Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
SSh протокол и Linux
 
У меня есть вопрос. Объясните новичку в Linux. Как организовать удаленный терминальный доступ? Условия такие:
Сетка - рабочая группа. Операционки - Windows XP, 2000 и 2000 server. Машина с интернетом под Linux.
Нужно организовать терминальный доступ к сети (например из дома) по протоколу SSH.
Специально обученной программой создал приватные и публичные ключи. Публичный запихнул в
home\каталог. А что делать дальше? Что и где нужно прописать, чтобы Linux знал, что по этому протоколу с этим ключом нужно перебросить пакеты на Windows server. И какие лицензии должны быть актовированы на windows?
И как должно примерно вести себя окно той же программки putty, с помощью которой я пытаюсь организовать SSH соединение.javascript:emoticon('Вопрос')
Вопрос
Спасибо.

PS Блин, извините, но уже заколебало. Кто-нибудь может ответить на мой вопрос?
Или я так плохо его сформулировал?
Или многие умеют только бравировать знанием сленга и показывать крутизну коверканием слов?
 
Цитата
Дмитрий пишет:
Или я так плохо его сформулировал?
Или многие умеют только бравировать знанием сленга и показывать крутизну коверканием слов?

Знаете, честно говоря непонятно зачем Вам нужен удаленный доступ к ssh для всех.

Цитата
Дмитрий пишет:
У меня есть вопрос. Объясните новичку в Linux. Как организовать удаленный терминальный доступ? Условия такие:
Сетка - рабочая группа. Операционки - Windows XP, 2000 и 2000 server. Машина с интернетом под Linux.

Вообще-то авторизация по ключам делается так.
На хосте, с которого я хочу заходить на уд. хосты я для каждого юзвера генерирую (ssh-keygen -t dsa ) ключи, затем на хост(ы), на которые хочу заходить, добавляю содержимое ~/.ssh/id_dsa.pub в ~/.ssh/authorized_keys2 удаленного хоста.

Цитата
Дмитрий пишет:
Или многие умеют только бравировать знанием сленга и показывать крутизну коверканием слов?

Давайте не выделываться, Ok ?
Вам на форумах никто ничего не должен и так разговарить Вы можете только с тем, кому платите деньги(и то если он себя не уважает).
 
Прошу прощения за PS.
Я хочу организовать доступ так, чтобы мог войти в сетку на работе с любой удаленной машины (имея с собой, конечно соотвествующий ssh - клиент и приватный ключ. По логике, как я понимаю, Linux должен понять что я - это "ленивый" админ, и пропустить меня на хост (конкретно - на сервак Win 2000).
 
Цитата
Дмитрий пишет:
PS Блин, извините, но уже заколебало. Кто-нибудь может ответить на мой вопрос?
Или я так плохо его сформулировал?
Отвечаю. Читайте документацию по ssh по опции -R. man ssh

Цитата
Дмитрий пишет:
Или многие умеют только бравировать знанием сленга и показывать крутизну коверканием слов?
Многим просто лень отвечать на вопросы, разжеванные в документации, тем более заданные таким тоном. Вам лень читать документацию - другим лень отвечать на ваши вопросы.
 
Цитата
Дмитрий пишет:
Я хочу организовать доступ так, чтобы мог войти в сетку на работе с любой удаленной машины (имея с собой, конечно соотвествующий ssh - клиент и приватный ключ. По логике, как я понимаю, Linux должен понять что я - это "ленивый" админ, и пропустить меня на хост (конкретно - на сервак Win 2000).

Тогда в PuTTY генерим ключ, копируе его в надежное место, затем добавляем в  ~/.ssh/authorized_keys2 публичную его часть , при подключении указываем в PuTTY путь к ключу.
 
Сам вопрос я задал в нормальном тоне. За дополнение - извинился.
Мне не лень читать документацию. Просто я на 80% программист а на 20 сисадмин, а заниматься приходится всем. Поэтому то что касается Linux для меня многое непонятно.
 
С самим putty я вроде разобрался. Ключи сгенерил. Вопрос в том что на потом на Linux прописать. В какие iptables добавить и что?
 
В man ssh про опцию для прокидывания порта -L(-R это немного не та опция) все есть. В пункте про прокидывание порта, TCP FORWARDING все разжевано как оно работает и что делать, с примерами.

