http://www.zago.eti.br/ssh/ssh.txt FAQ, dicas, exemplos de comandos e configurações, indicações de tutoriais sobre ssh, putty, winscp e serviços remotos utilizando ssh. OBS. ambiente gráfico - Winscp - putty - instalar NX - Freenx - Nomachine, tutorial em: http://www.zago.eti.br/ssh/ssh-gui.html ssh sem senha. As mensagens sobre ssh sem senha estão no FAQ: http://www.zago.eti.br/ssh/ssh-sem-senha.txt Use CTRL+F para refinar a pesquisa. veja também outros FAQ relacionado a acesso remoto e transferencia de arquivos via rede: http://www.zago.eti.br/vpn.txt http://www.zago.eti.br/vnc.txt http://www.zago.eti.br/ftp.txt http://www.zago.eti.br/telnet.txt http://www.zago.eti.br/ftp.txt http://www.zago.eti.br/tremoto.txt http://www.zago.eti.br/tservice.txt http://www.zago.eti.br/nfs.txt dicas de como usar scp (copy por ssh) http://www.zago.eti.br/cp.txt Criar tunel com ssh, veja em: http://www.zago.eti.br/ssh/tunelando-com-openssh.txt ******************************************************************************** Ambiente gráfico e acesso a partir de estações Windows.... Veja também webmin http://www.zago.eti.br/webmin.txt Configura varios serviços Linux, em ambiente gráfico pelo brownser, acessa maquina local ou remotamente, também atraves do windows pelo IE. Acesso remoto via windows. Windows com console do Linux remoto - putty. Para ter um (console) terminal Linux nas estações windows, utilize o putty. procure no google por putty.exe, execute-o na estação windows, em IP coloque o IP da maquina Linux, selecione ssh e conectar, prontinho, tem uma conexão por ssh, a janela é um terminal Linux na estação windows, muito útil pra administrar maquina remotamente, conexões de uso frequente pode salvar o usuário e IP, em lugar de IP digite o login@ip no formato zago@192.168.1.53, seleicone ssh e clique em salvar, na proxima conexão basta um duplo clique sobre o nome da conexão para abrir o console no ponto de digitar somente a senha. Pode executar o putty varias vezes para abrir diversas conexões, uma para analizar logs, outra para executar top para acompanhar uso da maquina e assim por diante. Uma aplicação interessante, a partir do windows, acessar algum tutorial ou documentação na web via navegador (firefox, lynx, I.E....) para copiar linhas de comando ou modelos de configuração, via putty se conectar na maquina Linux que deseja configurar, assim pode copiar do browser (internet) para colar no console da outra maquina, também pode abrir duas conexões putty, uma para acessar maquina já configurada para copiar e alternar para outra conexão para colar. Em resumo, pode abrir um documento local, fazer varias conexões via putty e acessar varias páginas via browser, copiar e colar alternando entre todos. Basta selecionar com mouse, copiar, alternar para o terminal e colar na linha de comando ou arquivo sendo editado, isto ganha tempo e evita erros de digitação. Faça um teste a partir de uma estação windows, selecione e copia a linha abaixo: ls -la Use o PUTTY.EXE para conectar ao seu servidor para colar, clique com botão auxiliar do mouse ou pressione as teclas (SHIFT + INSERT), simples, rápido e prático. Outro teste, utilize o mouse para selecionar o resultado do comando acima, dependendo da configuração o simples selecionar já faz a copia e o clique do botão auxilar serve para colar, portanto faça o teste somente com a seleção e quando falhar clique com botão auxilar e selecione copiar, alterne para seu editor de texto local para colar com os comandos permitidos no editor. Conheça também o PSCP WINSCP Procure no google por winscp.exe, além das funções do putty, além de ferramenta para administração remota também serve pra transferir arquivos entre a estação windows e maquinas Linux remotamente, a copia de arquivos funciona nos dois sentidos, clique e arraste para copiar, utiliza conexão via ssh, tem janela para navegar na maquina local e remota, tudo em ambiente gráfico, muito prático e intuitivo. SSH gráfico via KONQUEROR Digite na URL do Konqueror: fish://zago:senhadozago@192.168.1.2/home/ ou fish://zago:senhadozago@dominio.com.br/home/ Onde: zago é um usuário existente no destino senhadozago é a senha do usuário 192.168.1.2 é o IP da maquina destino, ou use o dominio. Acessar diretamente um diretório especifico, exemplo, os arquivos que estão em um srvidor Apache em: 192.168.1.2/srv/www/default/html/zago que o owner seja zago e a senha sehadozago, basta digitar na URL do Konqueror: fish://zago:senhadozago@192.168.1.2/srv/www/default/html/zago ou fish://zago:senhadozago@192.168.1.2/srv/www/default/html/zago ou fish://zago:senhadozago@www.dominio.com.br/srv/www/default/html/ Ou efetuar login e cair no home do usuário que fez login. fish://zago:senhadozago@192.168.1.2 fish://zago:minhasenha@192.168.1.120 Precisa que o usuário já exista no computador destino e o servidor sshd esteja rodando, executa o konqueror remotamente mesmo que na maquina destino não tenha o ambiente gráfico rodando, requer