07 Şubat 2008

SSH ile Şifresiz Giriş

e-bergi'nin Şubat sayısında yayınlanan ve İlke Demir tarafından yazılan bu yazıda, SSH ile şifresiz/parolasız bağlantı yapmanın yolları anlatılıyor.

Bu uzun süredir kişisel hesaplarım için, yakın zamanda da sistem yöneticiliği işleri için kullandığım bir yöntem. SSH anahtar çiftleri ve ssh-agent kullanarak hem güvenli, hem de pratik bir yöntemle şifresiz/parolasız giriş yapabilirsiniz. (*) Burada dikkat edilmesi gereken bir nokta, ssh özel anahtarına mutlaka "passphrase" girilmeli, aksi taktirde dosyayı kopyalayan şakacı bir arkadaşınız, ya da makinanıza giren kötü niyetli bir saldırgan hesaplarınızda istediği gibi at koşturabilir. Passphrase yeterince uzun ve karmaşık seçilmeli ve içinde yetince büyük harf/sayı/abuk karakter barındırmalı.

Her bağlantıda hesabınızın parolasını girmek yerine, her bağlantıda ssh anahtarına passphrase girmek pratikte bir fayda sağlamayacağı için ssh-agent güzel bir çözüm. Bazı dağıtımlarda ssh-agent siz hesabınıza girdiğinizde çalışmaya başlıyor. Bazı dağıtım/masaüstü ortamları için ise dosyalar hazır bekliyor ancak gidip aktifleştirmeniz gerekiyor. Dağıtımınızın adı ile birlikte "ssh-agent" kelimesini ararsanız her açılışta nasıl ssh-agent çalıştırabileceğiniz ve anahtarlarınızı ona ekleyebileceğiniz konusunda detaylı bilgi bulabilirsiniz.

Ben Gentoo ve KDE kullanıyorum, yaptığım şey ise aşağıdaki dosyalarlarla ssh-agent'ı çalıştırmak, kapatmak ve anahtarlarımı sistem açılışında ssh-agent'a yüklemek. Dosyaları çalıştırılabilir hale getirmeyi unutmamak :) ve "gtk2-ssh-askpass" ya da "x11-ssh-askpass" programlarından birini kurmak gerekiyor.

~/.kde/env/ssh-agent.sh
#!/bin/sh
/usr/bin/ssh-agent -s > ~/.ssh/agent-env.sh
. ~/.ssh/agent-env.sh
~/.kde/shutdown/shutdown-ssh.sh
#!/bin/sh
/usr/bin/ssh-agent -k
~/.kde/Autostart/ssh-add.sh
#!/bin/sh
/usr/bin/ssh-add


(*) Bu noktada şifre mi parola mı tartışmasına girmek istemiyorum, doğrusu "parolasız" olacak, ancak ortada yoğun bir "şifre" kullanımı olduğu inkar edilemez bir gerçek, ve bence "password" ya da "pass" kullananlara kıyasla çok fazla da büyütülecek bir mesele değil.

Hiç yorum yok: