Waxborg openSUSE

Ratapäiviä, saaristoa, openSUSE vuodesta 2005

openSUSE Linux -sivut (19.01.2008 20:19:03): Näillä sivuilla on muistiinpanoja ja ohjeita, joita olen tehnyt omaa Susen käyttöäni varten. Ne löytyvät täältä helposti. Samalla ne ovat sitten muidenkin halukkaiden käytössä.
"Only wimps use tape backup:_real_ men just upload their important stuff on ftp,and let the rest of the world mirror it." Linus Torvalds 1996.

ssh tiukemmaksi 1

SSH-yhteyden säätö, osa 1

Tässä kuvatut asiat ovat ensimmäinen vaatimus edes pienelle turvalle ssh-yhteyttä käytettäessä. Paljon kehittyneempiä tapoja on olemassa, mutta tässä on kerrottu vain pari pientä muutosta olemassa oleviin asetuksiin normaalissa ssh-yhteydessä ja pieni salasanakertaus on aina paikallaan.

Vahvat salasanat

Aivan ensimmäiseksi: Käytä aina kunnollisia vahvoja salasanoja![1]
Varmaan pahin ja yleisin riski on heikot salasanat. Suomalaisissa systeemeissä käyttäjänimet ja salasanat ovat olleet perinteisesti muunkielisille vaikeammin arvattavia, mutta tässä suhteessa on jo muutosta tapahtunut. Koputteluja tyypillisisllä suomalaisilla käyttäjänimillä tapahtuu jo jatkuvasti.

SSH 1 ja SSH 2

Tavallinen ssh, eli ssh1 on selvä turvariski, ssh2 parantaa turvaa. Joten on syytä estää muun kuin ssh2-protokollan käyttö.

Rootin sisäänkirjautumisen estäminen

Rootin kirjautuminen ssh:ta käyttäen pitää kieltää. Kun ensin joutuu kirjautumaan tavallisena käyttäjänä ja sitten siirtymään rootiksi, on tiedettävä käyttäjän tunnus ja salasana ja lisäksi on tiedettävä (tai arvattava) rootin salasana. Kahden salasanan murtaminen on jo astetta vaikeampaa.

Muutoksia asetuksiin

Otamme käsittelyyn tiedoston /etc/ssh/ssh_config
Muokataan pari riviä käyttäen mitä tahansa tekstieditoria. Jos käytät KDE-työpöytää, voit toimia vaikkapa seuraavasti:
K-menu > Run Command > kdesu kwrite /etc/ssh/ssh_config
Lisää/muuta seuraava rivi:
PermitRootLogin no
Etsi sitten seuraava rivi:
Protocol 2,1
Muuta se seuraavasti:
Protocol 2
Nyt kirjautuminen on mahdollista vain muuna kuin root-käyttäjänä ja vain ssh2-protokollaa käyttäen.
Eli sisäänkirjautuminen rootiksi edellyttää ensiksi käyttäjätunnuksen ja sen salasanan, sekä lisäksi rootin salasanan tietämisen.

[1]
Vahvat salasanat
Käytä aina pitkiä, vähintään 12 - 15 merkkiä pitkiä salasanoja. Suosittelen rootille 22 merkkiä.
Älä käytä mitään minkään kielen sanakirjoista löytyviä sanoja.
Käytä salasanoissa aina sekä isoja että pieniä kirjaimia sekä numeroita.
Älä käytä erikoismerkkejä. Tämä on tärkeätä sen vuoksi, että se kerta varmasti tulee, jolloin käytössäsi on vain US-näppis.
Esimerkki hyvästä salasanasta: KHV06oRsA15Ijpkn
Miten tuollaisen sitten itse muistaa?
Oma menetelmäni on hokea jotain lausetta ja poimia siitä sopivasti merkit. Lauseen toistamalla salasanan oppii kirjoittamaan helposti:
(K)irjoitan (H)elmikuussa (V)uonna (06) (o)hjetta (R)ootin (s)alasanaksi. (A)inakin (15) (I)soa (j)a (p)ientä (k)irjainta (n)umeroineen.

Artikkelia muokattu: 19.01.2008 18:05:43