no minimo o konqueror instalado na maquina remota, muito prático para navegar pelos diretórios e arquivos via Konqueror pra apagar, editar e movimentar arquivos e diretórios, lembre dos direitos que o usuário tenha sobre os arquivos e diretórios na maquina remota. Completada a conexão, ajuste o Konqueror para ocupar a metade da tela e abra outro Konqueror e ajuste para ocupar a outra metade da tela, assim vai ter dois Konqueror, cada um ocupando a metade da tela, um na maquina remota e o outro na maquina local, conforme as permissões pode editar, apagar, mover ou copiar arquivos entre as janelas, ou melhor entre as maquinas, basta copiar e colar, recortar e copiar ou simplesmente arrastar de uma janela pra outra. Tem este recurso também para ftp, procure por ftp neste FAQ: http://www.zago.eti.br/konqueror.txt Executar programas do ambiente gráfico via ssh remotamente. Executar programas na maquina remota, por exemplo, executar aplicativos instalados em outra maquina, kmail, evolution, mozilla e etc.... Na maquina local tem que estar em ambiente gráfico, precisa fazer a conexão via terminal do ambiente gráfico, (konsole no KDE ou outro conforme o ambiente gráfico) na maquina local nao precisa do mesmo pacote instalado, na maquina remota não importa se iniciou em modo texto ou gráfico, o que importa é ter instalado o pacote que deseja executar e claro o servidor X(Xfree) ou X(xorg) Algumas distro como no Mandriva 2006 já vem configurado, em outras como no CL10 precisa ajustar a configuração para exportar o X via ssh, segue exemplo para o configurar o Conectiva 10. edite e faça esta alteração no arquivo: /etc/ssh/sshd_config procure pela linha: #X11Forwarding no altere para: X11Forwarding yes Após esta alteração precisa reiniciar o servidor ssh. service sshd restart Na maquina cliente, que vai receber as telas do programa executado remotamente, execute: ssh -X zago@192.168.1.86 onde zago é usuário valido no servidor 192.168.1.86 é o servidor após digitar a senha, no promp basta digitar o nome do programa, por exemplo executar smart em ambiente gráfico na maquina remota para instalar programas: smart --gui Executar qualquer aplicativo como: mozilla kmail Claro que chamando kmail na maquina remota, vai ter acesso aos e-mail da maquina remota, pode até fazer isto entre maquinas da rede interna ou via internet para acessar seu cliente de e-mail remotamente. Xterm xterm -e ssh dominio.com.br xterm -e ssh ip.da.maquina.remota xterm -e ssh 192.168.1.53 Neste formato abre um terminal, digite a senha pra completar o login e ter na tua maquina um console da maquina remota. Comando pra copiar e colar: sed -i "s/#X11Forwarding no/X11Forwarding yes/g" /etc/ssh/sshd_config reinicie o sshd service sshd restart Feche a conexão, faça nova conexão neste formato: ssh -X zago@192.168.1.86 Completada a conexão pode executar aplicativos do ambiente gráfico da maquina remota, mesmo que a maquina remota não esteja rodando ambiente gráfico, precisa somente do pacote instalado pra rodar e exportar o display pra tua maquina, por exemplo, na maquina remota com gnome ou KDE instalado, mesmo iniciando a maquina remota em modo texto, na tua conexão por ssh pode executar comandos como: gnome-terminal konqueror evolution ....... Mesmo que uma maquina da rede não tenha acesso à internet, pode fazer conexão via ssh com maquina que tenha acesso pra navegar e a partir do console remoto, pode chamar o navegador com a URL desejada: konqueror www.zago.eti.br/cp.txt lynx www.zago.eti.br/comandos.txt Estações windows executando aplicativos Linux no servidor Linux?. Executar o X remotamente a partir de estações windows, veja: http://www.nomachine.com/ O NX funciona em Linux e windows, NX Client for windows conecta no NX server for Linux pra transferir as telas dos aplicativos rodando no servidor Linux para as estações windows. Conexão remota tanto na rede local ou via web, ADSL e etc.. Rodando o NX server no Linux e NX Client for windows em uma estação windows. Com este aplicativo pode ter na tela das estações windows aplicativos for Linux, como cliente de e-mail, navegador ou outro aplicativo qualquer rodando no servidor Linux. Tutoriais em Portugues para instalar NX - FreeNX Tutorial CL10, com telas capturadas, endereços para download e explicações. http://mteixeira.webset.net/artigos/freenx-cl10.html Tutorial Kurumin, com telas capturadas e explicações sobre o funcionamento, comparativo com VNC e outras dicas. http://www.guiadohardware.net/artigos/297/ Site oficial, download e documentação, em inglês. http://www.nomachine.com/documentation/intr-technology.php Passo a passo para instalar NX - freenx. Ambiente: Instalar feenx server no CL10 instalado com perfil "Desktop corporativo" Seguindo o tutorial do Maurio (mteixeira), baixar os pacotes: [root@aula nomachine]# ls -la total 2084 drwxr-xr-x 2 root root 4096 2003-01-01 01:01 . drwx------ 14 popo zago 4096 2003-01-01 01:01 .. -rw-r--r-- 1 root root 40779 2003-01-01 