Kao što ste mnogi vjerojatno već primjetili, od ovog vikenda je došlo do nekih promjena vezanih uz pristupanje hosting accountima. Ukinuta je password autentifikacija za ssh protokol, a whm i control paneli su preusmjereni na secure portove. U nastavku ovog bloga možete pronaći nova uputstva za spajanje putem ssh protokola kao i objašnjenje zbog čega je došlo do promjena.
Do sada mi je sve savršeno radilo, čemu sve to?
Svima nam je važna sigurnost naših podataka, kao što je vama kao klijentima važna sigurnost vaših podataka, weba, mailova, aplikacija, tako je nama kao provideru usluge važna sigurnost naših klijenata. Svakodnevno ulažemo velike napore kako bi održali što bolju sigurnosnu razinu podataka na našim serverima. Svakodnevno kontroliramo sve servere. U suradnji s korisnicima u sigurnosnom pogledu poboljšavamo aplikakacije savjetima i ostalim raspoloživim mjerama…
Već neko vrijeme nam je u planu prelazak na key autentifikaciju za ssh protokol, a ovaj vikend su nas alarmantne vijesti požurile da forsiramo key autentifikaciju prije nego smo planirali.
Kasno u petak navečer objavljen je security warning od proizvođača softwarea koji koristimo za hosting na linux serverima. U warningu je opisan security threat za sve linux based servere. Svim do tada kompromitiranim strojevima je zajednička bila password autentifikacija putem ssh protokola. Točan način upada u servere je još uvijek nerazjašnjen, no vjeruje se da upadi nisu uzrokovani brute force napadima već direktnim ulazom pomoću administracijskih passworda.
Sukladno tome rano u subotu ujutro svi serveri su provjereni na poznate simptome “zaraze”, provjere su pokazale kako niti jedan od naših servera nije kompromitiran. Kako bi spriječili možebitnu buduću “zarazu” malicioznim rootkitom svi passwordi su promjenjeni, forsirana je secure autentifikacija za whm i cpanel, a password autentifikacija pomocu ssh protokola je ukinuta.
Što ja mogu učiniti?
Bez obzira koliko god mislite da vam je računalo sigurno, naša preporuka je da svakako promjenite passworde za cpanel. Prije nego krenete mjenjati password možete ažurirati linkove za pristup cpanel. Po defaultu vas je adresa za pristup cpanelu prije odvela na url poput http://imedomene:2082/ ukoliko imate takav url bookmarkiran za pristup cpanelu, potrebno ga je ažurirati s novim url-om http://imedomene/cpanel. Ovakav url će vas odvesti na https://imeservera:2083/
Putem ovog url-a svi podaci koje šaljete kroz browser do servera i obrnuto su kriptirani i takvi su otporni na “znatiželjne uši” u mreži. Nakon što ažurirate bookmarke naša preporuka je da promjenite password od cpanela.
Za sad je još uvjek moguće pristupiti i na stari način, no kroz par dana ćemo onemogućiti pristup putem unsecure url-a.
Kako se sada mogu spojiti ssh klijentom?
Ukratko pomoću ssh ključeva; potrebno je u ssh klijentu izgenerirati ssh rsa ili dsa ključ te putem cpanela importati vas javni ključ.
Možete kreirati dvije vrste ključeva, rsa ili dsa. Generalno im je svrha identična, a o razlikama možete više saznati na ovoj stranici.
Windows
Kako bi izgenerirali ključ na windows operativnom sustavu preporučamo vam da downloadate putygen.exe. Ukoliko ste već prethodno downloadali i instalirali kompletan putty paket, puttygen vam je dostupan klikom na
Start - > All programs -> Putty -> Putty key generator.
