Kuinka turvallinen on SFTP?
-
Jari-eripari
- Viestit: 871
- Liittynyt: 16.5.2007 klo 0.49
- Paikkakunta: Turku
Kuinka turvallinen on SFTP?
Kuinka turvallista on avata SFTP:llä pääsy omalle kotikoneelle? Joskus voisi olla hyödyllistä päästä tiedostoihin käsiksi maailmalta, mutta toi turvallisuus arveluttaa.
-
mluttinen
- Viestit: 156
- Liittynyt: 24.9.2006 klo 9.45
-
SamiPe
- Viestit: 100
- Liittynyt: 18.5.2006 klo 21.18
![[:|]](./images/smilies/icon_neutral.gif "Neutraali"){kind=icon}
-
Larkki
- Viestit: 167
- Liittynyt: 15.7.2007 klo 17.28
Jos haluat päästä sisään macciisi, käynnistä macin SSH-palvelu: System Preferences -> Sharing -> ja services listasta starttaat Remote Loginin.
Tämän jälkeen voit muilta koneilta ottaa yhteyden tähän käyttämällä ssh:ta tai SFTP:tä, ja oman maccisi käyttäjätunnusta ja salasanaa. En tiedä tukeeko Transmit SFTP-protokollaa, mutta ainakin sellainen ohjelma kuin Fugu, tukee.
Tämän jälkeen voit muilta koneilta ottaa yhteyden tähän käyttämällä ssh:ta tai SFTP:tä, ja oman maccisi käyttäjätunnusta ja salasanaa. En tiedä tukeeko Transmit SFTP-protokollaa, mutta ainakin sellainen ohjelma kuin Fugu, tukee.
-
Jari-eripari
- Viestit: 871
- Liittynyt: 16.5.2007 klo 0.49
- Paikkakunta: Turku
-
morbusg
- Viestit: 937
- Liittynyt: 5.6.2006 klo 13.48
- Paikkakunta: Helsinki
Tässä vielä dsa-avaimen käyttöönotto-ohje jos ei halua näpytellä mitään salasanoja.
Luodaan oma avainpari joka oletusasetuksilla tallentuu suorittavan käyttäjän kotihakemiston .ssh -kansioon 1024-bittisenä:Sanasanaa pyytäessään lyö vaan rivinvaihtonappia niin ei tule salasanaa.
Lisätään avain halutun koneen luotettuihin avaimiin:
Nyt pitäisi yhteydenmuodostus onnistua ilman salasanakyselyitä:
Ihan pikku huomio vielä noihin bittimääriin: OSX Server -manuaalisivu sanoo että 2048 bittinen avain on riittävä, mutta OpenBSD:n manuaalisivu (siis periaatteessa porukka joka on kehittänyt openssh:n) sanookin näin:
Luodaan oma avainpari joka oletusasetuksilla tallentuu suorittavan käyttäjän kotihakemiston .ssh -kansioon 1024-bittisenä:
Koodi: Valitse kaikki
ssh-keygen -t dsa -C "Avaimen kommentti joka auttaa yksilöinnissä, muttei pakollinen"Lisätään avain halutun koneen luotettuihin avaimiin:
Koodi: Valitse kaikki
cat ~/.ssh/id_dsa.pub | ssh tunnus@kohdekone 'cat - >> ~/.ssh/authorized_keys'
Koodi: Valitse kaikki
ssh tunnus@kohdekone
Tiedä sitten. Jos haluaa bittimäärää nostaa, sen voi tehdä lisäämällä esim. "-b 2048" ylläolleeseen avaimenluontilitaniaan.man ssh-keygen kirjoitti:DSA keys must be exactly 1024 bits as specified by FIPS 186-2.
-
roskaposti
- Viestit: 398
- Liittynyt: 3.5.2004 klo 12.22
Kyllä siihen salasana kannattaa laittaa. Ilman salasanaahan se on kuin pankkikortti ilman PIN-numeroa. Ei ole kauhea homma kirjottaa yhden kerran se salasana aina, kun koneen avaa.morbusg kirjoitti: Luodaan oma avainpari joka oletusasetuksilla tallentuu suorittavan käyttäjän kotihakemiston .ssh -kansioon 1024-bittisenä:Sanasanaa pyytäessään lyö vaan rivinvaihtonappia niin ei tule salasanaa.Koodi: Valitse kaikki
ssh-keygen -t dsa -C "Avaimen kommentti joka auttaa yksilöinnissä, muttei pakollinen"
Suosittelen SSHKeychain-ohjelmaa:
http://www.sshkeychain.org/
Tolla pystyy tekeen ne avaimet. Myös SSH-yhteyden muostaminen onnistuu graafisesti. Monia muitakin käteviä ominaisuuksia löytyy
RSA-avain on tietoturvallisempi kuin DSA. Käytännössä ei kuitenkaan ole paljon väliä kumman valitsee.
-
morbusg
- Viestit: 937
- Liittynyt: 5.6.2006 klo 13.48
- Paikkakunta: Helsinki
Kiitos lisätiedoista.roskaposti kirjoitti:Kyllä siihen salasana kannattaa laittaa. Ilman salasanaahan se on kuin pankkikortti ilman PIN-numeroa. Ei ole kauhea homma kirjottaa yhden kerran se salasana aina, kun koneen avaa.
Suosittelen SSHKeychain-ohjelmaa:
http://www.sshkeychain.org/
Tolla pystyy tekeen ne avaimet. Myös SSH-yhteyden muostaminen onnistuu graafisesti. Monia muitakin käteviä ominaisuuksia löytyy
RSA-avain on tietoturvallisempi kuin DSA. Käytännössä ei kuitenkaan ole paljon väliä kumman valitsee.
En tiennytkään että se salasana tarvitsee antaa vain kerran.
-
roskaposti
- Viestit: 398
- Liittynyt: 3.5.2004 klo 12.22
Sori, muistinkin väärin. Siitä on taas aikaa, kun itse säädin näitä :/morbusg kirjoitti:Kiitos lisätiedoista.roskaposti kirjoitti:Kyllä siihen salasana kannattaa laittaa. Ilman salasanaahan se on kuin pankkikortti ilman PIN-numeroa. Ei ole kauhea homma kirjottaa yhden kerran se salasana aina, kun koneen avaa.
Suosittelen SSHKeychain-ohjelmaa:
http://www.sshkeychain.org/
Tolla pystyy tekeen ne avaimet. Myös SSH-yhteyden muostaminen onnistuu graafisesti. Monia muitakin käteviä ominaisuuksia löytyy
RSA-avain on tietoturvallisempi kuin DSA. Käytännössä ei kuitenkaan ole paljon väliä kumman valitsee.
En tiennytkään että se salasana tarvitsee antaa vain kerran.
Unohdin, että siinä tarvii tietysti säätää hieman ssh-agent -ohjelmalla, jotta se avain pysyy muistissa. Sen säätäminen on vähän monimutkaisempi juttu. Helpompi tapa on käyttää tuota SSHKeychain-ohjelmaa.