01:01 freenx-0.3.1-1cl_pinho.noarch.rpm -rw-r--r-- 1 root root 2078086 2003-01-01 01:01 nx-1.4.0-2cl_pinho.i386.rpm Instalar, entre no diretório onde salvou e execute rpm -ivh iniciais do pacote e tecle tab a linha de comando deve ficar assim: rpm -ivh nx-1.4.0-2cl_pinho.i386.rpm apt-get install nc rpm -ivh freenx-0.3.1-1cl_pinho.noarch.rpm Caso ocorra alguma mensagem de erro, algo como falta de algum pacote, precisa resolver estas dependencias, resolva na "unha" ou pelo metodo mais simples, acrescente o repósitorio do contrib no apt, inclua no /etc/apt/sources.list: rpm ftp://mirror.de9.ime.eb.br/pub/conectiva/contrib 10/conectiva pinho mvb mt osvaldo_santana carlinux iga hamacker rpm-src ftp://mirror.de9.ime.eb.br/pub/conectiva/contrib 10/conectiva pinho mvb mt osvaldo_santana carlinux iga hamacker Cuidado com a quebra de linha, são duas linhas iniciando com rpm. Execute: apt-get update Execute: apt-get install freenx Concluida a instalação sem erros, execute os comandos. nxsetup --install passwd nx nxserver --adduser zago nxserver --passwd zago nxserver --adduser nx nxserver --passwd nx Onde: zago é o nome de login do usuário, altere somente zago pelo seu usuário, mantenha os demais parametros do exemplo acima, nx é um usuário do sistema que precisa ser criado e definir senha. Quando solicitado, informe a senha de cada usuário, informe a mesma para o usuário zago e nx e funcionou. Servidor nx prontinho, vamos para a estação windows. Arrume uma maneira de copiar a chave para a maquina windows que vai acessar o NX, o arquivo a ser copiado é este: /var/lib/nxserver/home/.ssh/client.id_dsa.key pode usar o winscp, samba, disquete, CD ou ... Arquivo que contém a chave e precisa copiar para a estação windows. /var/lib/nxserver/home/.ssh/client.id_dsa.key Na estação windows execute o instalador do cliente windows, concluída a instalação vai criar um atalho no desktop. Clique no atalho, antes da primeira conexão precisa importar a chave, clique , na aba de menu, opção "General" clique em "Key", depois clique em "dafault" e "OK" para remover a chave existente, depois clique em "Import", navegue até o local onde salvou a chave (copia do arquivo client.id_dsa.key), selecione e clique em OK, vai exibir o conteúdo da nova chave, basta um clique em "Save" e depois em "OK" pontinho, só aguardar a conexão que exibe a inicialização do KDE. Acessar outros servidores NX, ou após a reinstalação do servidor, repita o processo acima para importar a chave de cada novo servidor. SSH gráfico em JAVA, deve rodar em todos ambientes gráficos. Procure pelo artigo: GUI para SCP em java no GNU/Linux em: http://www.gulbf.com.br ******************************************************************************** Mandriva 2006 (beta 1 - 2005.1) instalar pacotes do ssh - cliente e servidor... urpmi openssh urpmi openssh-clients urpmi openssh-server reiniciar ssh service -f ssh selcionar para iniciar com o boot: chkconfig sshd on ******************************************************************************** Exemplos de linha de comando: Conectar a uma maquina remota, formato (ssh user@IP), as linhas abaixo tem o mesmo resultado: ssh zago@192.168.1.53 ssh -l zago 192.168.1.53 Conectar a uma maquina remota configurada pra exportar o X via ssh, faça a conexão a partir de um console do ambiente gráfico: ssh -X zago@192.168.1.53 ssh -Xl zago 192.168.1.53 Enviar arquivos para outra maquina: Copiar arqteste.txt para o home do usuário destino: scp arqtest.txt zago@192.168.1.53:~/ copiar todos os arquivos e sub-diretórios a partir do prompt de comando local para o home do usuário zago no destino. scp -r * zago@192.168.1.53:~/ ou para um sub-diretorio especifico no micro de destino não use (~) e informe o caminho: scp -r * zago@192.168.1.53:/home/copias/copiadoserv Salvar no destino com outro nome, também acrescentar a data e hora de criação: scp -r /home/samba zago@192.168.1.53:/home/zago/servsamba-`date +%d.%b.%Y-%H-%M` Diretorio samba no destino tem este formato: /home/zago/servsamba-08.Ago.2004-17-14 Atualizar paginas do Apache, requer alteração de permissão para usuário gravar. scp -r * zago@192.168.1.2:/srv/www/default/html/zago Ou com fish via konqueror: fish://zago:senha@192.168.1.2/srv/www/default/html/zago ******************************************************************************** Ssh é uma ferramenta poderosissima, mantenho espelho do FAQ em maquinas Linux rodando o server SSH, qualquer consulta ou copia de comandos, basta fazer duas conexões por ssh ou PUTTY.EXE via Windows, um konsole pra cada conexão, cada konsole conectado a maquinas diferentes. Um para copiar comandos ou partes de configuração para copiar no outro console, basta selecionar com mouse, alternar para o outro terminal da configuração e colar, isto ganha tempo e evita erros de digitação. Maquinas com acesso à internet pode acessar via browser para copiar, voltar para o console e colar. Faça um teste, selecione e copia a linha abaixo: ls -la No konsole, faça uma conexão via ssh, para colar, clique com botão auxiliar do mouse ou pressione as teclas (SHIFT + INSERT), simples, rápido e prático. Outro teste, utilize o mouse para selecionar o resultado do comando acima, dependendo da configuração o simples selecionar já faz a copia e o clique do botão auxilar serve para colar, portanto faça o teste somente com a seleção e quando falhar clique com botão auxilar e selecione copiar, alterne para seu editor de texto local para colar com os comandos permitidos no editor. ******************************************************************************** SSH SEM SENHA http://www.g2ctech.com/artigos/ssh-sem-senha.html http://www.g2ctech.com/artigos/ssh-sshagent.html http://www.g2ctech.com/artigos/ssh-windows.html SSH para clientes Windows - excelente tutorial em português. neste diretorio tem um tutorial e um .pdf baixado de: http://www.linuxsecurity.com.br/sections.php?op=listarticles&secid=7 http://www.akadia.com/services/ssh_agent.html em inglês - sobre chave publica. veja também estes links: http://www.guiadohardware.net/tutoriais/terminais_leves/03.asp Tente o F-Secure SSH. Com a versão 5.2 você consegue até transferir arquivos com muita facilidade. ******************************************************************************** SSH perdendo conexão, inicia copia de arquivos e cai a conexão, demora no login e comportamento inesperado..... Procure descobrir se não tem outra maquina na rede com mesmo IP. Sempre que ocorre perda da conexão, lentidão e outros problemas inesperados, pode ser algum problema de cabos, HUB ou configuração da rede, o mais provável é outra maquina com mesmo IP, isto é fatal, até funciona por alguns segundos mas perde a conexão, basta mudar o IP que soluciona o problema, caso não resolva, verifique também se não tem outros erros na configuração da rede, rota default e outros detalhes. ************************************************************************** DICAS E RESUMO - ZAGO - Conectiva 10 SSH é muito útil para adminstrar maquinas remotamente, transferir arquivos e outros serviços, modo de operação semelhante ao Telnet mas de forma segura porque os dados e senhas trafegam pela rede criptografados. para ver se está instalado ou rpm -qa|grep openssh Em uma instalação do CL10 com perfil "servidor Samba", não inclue a instalação do ssh, pra instalar todos os serviços do ssh, instale os pacotes: apt-get install openssh openssh-clients openssh-server Somente o root pode executar esta linha de comando, requer CD1 e CD2. OBS. Em uma instalação que faltou o pacote opensssh-clients, quando tentava em outras maquinas copiar arquivos pra esta maquina via ssh, ocorria nas outras maquinas a mensagem de erro: bash: line 1: scp: command not found lost connection Este erro confunde até pra explicar, em resumo, no servidor ssh que não tem o pacote openssh-clients instaldo, vai provocar a mensagem de erro nas estações que tentar enviar arquivos via ssh pra este servidor. Na estação que executar scp pra enviar o arquivo, não tem erro algum, mas a impressão é de um erro local, mesmo com a falta do pacote openssh-clients, funciona pra conexão remota mas não funciona pra copiar arquivos, pra resolver o problema faça a instalação destes pacotes: apt-get install openssh openssh-clients openssh-server EXPLICANDO a mensagem de erro: bash: line 1: scp: command not found Quando instalei somente os pacotes openssh e openssh-server, conseguia fazer conexão por ssh, executar comandos na maquina remota, mas não conseguia copiar aquivos com scp, muito estranho, tentei copiar aquivos do CL9 pro CL10 e no CL9 retornava a mensagem de erro: bash: line 1: scp: command not found, então fiz os seuintes testes: copiar arquivo com ssh pra própria maquina rodando CL9 funciona direitinho como também pra outras maquinas com CL9 e CL10 instalado com perfil desktop corporativo, veja resultado: zago@mail zago]$ scp sm56 zago@192.168.1.53:/tmp zago@192.168.1.53's password: sm56 100% |*****************************************************************************| 2531 00:00 Ao executar o mesmo comando na mesma maquina mas apontando pro IP da maquina com CL-10 que também está com o sshd rodando, retorna o erro: [zago@mail zago]$ scp sm56 zago@192.168.1.1:/tmp zago@192.168.1.1's password: bash: line 1: scp: command not found lost connection Na maquina com CL10 que tinha instalado os pacotes openssh openssh-server, instalei também o pacote openssh-clients e resolveu o problema. Após instalar mais este pacote, sem reiniciar o sshd, voltei pra maquina com CL9 e executei a mesma linha de comando: scp sm56 zago@192.168.1.1:/tmp agora funcionou sem mensagem de erro. Pra levantar o sshd execute: service sshd start Pra iniciar o servidor ssh no boot(automatizar pra iniciar o serviço junto com o boot da maquina tanto em modo 3 texto ou 5 gráfico). chkconfig --level 35 sshd on Ou simplesmente: chkconfig sshd on resultado do comando: rpm -qa | grep ssh [root@faqcl10 tmp]# rpm -qa | grep ssh openssh-clients-3.8.1p1-60281cl openssh-server-3.8.1p1-60281cl openssh-3.8.1p1-60281cl ******************************************************************************** DICAS para ver se está instalado rpm -qa|grep sshd Pra outras distros que não tenha o pacote no CD, procure em: http://www.ssh.com http://www.openssh.com www.openssh.org ou pelo apt-get apt-get install ssh apt-get install openssh e instale openssh-server openssh-clients openssh Iniciar o servidor ssh. service sshd start ou /etc/initd.d/sshd restart ou cds ./sshd start Ou vá em /etc/rc.d/init.d e, no prompt do shell, digite: ./sshd start ou /etc/rc.d/init.d/sshd start Quando alterar configurações do ssh precisa reiniciar o serviço: service sshd restart /etc/init.d/ssh restart /etc/init.d/ssh reload Também pode reiniciar com a opção: killall -HUP sshd Não use esta opção em conexão remota, ela fecha a conexão enquanto a "service sshd restart", reinicia o serviço sem matar a conexão. Ou para iniciar automaticamente nos niveis 3 e 5 [root@samba root]# chkconfig --level 35 sshd on Ou pra todos os niveis: chkconfig sshd on ou execute ntsysv procure por sshd e marque esta opção, assim toda vez que ligar o micro o SSH é inicializado e não precisar iniciar manualmente, prefira sempre o chkconfig, evite usar o ntsysv porque ele só seleciona pra iniciar no modo que iniciou a maquina. para acessar outra maquina, pode ser da rede local ou da net. ssh login@ip_da_maquina ou ssh user@IP ou ssh -l user IP ssh -l zago 192.168.1.1 substituir user por usuario já cadastrado e IP pelo IP ou DNS da maquina destino. Em casos de erro utilize a opção -v, desta maneira: "ssh -v servidor", ou "ssh -v IPdoservidor" assim será melhor para saber aonde está o erro. na primeira conexão com a maquina remota o SSH precisa criar uma chave que vai ficar guardada no home do usuario em um diretorio oculto chamado .ssh, para completar esta conexão tem uma pergunta terminando com ?, responda yes por extenso escreva yes e não apenas y, também demora um pouco quase um minuto, para fazer login rápido inclua no /etc/hosts o IP e nome da maquina cliente que vai fazer acessos para tornar a autenticação rápida. Na proxima vez só vai pedir a senha. Completado o login tem um terminal da maquina na sua tela. Em maquinas windows pode usar o putty.exe (baixe da net e execute, não tem que instalar) serve como cliente de ssh, na tela do putty.exe informe o IP da maquina remota -> ssh -> open, vai abrir um terminal Linux onde deve informar o ligim e senha validos na maquina remota e pronto, na janela que a conexão SSH abrir é um terminal Linux da maquina remota. Para copiar arquivo para outra maquina lembre que no destino o ssh server tem que estar rodando e o usuario precisa de direitos para gravar arquivos no diretorio destino, use: scp arquivo usuario@ipdestino:~/diretorio/sub-diretorio copia de arquivos do servidor para estação, operando a partir da estação, IP do servidor 192.168.1.1 e IP da estação 192.168.1.53 como o ssh não busca arquivo, somente envia, então preciso logar na maquina remota para depois do prompt da maquina remota enviar arquivos para a maquina local. ssh zago@192.168.1.1 (para logar em 192.168.1.1 é o servidor) scp -r * zago@192.168.1.53:~/ (para copiar tudo do meu diretorio no servidor para meu diretorio na maquina local 192.168.1.53, dentro de /home/zago ou para um sub-diretorio especifico no micro de destino use: scp -r * zago@192.168.1.53:/home/copias/copiadoserv Observe que após o IP e dois pontos não foi utilizado o til, o til indica home do usuário, pode utilizar o caminho completo ou quando o diretório destino esteja abaixo do home do usuário pode abreviar a linha de comando com o til substituindo /home/usuario, o exemplo abaixo tem o mesmo resultado: scp cl9-1.iso zago@192.168.1.3:~/distro/cl scp cl9-1.iso zago@192.168.1.3:/home/zago/distro/cl Pra copiar pra um diretório que não esteja abaixo do home do usuário, mas que ele tenha permissão de gravação, não poderá usar o til, exemplo pra todos os arquivos e sub-diretórios, esta linha de comando utilizo pra atualizar o FAQ que fica em outra maquina: scp -r * zago@192.168.1.2:/srv/www/default/html/zago/faq exemplo pra copiar um arquivo pra um diretório que no destino não está abaixo do home do usuário: scp cl9-1.iso zago@192.168.1.3:/home/copias/distro/cl Também pode dar nome diferente no destino, tanto pro arquivo ou diretório, exemplo pra copiar o diretório samba e salvar no destino com outro nome e também acrescentar a data e hora de criação: scp -r /home/samba zago@192.168.1.3:/home/zago/servsamba-`date +%d.%b.