putty sem senha

Download Putty Sem Senha

Post on 07-Jun-2015

7.481 views

Category:

Documents

0 download

Embed Size (px)

DESCRIPTION

Este documeto descreve passo a passo como usar o putty para acessar um servidor ssh usando chaves criptográficas

TRANSCRIPT

PuTTY automtico pelo WindowsArtigo Original do site How to forge: Key-Based SSH Logins With PuTTY

http://www.howtoforge.com/ssh_key_based_logins_putty

Traduo: Srgio Luiz Arajo Silva site: http://vivaotux.blogspot.com Este gui descreve como gerar e usar u par de chaves pblica/privada para logar em um sistema remoto com servidor ssh usando como cliente o putty. Putty um cliente ssh disponvel para Windows e Linux, no entanto mais comum o seu uso sob Windows. Usando logins baseados em chaves voc pode desabilitr o acesso normal, isto previne ataques por brute force. Eu no garanto que isso vai funcionar pra voc!1 Nota Preliminar

Este tutorial usa um Windows desktop para conectar a um servidor ssh em um servidor Linux (Debian, endereo IP: 192.168.0.100)2 Install PuTTY, PuTTYgen, And Pageant On The Windows System

Primeiro instalamos o putty, o gerador das chaves putgen e o pageant em nosso sistema Windows. Tudo o que temos que fazer baixar os executveis e salvar em um lugar de nossa preferncia, ex: em c:\tmp. Nos no devemos instala-los como aplicao standalone. Duplo clique para instala-los. Baixe os seguintes arquivos na pgina de download do putty PuTTY download page http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe http://the.earth.li/~sgtatham/putty/latest/x86/puttygen.exe http://the.earth.li/~sgtatham/putty/latest/x86/pageant.exe3 Criar um perfil com as configuraes em nosso servidor, no caso 192.168.0.100

No putty, voc deve criar perfis para coneces para cada servidor ssh, Vamos criar um perfil para nosso servidor 192.168.0.100. Inicie o Putty clicando duas vezes. Nca categoria Session (Veja a rvore da figura abaixo) digite o endereo IP do servidor que vai ser acessado. Em Saved Sessions voc pode digitar um nome para o perfil que ser criado, lembre-se de voltar a Session e salvar todas as alteraes para que o perfil contenha todas as informaes necessrias!

Abra a opo Connection e clique sobre a palavra Data, no campo login details digite root

V at Session novamente. Em Saved Sessions digite um nome para o perfil, ex: Proxy, 192.168.0.100 ou qualquer outra palavra que lhe ajude a lembrar a qual servidor o perfil est associado. Clique ento em Save.

Agora voc simplesmente seleciona um perfil salvo, clica em load e Open.4 Conectando ao servidor SSH

Agora ns podemos conectar ao nosso servidor SSH simplesmente clicando no perfil e em Open.

Quando conectar pela primeira vez ao seu servidor ele exibir uma mensagem avisando sobre a criao de chaves criptogrficas de acesso, voc deve aceitar caso contrrio o acesso ser abortado

Ns salvamos o nome de usurio mas ele continua pedindo a senha para conectar, veja

Este o mtodo de login usual nome de usurio e senha, dessa forma o seu sistema pode ser atacado por um mtodo chamado brut force, isto um problema de segurana. Vamos mudar isto agora. Outros mtodos de ataque possveis seriam, captura das teclas digitadas key logger, sniffer (captura da senha ao estabelecer a coneco).5 Gerando um par de chaves criptogrficas pblica/privada

Ns usaremos o programa PuTTYgen para criar nos par de chaves. Abra o executvel e selecione SSH-2 RSA no tipo de chave para gerar uma chave de 1024 bits, clique ento em Generate:

Durante a gerao das chaves mova o mouse isto ajuda o sistema de gerao de nmeros aleatrios do programa.

Agora um par de chaves acaba de ser gerado. No comentrio da chave normalmente usa-se o endereo de e-mail Caso voc venha a manter sua chave criptogrfica em local que s voc acessa, pode deixar a frase senha em branco, isto vai garantir que voc poder acessar o seu servidor sem senha alguma e ainda assim estar mais seguro do que se estivesse digitando uma. Clique em Save public key e salve-a em um local seguro no seu computador, escolha um nome e extenso de sua preferncia, lembre-se apenas de usar algo que lhe ajude a lembrar futuramente do que se trata.

