SSH 2-Step Verification – Google Authenticator
Google Authenticator, sağladığı PAM modülü üzerinden OpenSSH’a entegre edilebiliyor, bu şekilde SSH erişimlerinde, şifre ya da key based auth’a ek olarak, telefonunuzda yüklü olan Google Authenticator üzerinden üretebileceğiniz time-based one-time password (TOTP) doğrulamasını da devreye alarak two-step authentication yapabiliyorsunuz.
Özellikle bir nedenle heryerden erişilebilir, standart portta çalışan SSH çalıştıran sunucularınız varsa, ek bir güvenlik katmanı sağladığından dolayı Google Authenticator entegrasyonunu da kullanmak isteyebilirsiniz. Bu nedenle yazının devamında, CentOS 6 ve Debian 7 sistemler için google authenticator PAM modülünün kurulması ve SSH’a entegre edilmesinden bahsedeceğim.
Vmware ESXi 4 üzerinde SSH Servisini Devreye Almak
Vmware ESXi sunucusuna SSH üzerinden uzak erişim sağlamak için sunucu üzerinde bir kaç basit işlem yapmak yeterli. ESXi sürümünde direk erişilebilir bir konsol bulunmadığı için bu işlemi yapmak için önce “unsupported mode” denilen kabuk ortamına erişmek ardında da ssh servisini başlamlatmak gerekiyor. İşlem adımları aşağıdaki gibi: |
Yazinin devami icin tiklayin.
PSSH ile Birden Fazla Sunucuyu Tek Merkezden Yönetmek
Bir çok sunucunuz ve sunucu kümeleriniz varsa, sunuculardaki herhangi bir genel yapılandırma değişikliği vs. gibi işlemler için çok fazla mesai harcayacağınız aşikardır. Aynı komutları farklı sunucularda tek tek çalıştırmak gibi rutin bir iş de elbet oldukça sıkıcı olacaktır. Bu gibi durumlarda zamanı efektif kullanmak adına tek bir yerden verilen komutların tüm sunucularda paralel olarak çalıştırılmasını sağlamak gibi bir çözüm epey işe yarayacaktır.
Elbette, böyle bir ihtiyaç için kullanılabilecek bir çok yazılım bulunuyor işte bu gibi yazılımlardan birisi de pssh (parallel ssh)’dır. Bu yazıda pssh kullanarak merkezi bir yerden verilen komutların birden fazla sunucuda eş zamanlı olarak nasıl çalıştırılabileceğine değineceğim.
SSH Üzerinden Root Login Girişimlerinde Artış
Internet Storm Center (SANS)’ın uyarısına göre, şu sıralar SSH üzerinden root login girişimlerinde artış gözleniyor. İlgili yazıya şu adresten ulaşabilirsiniz: http://isc.sans.org/diary.html?storyid=7213
SSH üzerinden root kullanıcısı için logine izin verdiğiniz, internet üzerinden erişilebilir sunucularınz varsa, bu durumu yeniden gözden geçirmeniz iyi olabilir. FreeBSD sunucularda SSH servisi, root kullanıcısıyla logine default olarak kapalı olsa da hemen tüm Linux dağıtımlarda root login öntanımlı olarak izinlidir. Bu açıdan sunucularınızı kontrol etmenizi ve varsa SSH üzerinden root kullanıcısına verilmiş direk login yetkisini geri almanızı tavsiye ederim.
Daha önce SSH servisinin root logine nasıl kapatılabileceği ile ilgili kısa bir yazı yayınlamıştım; şuradan erişebilirsiniz: http://www.syslogs.org/2009/04/disable-root-login-ssh/
SSH Login Yavaşlık Problemi | Nedenler ve Çözümler
Bir sunucuya ssh üzerinden bağlantı kurarken, bazı durumlarda login işlemi uzun zaman alabiliyor. Bu tip problemlerin belli nedenleri var. Eğer siz de bir çok sunucuya SSH üzerinden erişim sağlıyorsanız, bazı durumlarda sistemde 10 saniyeyi aşan sürelerle bekleme olduğunu tecrube etmiş olabilirsiniz. |
Bu tip durumların bir kaç nedeni olabiliyor, bu yazıda sorunun muhtemel iki nedenine ve çözümüne değinmek istiyorum.
SSH Tunneling ile Güvenli Surf ve SSH Port Forwarding
Okullar, kafeler, oteller gibi public internet erişimi sağlanan mekanlardan yapacağınız internet bağlantısının ne derece güvenli olduğunu bilemeyeceğiniz için, bu bağlantı üzerinden gönderip aldığınız veriyi herhangi bir “dinleme” olayına karşı şifrelemek isteyebilirsiniz. |
Ve bu isteğinizde haklı da olabilirsiniz, zira aynı ağ üzerinde bulunan herhangi biri tüm veri trafiğini dinliyor olabilir ve gönderdiğiniz tüm plaintext datayı okuyup şifreleriniz vs. gibi özel bilgileriniz ele geçirebilir. Böyle durumlarda veri trafiğinizi encrypt etmek için ya vpn bağlantısı sağlamalısınız ya da ssh tunneling yapmalısınız. Her iki şekilde de veri şifreleneceği için olası bir sniffing faliyetinden etkilenmezsiniz.
İşte bu nedenle bu yazıda, SSH kullanarak tünel oluşturma ve trafiği bu tünel içerisinden şifreli olarak iletmenin nasıl yapıldığına değineceğim.
Linuxlar’da SSH üzerinden Root Erişiminin Engellenmesi
Bildiğiniz gibi Linux tabanlı bir çok sistemde, ssh üzerinden direk olarak root kullanıcısı ile login olma yetkisi açık şekilde geliyor. Bu durum, herhangi bir firewall arkasında olmayıp da ssh portu (22) dışarıya açık olan sunucular için ciddi bir risktir. Zira, root passwordunuzu öğrenmeyi başarmış herkes, sisteminize root yetkileri ile ssh üzerinden login olabilir. Bu nedenle, böyle durumlar için yapmanız gereken ilk iş, sshd’nin root kullanıcısı için direk erişim yetkisi vermememesini sağlamaktır. Bu işi, sshd’nin yapılandırma dosyasında yapılacak küçük bir değişiklikle gerçekleştirebilirsiniz. |
İşte nasıl yapıldığı:
Kullanışlı Putty Add-on’ları
Windows tabanlı, basit ve güzel bir SSH client yazılımı olan Putty için, http://www.thegeekstuff.com/2008/08/turbocharge-putty-with-12-powerful-add-ons-software-for-geeks-3/12 adresinde 12 adet kullanışlı add-on tanıtımı bulunuyor.
Mesela, Putty’nin -her ne kadar iyi bir SSH client olsa da- sessionları Windows Registry’de tutmak gibi bir adeti var. Bu nedenle, daha önceden tanımladığınız sessionları bir yerden bir yere taşımak ya da backuplamak için registry’i didklemek zorunda kalıyorsunuz. İşte, ilgili adreste tanıtımı yapılan add-on’lar bu ve buna benzer problemlere çözüm getirdiklerinden dolayı ilginizi çekebilirler.