%Y-%H-%M` Salva no destino neste formato: /home/zago/servsamba-08.Ago.2004-17-14 Lembre que voce pode fazer uma conexão por ssh e disparar uma copia de arquivo pra sua maquina de origem da conexão, isto mesmo, da maquina remota pode dar o comando scp e colocar o IP da sua maquina como se fosse outra maquina remota qualquer e fazer a transferencia de arquivos. Para conectar a uma maquina remota: #ssh zago@200.200.200.200 onde zago é um usuario já cadastrado e 200.200.200.200 é o IP de uma maquina conectada na internet, por exemmplo compartilhando speedy. Após a conexão com esta maquina que está com IP válido e de cara para a internet, posso a partir do prompt dela dar outro ssh para um IP reservado do tipo 192.168.1.10 que está atraz desta maquina e para isto basta que também nesta maquina tenha o servidor de ssh rodando, usuario criado e o firewall permitindo isso. por exemplo $ssh zago@200.200.200.200 vou conectar a uma maquina na internet e a partir do prompt desta maquina $ssh zago@192.168.1.10 vou me conectar a maquina que está atráz de 200.200.200.200 onde esse 192.168.1.10 é um IP reservado dentro de uma rede remota que está atraz de 200.200.200.200, onde acabei da fazer a conexão e o usuario zago também já cadastrado, assim vou me conectar a esta maquina. Para completar estas conexões o usuario tem que estar cadastrado em todas as maquinas, como também o ssh server estar rodando em todas, para as conexões completarem rápidamente, coloque o IP da origem de cada maquina no host. O usuario zago e IP citados acima são exemplos, troque para o seu verdadeiro. Para encerrar uma conexão por ssh digite exit, tantos quantos forem os users ou conexões, em casos de extremos também funciona +c. Também pode acessar estações windows na rede remota, embora o windows não tenha o servidor ssh e não seja possivel a conexão direta. Pra isto a maquina windows precisa compartilhar o diretório, faça uma conexão por ssh pra uma maquina da rede e a partir desta maquina poderá montar o compartilhamento, assim poderá copiar, apagar, mover e editar arquivos, não poderá executar como se faz no Linux, pra montar um compartilhamento windows, veja no FAQ smbmount.txt que está em: http://www.zago.eti.br/samba/smbmount.txt Login root Algumas distros na configuração default permite login de root, como exemplo o Debian (Sarge), outras vem com este recurso bloqueado, como exemplo o CL10. Na instalação padrão do CL10 não é permitido login do root diretamente, mas quando precisar fazer algo como root, efetue login como usuario comum e depois digite "su -" e a senha do root para se tornar root. Ou se preferir, pode liberar login de root diretamente não é recomendavél, mas é possivel alterando em: /etc/ssh/sshd_config altere a linha PermitRootLogin no para PermitRootLogin yes Tem várias opções de uso e cofiguração do SSH, mas fica muito extenso explicar aqui. COMO REMOVER E REINSTALAR O SSH rpm -qf `which ssh` | rpm -e rpm -qf `which sshd` | rpm -e rm -rf /etc/ssh mount /mnt/cdrom cd /mnt/cdrom/.../RPMS rpm -Uivh openssh-serv* rpm -Uivh openssh-clie* service sshd restart cds ./sshd restart ssh zago@192.168.1.1 Quando não tem outra maquina para testar pode usar a própria maquina, um IP de fora seria melhor. Substitua zago por um user criado na sua maquina e 192.168.1.1 pelo IP da sua maquina, é isto mesmo você vai conectar na própria maquina por ssh. na primeira vez responda yes por extenso e pronto chave nova e instalação padrão Ok. Ocorrendo erros de conexão revise o seu firewall e Verifique o seu /etc/hosts.deny Para saber qual maquina esta conectada em seu micro use a variavel de ambiente $SSH_CLIENT. Quando tentar conexão com maquina que tenha o mesmo IP que já foi utilizado em conexão anterior, receberá um aviso que existe alguém interceptando a conexão, que é um ataque ou violação, esta mensagem também ocorre em caso de ataque, portanto tem duas possibilidades, um real ataque ou a maquina destino não é mais a mesma utilizada em conexão anterior com este IP, isto ocorre porque mudou a chave, como não é possivel saber a causa, por segurança recusa a conexão. Tendo certeza que não se trata de sniffer na rede ou ataque e que é provavel a troca de IP ou instalação então edite o arquivo, .ssh/known_hosts que fica no home do usuário e remova a entrada deste IP (chave velha), neste arquivo procure pelaa linha com o IP remoto que causou o problema e apague-o, ou remova o diretorio todo, depois faça a conexão que vai recriar as chaves, vai recriar como sendo a primeira conexão com esta maquina, veja o exemplo, primeiro remove o .ssh e depois conecta por ssh: [zago@zago zago]$ rm -rf ~/.ssh [zago@zago zago]$ ssh zago@192.168.1.1 The authenticity of host '192.168.1.1 (192.168.1.1)' can't be established. DSA key fingerprint is 32:57:2a:2b:e6:1b:da:b2:33:fe:88:2f:33:cd:b1:91. