111101
SSH

• Secure Shell
  
• Ersatte RSH någonstans efter 1996
• Starkt kopplat till ett angrepp mot ett universitet i Helsingfors som skedde via RSH, det är i princip samma protokoll men med stark kryptering.
  
• Krypterad kommadosession
• Köra på kommandon på dator
• Kopiera filer
• scp
• montera som filsystem via fuse
• krypterade tunnlar
• X11
• X är gjort för mainframe/terminal tänk, så det gick att slänga upp X över nätverk.
• Det var rätt tråkigt att inte köra det krypterat, det gick att störa andras sessioner samt lyssna på trafiken på olika sätt, inklusive screenshots.
  
• X11 forwarding över ssh ftw.
  
• TCP/IP
• VNC
  
• ssh hekla.nu ps -ef
• kör ps -ef på hekla.nu
• LTSP   
• Används för att göra linuxburkar till terminaler.
• Sessionen
• Klienten validerar servern
• Servern validerar klienten
• Första upploggningen kräver att man gör ett nyckelutbyte, detta är enda stället där det sker en ordentlig svaghet.
• Mitm vid nyckelbytet är den svaga länken.
• Krypteringen
  
• Valideringen sker via asymmetrisk kryptering
• Nycklar
• Varje användare har egna nycklar
• Alternativa autenticeringslösningar
• kerberos
• nästa kurs
• s/key
• engångslösen
• populärt i bsd
• OSS
• papper
• nyckel tar emot ett pseudoslumptal och ploppar ut ett resultat av det som man kan verifiera med
• Man räknar om talet baserat på en algoritm med ens egen nyckel (som en random seed) i flera led
• Problemet med S/key är att det är lite bökigt att sätta upp
• finns inte i sci-linux heller
• Fördelen med det är att det är flexibelt och öppet
• Tre version av ssh
• OpenSSH
• Kommer från openbsd
• Är den vanligaste
• sshd.conf
• Port 22 standard, går att byta för att minska attacker
  
• ListendAddress
• Går att binda ssh till olika adresser
• ServerKeyBits
• normalt 1024 bitars nyckel
• går att öka till 4096
• permitrootlogin yes/no
• ganska viktigt att inte tillåta root login, vissa har det på per default (noterbart ubuntu)
• rhost
• idioti, men man kan ge autologin till personer i rhosts
• ChallengeResponseAuthentication no
• Ändra för att tillåta s/key
• Går att fixa med PAM istället
• kerberos går att ställa in med
• GSSAPI går att ställa in med
• Kan vara bra för tung kryptering
• DNS
• Kollar om du finns
• ssh-tunnel
• SSH
• -D [portnummer]
  
• Sätta upp en lokal socks5 proxy
• Kräver att det är öppet i sshd.conf (allowtcpforwarding)
  
• -N nologin
• för att inte logga på utan bara ha det som en proces
• ssh-keygen
• det man använder för att skapa nycklar
• den är ganska automatisk och trevlig
• standard lägger den saker i ~/.ssh/
• det tråkiga är att det är ganska bökigt att arbeta med i stor skala
  

• Symmetrisk vs asymmetrisk
• Symmetrisk kryptering kräver färre bitar för att uppnå hög kryptologisk säkerhet
  

Fotnoter

• Microsoft har:
• SFU
• Services for Unix