        $ ssh -f -L 1234:localhost:6667 server.example.com

Эта команда прокидывает локальный 1234/tcp на локалхосте через SSH-туннель на удаленный server.example.com 6667/tcp. У MSRDP порт 3389/tcp, в режиме терминал-сервера "Удаленный администратор" никаких дополнительных лицензий для сервера кроме CAL/DCAL не нужно.
У виндового Putty по идее тоже должен быть пункт  по прокидыванию портов как и у юниксового ssh-клиента.

Цитата
Дмитрий пишет:
Вопрос в том что на потом на Linux прописать. В какие iptables добавить и что?
Дополнительно на Linux ничего настраивать для SSH-туннеля не нужно, если порт SSH смотрит в Internet(ListenAddress 0.0.0.0 в конфиге sshd) и правилами iptables не блокируется(если политика по умолчанию REJECT/DROP, то iptables -I INPUT -p tcp --dport 22 -j ACCEPT, правила сохраняются командой /etc/init.d/iptables save).  Устанвливается SSH-туннель с прокидыванием локального порта, после чего можно устанавливать соединение клиентом на локальный порт - оно автоматически будет проброшено через SSH-сервер на заданный в опциях форвардинга хост.
Рекомендую также ограничить разрешенных пользователей ssh директивой AllowUsers в конфиге sshd.
 
Спасибо, завтра попробую
 
Cтранные у нас программисты пошли. Документацию не читают. Но понтов.... Жириновский отдыхает. :|
 
Тебе будет проще правила написать в iptables для переброса портов.
/usr/sbin/iptables -t nat -A PREROUTING -d (внешний айпи) -i eth0 (либо свою поставь) -p tcp -m tcp --dport 3389 -j DNAT --to-destination (локальный айпи куда перебрасывать):3389

На машине должна быть запущена сылужба терминалов в Win 2000. В Win XP разрешить приглажение удаленного подключения.

Потом просто подключаешся через "Удаленное управление рабочим столом"
Обезательно должен стоять пароль на юзера, иначе ты не подключишся
 
Цитата
lisc пишет:
Тебе будет проще правила написать в iptables для переброса портов.
/usr/sbin/iptables -t nat -A PREROUTING -d (внешний айпи) -i eth0 (либо свою поставь) -p tcp -m tcp --dport 3389 -j DNAT --to-destination (локальный айпи куда перебрасывать):3389

На машине должна быть запущена сылужба терминалов в Win 2000. В Win XP разрешить приглажение удаленного подключения.

Потом просто подключаешся через "Удаленное управление рабочим столом"
Обезательно должен стоять пароль на юзера, иначе ты не подключишся


Все бы хорошо, но только при этом шифрация как при ssh не будет работать ;)
 
Так если нужен VPN тунель настрой IPsec или OpenVPN
славо богу и то и другое будет работать почти под любой системой.
 
Согласен, собственно и SSH имеется для современных платформ.

Не знаю, насколько смущают найденный критические уязвимости, что в SSH1, что в SSH2, перехват ключей и доступность к атаками MITM.

Всё же инкапсуляция твоего адреса в адрес далёкого сервака ну или диапазон удаленной сетки это не новая технология, но проверенная, особенно, если не хранятся логи или под серваком с VPN лежит твой сосед Вася.
 
to skvoznoy Андрей К.:
Цитата
Не знаю, насколько смущают найденный критические уязвимости, что в SSH1, что в SSH2, перехват ключей и доступность к атаками MITM
Допустим, Вы уже соединялись ранее со своим SSH сервером и НАСТОЯЩИЙ публичный ключ сервера уже сохранён в Вашем known_hosts файле. Если кто-либо в этой ситуации будет покушаться на Вашу SSH сессию с помощью MITM атаки, Вы этот факт легко заметите. Подобные атаки успешны лишь для новых соединений (если у жертвы нет серверного ключа), либо когда жертва сознательно (или по собственной глупости) игнорирует предупреждение или нестандартное поведение своего SSH клиента. Вообщем против подготовленного пользователя ни SSHv1 ни SSHv2 MITM не сработает. Не пугайте зря людей. :)

Удачи.
 
> /usr/sbin/iptables -t nat -A PREROUTING -d (внешний айпи) -i eth0 (либо свою поставь) -p tcp -m tcp --dport 3389 -j DNAT --to-destination (локальный айпи куда перебрасывать):3389

по хорошему там ещё в цепочке FORWARD входящие разрешить надо будет.
Страницы: 1
Читают тему