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.1.1' (DSA) to the list of known hosts. zago@192.168.1.1's password: Last login: Thu Jul 18 13:22:19 2002 from 192.168.1.53 [zago@faqcl10 zago]$ PERSONALIZAR LOGIN POR SSH coloque no arquivo ssh.conf: flag Banner = /etc/issue.net ou Banner /etc/issue.net quando o usuário efetuar login será exibido está figura. vejas os arquivos de configuração em /etc/ssh/ e man ssh.conf DEBUG - LOG Quando tiver problemas com o ssh você pode iniciar o servidor em modo debug (ssh -d) e conectar com o cliente, provavelmente o servidor vai exibir as mensagens de erros, tais como permissões e etc... Firewall, rotas servidor sshd parado e parametros de configuração pode impedir de completar a conexão, uma boa maneira de testar é fazer a conexão na própria maquina, em um terminal do próprio servidor ssh voce executa: ssh login_usuário_válido@localhost ssh login_usuário_válido@ip_da-proprialocalhost Caso consiga conexão na própria maquina e quando conexões de fora falha, pode verificar no firewall que o problema está por lá, pra testar desative o firewall e tente a conexão, funcionou, então já sabe onde mexer. Quando o ssh server está rodando e não consegue conexão nem localmente, desativou firewall e ainda não consegue, está tentando como user normal e ainda não consegue, então verique as configurações de rede se está com a placa configurada e outros serviços de rede funcionando, confira o IP da maquina, edite e confira se está usando o mesmo IP nos arquivos: /etc/hosts /etc/sysconfig/network-scripts/ifcfg-eth0 Este erro é comum e afeta também outros serviços, algumas ferramentas ou quando altera o IP editando os arquivos manualmente, pode ocorrer de ficar com IP diferentes nos arquivos indicados acima e alguns serviços de rede podem não funcionar corretamente, um deles é não completar a conexão via ssh. Antonio Francisco Zago zagolinux@uol.com.br ******************************************************************************** Programa para acessar SSH e transferencia de arquivos. No site do ssh, existe um cliente Windows. Verifique se existe algo em http://www.ssh.com/products/security/secureshellwinserver/ ****************************************************************** Recuperando uma sessão SSH Tutorial com script, pode sair de uma conexão e voltar de onde parou, utilizando o screen. http://www.piterpunk.hpg.ig.com.br/artigos/screen.html ****************************************************************** > Ola lista consegui compilar e instalar o SSH, mas estou tendo um problema > ao iniciar o servico no boot o mesmo da uma mensagem de erro e diz que nao > encontrou o arquivo /usr/local/etc/ssh_host_key e > /usr/local/etc/ssh_host_dsa_key ??? Alguem sabe me dizer que diabos sao > estes arquivos e como cria-lo ?? ssh-keygen -f /etc/local/etc/ssh_host_key -N '' ssh-keygen -d -f /etc/local/etc/ssh_dsa_host_key -N '' Estes parâmetros são para o openssh, provavelmente funcione para o ssh também. ****************************************************************** Pelo que eu sei o impacto é o mesmo visto que a diferença entre o telnet e o ssh é a criptografia ou seja, no ssh tudo que passa na rede é criptografado e no telnet passa como clear text, no ssh é mais dificil de enxergar os dados que trafegam (mas não é impossível) e no telnet qualquer sniffer pega os dados!!! Voltando, se sua conexão de ssh ficar aberta é a mesma coisa que o telnet pois a pessoal mal intencionada pode tentar fazer um ataque por brute force (tentar se logar no sistema como root) apenas tentando colocar a senha (pois todo unix tem o root, e adivinha com qual usuário a pessoa mal intencionada vai tentar se logar primeiro). Resumindo seja telnet ou ssh sua porta vai estar aberta para ataques de força bruta. O que te aconselho é colocar uma ótima senha para o root e seus usuários tipo : stuka82!#. Se em algum ponto eu estiver errado, a galera que me corriga ou enriqueça a explicação!!! Subject: (linux-br) Impacto do SSH > Tenho um servidor linux que pode ser contactado via SSH. Pergunto: Qual > o impacto de eu deixar o SSH para aceitar conexões de qualquer IP??? É > que eu vou precisar me conectar à esta máquina de vários provedores e > locais e não tem como eu travar o acesso por IP... ****************************************************************** > o impacto de eu deixar o SSH para aceitar conexões de qualquer IP??? > ... > SSH? Tem algum problema em potencial? > Dependendo da versão do SSH e do tipo de compilação que você usar, não existem problemas... Utilizamos o SSH em minha empresa e nunca tivemos nenhuma dor de cabeça com o mesmo. Recomendo a utilização do ssh2. Existem, é lógico, alguns procedimentos a serem usados com o SSH para aumentar a segurança do mesmo... por exemplo: arquivo: sshd_config #Não utilize na porta padrão #Coloque na porta que você desejar Port 33022 #Não permita o login de root #Crie um usuário e dê permissões para ele no suauth ou sudoers PermitRootLogin no #Não permita o uso de senhas em branco PermitEmptyPasswords no #Limite para 1 as tentativas de digitar senhas PasswordGuesses 1 Acho que por enquanto é só... Qualquer coisa é só "gritar" :) ****************************************************************** Coonexões com SSH Ainda sobre o SSH, como fazer uma conexão utilizando o SSH? No Linux, basta utilizar o comando 'ssh'ao invés de telnet. A conexão já será com criptografia. No Windows, a coisa é um pouco