Agora vamos salvar a nossa chave privada. Voc pode usar o mesmo lugar da chave pblica, esta chave em maus erradas ser um caos, tome o devido cuidado! No caso da chave privada o nome pode mudar mas a extenso tem que ser ppk.

Ento copie a chave pblica selecionando como visto abaixo

6 Salve a chave pblica no servidor que ser acessado

Faa o login em seu servidor SSH (se fechou a seo anterior), ainda com usurio e senha e cole a chave pblica dentro de um arquivo chamado authorized_keys2 localizado em ~/.ssh/authorized_keys2 mkdir ~/.ssh chmod 700 ~/.ssh vi ~/.ssh/authorized_keys2ssh-rsa AAAAB3NzaC1yc2EA[...]Lg5whU0zMuYE5IZu8ZudnP6ds= myname@example.com

O arquivo necessita ter as permisses como vistas abaixo. chmod 600 ~/.ssh/authorized_keys2

7 Associe a chave privada ao perfil de acesso

Agora abra o PuTTY novamente e carregue o perfil previamente criado (192.168.0.100):

Agora v at SSH -> Auth e clique em Browse:

Navegue em seu sistema e selecione a chave privada que salvamos a pouco

Agora v em Session novamente e salve a alterao efetuada:

Agora ns associamos a chave privada ao perfil de acesso ao servidor 192.168.0.1008 Primeiro acesso baseado em chaves criptogrficas

Como voc pode ver, a chave pblica usada na autenticao e se voc no digitou frase senha na gerao da chave o acesso ser automtico.

9 Desabilitando o acesso com usurio e senha

Up to now, you can log in with your private/public key pair and still with username/password logins, so if someone doesn't attach a private key to his PuTTY session, he will be asked for a username and password. So to achieve a better security, we must disable the username/password logins (you should do this only when you know that your key-based logins are working, because if they aren't and you disable username/password logins, then you have a problem...). To disable the username/password logins, we must modify the sshd configuration file. On Debian/Ubuntu systems, it's /etc/ssh/sshd_config. You should set Protocol to 2 (1 is insecure and should not be used!), PasswordAuthentication to no, and UsePAM to no (or comment out the UsePAM line), e.g. like this: vi /etc/ssh/sshd_config[...] Protocol 2 PasswordAuthentication no UsePAM no [...]

Then restart sshd. On Debian/Ubuntu, you can do it like this: /etc/init.d/ssh restart Now if you open a PuTTY session without your private key attached, you shouldn't be able to log in anymore.10 Let Pageant Remember Your Key Passphrase

Whenever you use your key-based login now, you stilll have to specify your key passphrase. This can be annoying if you connect to the SSH

server multiple times a day. Fortunately, you can tell the passphrase to Pageant which will then provide the passphrase whenever you log in to your SSH server. You can start Pageant by double-clicking its executable file:

Afterwards, you should see running Pageant in the taskbar:

Now double-click the Pageant icon in the taskbar. The following window comes up. Click on Add Key:

Browse your filesystem and select your private key:

Then enter the passphrase for the private key:

The key is now listed in Pageant's key list. Click on Close:

As long as Pageant is running in the taskbar, you can log in to your SSH server without providing the passphrase - this is done by Pageant:

When you stop Pageant, it forgets all keys, so the next time you start Pageant you must add the keys again. This can also be annoying, but to prevent this, we can create a shortcut on the desktop to the Pageant executable. Right-click the Pageant executable and select Create Shortcut:

You should now find a shortcut. Right-click it and go to Properties:

Under Target, you will now find the path to pageant.exe, e.g. "C:\Dokumente und Einstellungen\falko\Desktop\pageant.exe" (if there are no spaces in your path, you don't need the quotation marks). You can now simply add the location of your private key to that line, for example if you private key is C:\putty\my_keys\private_key_192.168.0.100.ppk then the line should look like this: "C:\Dokumente und Einstellungen\falko\Desktop\pageant.exe" C:\putty\my_keys\private_key_192.168.0.100.ppk (if there are spaces in the path to your private key, you must wrap it in quotation marks again, e.g. like this: "C:\Dokumente und Einstellungen\falko\Desktop\pageant.exe" "C:\directory with lots of spaces in name\my keys\private_key_192.168.0.100.ppk" ) Then click on OK:

Now when you double-click on the Pageant shortcut, Pageant will automatically load your private key and ask you for the passphrase. Enter it, and that's it.11 Links PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html