygen

Программа попросит у вас секретную фразу для нового ключа. Эта фраза может быть намного длиннее пароля, может быть даже целым предложением. [2] Затем ключ шифруется этой фразой и сохраняется в файл

/root/.ssh/identity // ваш личный ключ

и

/root/.ssh/identity.pub // ваш публичный ключ

Никому не давайте свой личный ключ!!! Теперь скопируйте файл /root/.ssh/identity.pub в /root/.ssh/authorized_keys на локальной (потому что openMosixview подключается к локальной машине также по SSH) и удалённой машине.

Если сейчас попробовать подключиться к удалённой машине, то система запросит ту самую секретную фразу. После её правильного ввода следует вход в систему. [3]

Какие здесь преимущества??? Фраза намного длиннее пароля!

Что можно сделать с помощью ssh-agent? По идее он поможет нам в управлении фразой во время сессии SSH.

ssh-agent

После запуска ssh-agent появляются две переменные окружения, которые необходимо установить (если они ещё не установлены). Выполните:

echo $SSH_AUTH_SOCK

и

echo $SSH_AGENT_PID

чтобы убедиться, что они уже экспортированы. Если нет, то их можно просто скопировать и вставить из терминала. т.е. для bash:

SSH_AUTH_SOCK=/tmp/ssh-XXYqbMRe/agent.1065 export SSH_AUTH_SOCK SSH_AGENT_PID=1066 export SSH_AGENT_PID

пример для csh:

setenv SSH_AUTH_SOCK /tmp/ssh-XXYqbMRe/agent.1065 setenv SSH_AGENT_PID 1066

По этим переменным удаленный демон sshd сможет соединяться с вашим локальным ssh-agent через файл-сокет в /tmp (в данном примере /tmp/ssh-XXYqbMRe/agent.1065). Теперь ssh-agent может передавать фразу на удалённый хост через указанный сокет.

Нужно только добавить ваш публичный ключ в ssh-agent командой ssh-add.

ssh-add

Теперь можно подключаться по SSH к удалённой машине без запроса пароля!

Осталось лишь добавить команды ssh-agent и ssh-add в ваш файл профайла, т.е.

eval `ssh-agent` ssh-add

Таким образом, всё запускается, когда вы входите в систему. Вот и всё! Желаю вам безопасных логинов! [4]

В главном окне openMosixView есть меню, позволяющее выбирать между RSH/SSH. После выбора не забудьте сохранить конфигурацию!

Если вы выберите службу, которая не настроена правильным образом, openMosixView не будет работать! (т.е. в случае, если вы выбрали RSH/SSH, но не можете подключиться к узлам без запроса пароля).



[2] При настройке логина по SSH без запроса пароля необходимо сгенерировать ключ с пустой фразой! – прим. перев.

[3] Соответственно, если вы создавали ключ с пустой фразой и паролем, то вы сразу входите в систему даже без запроса чего-либо, что нам и требуется. Поэтому, нижеследующие инструкции можно пропустить – прим. перев.

[4] Если у вас ничего не получилось, то на сайте howto.ipng.be есть более детальное описание процесса настройки беспарольного входа по SSH – прим. перев.