Nakon pokretanja otvorit će vam se ovakav prozor
Da izgenerirate ključ dovoljno je kliknuti na tipku Generate ili možete prethodno podesiti željene parametre pa kreirati ključ. Klikom na tipku Generate pojavit će vam se ovakav prozor:
U ovom trenutku puttygen očekuje od vas nasumične kretnje mišem kako bi izgenerirao ključ. Kako budete pomicali miš tako će se progres bar približavati kraju. Po završetku generiranja pojavit će vam se ovakav prozor:
U ovom koraku definirate ime ključa, i passphrase. Obavezno unesite passphrase, ukoliko ga ne postavite te vaš privatni ključ “procuri” bilo tko može pristupati resursima za koje vaš key ima dozvole.
Nakon što ste unjeli ime ključa i passphrase, potrebno je spremiti privatni i javni ključ. Privatni ključ spremite na sigurno mjesto jer će vam isti biti potreban za konfiguraciju ssh klijenta, winscp-a, sftp-a i ostalih programa koji koriste ssh protokol. Javni ključ ćete naknadno unjeti kroz cpanel pod authorized keys.
Za razliku od linux ssh-keygen alata Puttygen će file javnog ključa kriptirati tako da je potrebno otvoriti privatni ključ kroz puttygen te kopirati javni ključ s vrha prozora.
Linux
Kako bi izgenerirali ssh ključ na linux računalu potrebno je izvršiti komandu
ssh-keygen -t rsa
Nakon unošenja komande keygenerator će vas pitati koje ime želite postaviti za ključ (može ostati defaultno), zatim će vas promptati da unesete passphrase te da ga ponovite.
Obavezno unesite passphrase, ukoliko ga ne postavite te vaš privatni ključ “procuri” bilo tko može pristupati resursima za koje vaš key ima dozvole.
ssh-keygen komanda pruža još dodatnih opcija, za više informacija pogledajte man page komande. Po završetku kreiranja ključa u subfolderu .ssh/ vašeg home foldera naći ćete dva filea imenovana po imenu ključa koje ste definirali nakon pokretanja ssh-keygen komande. Ukoliko ste ostavili po defaultu fileovi će biti id_rsa i id_rsa.pub (ukoliko ste generirali rsa ključ), ili id_dsa i id_dsa.pub (ukoliko ste generirali dsa ključ).
.pub je javni ključ koji ćete naknadno importati putem cpanela na server, id_rsa je privatni ključ koji vam u kombinaciji s passphrasom dozvoljava pristup accountima kojima ste importali public key.
Ok izgenerirao sam ključ što sad?
Nakon što ste izgenerirali ključ potrebno je u cpanelu vašeg hosting accounta importati vaš javni ključ.
Kako bi importali vaš public key, ulogirajte se u cpanel, kliknite na SSH/shell access zatim na Manage ssh keys zatim kliknite na import key.
Pojavit će vam se ovakva stranica:
Sve što u ovom trenutku trebate napraviti je copy pasteati kompletan sadržaj vašeg javnog ključa u najdoljnje polje kako je prikazano na slici te kliknuti na import.
Nakon importanja se vratite na Manage ssh keys stranicu, te pokraj upravo importanog javnog ključa kliknite na Manage Authorization te autorizirajte svoj javni ključ za pristup.
Importao sam i autorizirao ključ, što dalje?
Ukoliko ste koristili defaultne postavke prilikom kreiranja ssh ključeva na linux računalu, ssh klijent će se sam autorizirat pomoću generiranog ključa. Sve što će vas ubuduće pitati je passphrase za vaš ključ, bez obzira na koji account se spajate.
Kako bi se autorizirali pomoću ključa s putty klijentom potrebno je prije spajanja, u advanced tabovima s ljeve strane, podesiti putanju do privatnog ključa kako je prikazano na slici:
Kako ne bi morali svaki put ponavljat postupak odabira privatnog ključa u putty klijentu jednostavno možete spremiti connection session kako je objašnjeno u prethodnom blogu SSH osnove. Vaš privatni ključ možete koristiti u bilo kojem programu koji koristi ssh protokol npr. winscp-a, sftpa ili raznih publishing alata koji uploadaju sadržaj putem ssh protokola. Isto tako jednom generiran privatni ključ možete koristiti na bilo kojem računalu dok god znate passphrase.
