Sikker og nem terminaladgang med ssh Hvis du vil have en sikker og nem terminaladgang med ssh, kan du gøre følgende: 1. Installér ssh - måske er den installeret allerede 2. Generér nøgler: ssh-keygen -t dsa Din passphrase bør være 25 til 80 tegn lang og indeholde bogstaver, tal og specialtegn. Nøglerne bliver lagt i kataloget ~/.ssh 3. Tilføj nøglen (hele linjen) fra filen ~/.ssh/id_dsa.pub til en fil ~/.ssh/authorized_keys på de maskiner du vil kunne logge ind på. 4. Tilføj følgende linjer i filen ~/.ssh/config, som du vil køre ssh fra: Protocol 2 ForwardAgent yes ForwardX11 yes Compression yes CompressionLevel 9 5. Udfør følgende linjer på maskinen du logger ind fra: eval `ssh-agent -s` ssh-add < /dev/null Her skal du opgive din passphrase. I en del distributioner startes X automatisk op med ssh-agent, så det er ikke nødvendigt at gøre dette igen i disse tilfælde. Du kan se med en 'ps auxl ' om dette allerede er tilfældet. Hermed kan du køre på en rimeligt sikker måde med ssh og sftp mv. mellem forskellige maskiner. Og du skal kun opgive passphrase én gang! Nemlig når du laver add-ssh kommandoen. De andre gange skal du ikke opgive koderne. Og dette er sikrere end hvis du angiver adgangskoder hver gang. Adgangskoder kan nemlig sniffes hvis der har været indbrud på den maskine du er inde på og et rootkit er installeret. Så jo færre gange du indtaster koderne, og jo færre maskiner du gør dette på, des mindre mulighed er der for indtrængere at sniffe koderne. Hvis du ssh-er videre fra en maskine til en anden og derfra til en tredje, og en af de mellemliggende maskiner er blevet cracket kan de ikke ssh-e videre, fordi der er lavet en ForwardAgent, hvilket betyder at ssh går tilbage til den oprindelige maskine du er logget ind på og tjekker koderne med denne. Omkring ForwardX11 giver dette mulighed for at køre X11 over en sikker krypteret forbindelse over port 6010, i stedet for den ukrypterede port 6000, som derfor kan lukkes. Dette er meget sikrere, og også meget hurtigere med den foreslåede komprimering. Vær sikker på at også bruge sftp, hvis du logger ind, idet ftp og afskygninger deraf udsender ukrypterede adgangskoder. Dette er en anbefaling lige så vigtig som at undgå at køre telnet (men i stedet bruge ssh). Opsætningen beskrevet her har nogen sikkerhedsmæssige svage punkter idet en indtrængende root kan dumpe koderne fra ssh-agent-processens lager, og alle processer kan få adgang til ssh-agent. Der kendes dog kun få eksempler på at dette er hændt, hvorimod det er standard for rootkit at lave keylogning. Opsætningen beskrevet her kan gøres sikrere ved at installere peogrammet gnome-ssh-askpass og ved at kalde: ssh-add -c Keld Simonsen