mais complicada, pois depende do programa que você estiver utilizando. No caso do TeraTerm, por exemplo, é necessário utilizar uma biblioteca adicional que você encontra no endereço http://www.zip.com.au/~roca/ttssh.html Para utilizar o ssh no Teraterm, é necessário baixar o arquivo disponível na página e descomprimí-lo no diretório do Teraterm. Feito isso, execute o TTSSH.EXE (ao invés do Teraterm.exe). ****************************************************************** buenas, o q tu pode fazer ew fechar as tentativas de conexcoes externas para o root. isso dificulta muito o acesso a pessoas mal intensionadas, pois o cara nao vai conseguir logar como root por um terminal remoto, tipo telnet ou ssh... edita o /etc/securitetyy e coloca os ttys q tu quer q o root possa acessar. geralmente ele ja vem pre configurado, tipo: tty1 tyy2 ttyX eu uso do tty1 ate o tty12 pq gosto de ter varios shells ao mesmo tempo. todos os outros terminais q nao estiverem listados neste arquivo serao recusados de aceitar conxcoes como root. me alonguei demais ou entendeu legal ? ***************************************************************************** > Subject: (linux-br) Impacto do SSH > Se em algum ponto eu estiver errado, a galera que me corriga ou > enriqueça a explicação!!! O SSH permite várias configurações adicionais que o TELNET não possibilita, além da criptografia é claro. Para aumentar a segurança, edite o arquivo /etc/sshd_config da seguinte forma: PermitRootLogin no AllowUsers fulano Desta forma vc proíbe o acesso remoto como root e apenas o usuário fulano poderá conectar-se. Defina uma senha "forte" p/ o usuário fulano. Se vc tiver uma conexão permanente (IP fixo) pode ainda definir o(s) IP(s) a partir dos quais é permitida a conexão: AllowHosts 123.456.789.012 Monitore os arquivos de log, se o seu syslogd estiver corretamente configurado todas as conexão (bem ou mal sucedidas) ficarão registradas no /var/log/messages. E use sudo para executar comandos de administração ao invés de fazer su p/ o root. ***************************************************************************** > como conectar maquinas com o ssh sem que toda vez tenha que botar semha Repita a seguinte procedimento em cada uma das maquinas: ssh-keygen (nao entre com passphrase - apenas pressione Enter 2x) copie o arquivo recem-criado .ssh/identity.pub para as outras maquinas. nas outras maquinas, faca cat .ssh/identity.pub >> .ssh/authorized_keys ******************************************************************************* Alguém utiliza algum programa para acessar o linux via ssh? Eu utilizo o putty ( http://www.chiark.greenend.org.uk/~sgtatham/putty/ ) É de graça e tem os fontes para download, ele é compatível com ssh versão 1.* e 2.* Não esqueça de instalar e configurar o seu servidor ssh no linux, pegue os últimos updates aqui: http://www.ssh.com/ ******************************************************************************* > Alguem tem um tutorial (ou qualquer coisa parecida) para implantar o ssh > para conexoes seguras via telnet no Linux? No servidor e no client: installpkg openssl.tgz installpkg openssh.tgz Pronto. Ah! ssh != telnet. Para você logar no servidor faça: # ssh servidor para logar com um usuário diferente # ssh -l usuario servidor Se aparecer uma pergunta que termine com ? Eh para responder yes por extenso e não apenas y. Falous, Piter PUNK ******************************************************************************** > Gerei o par de chaves atraves do aplicativo ssh-keygen. Li em um manual > que deve-se copiar a chave identity.pub (localizada em /user/.ssh) para cada > host remoto que você quiser acessar, se eu já gerei de dentro da máquina que > eu quero acessar então eu só preciso criar uma cópia desse arquivo com o > nome authorized_keys? O par de chaves quem gera é o servidor que vai receber as conexões. Quando alguém acessa este servidor, ele vai apresentar sua chave pública, e o cliente pode armazenar se quiser. Normalmente o ssh cliente está programado para aceitar uma chave pública nova, e para colocar um aviso bem grande caso, em outro acesso, a chave mude. Existem dois locais onde as chaves conhecidas podem ser armazenadas. Uma é o "molho de chaves" (keyring) do sistema, em /etc/ssh_known_hosts (ou em /etc/ssg/ssh_known_hosts dependendo da configuração). As chaves nesse keyring só entram por adição manual. Cada usuário pode ter sua keyring em ~/.ssh/known_hosts. As chaves nessa keyring podem ser adicionadas automaticamente ao se fazer um acesso a um host que não se encontra a chave no keyring do sistema. O ssh pode também ser configurado para não aceitar chaves novas automaticamente, neste caso, para permitir o acrescimo da chave na keyring pessoal é preciso usar o parâmetro "-o strickhostkeychecking=no". Até aqui estamos falando de chaves dos servidores. O usuário também pode ter seu par de chaves privativa e pública. Quando um usuário tem uma chave pública e esta é copiada para o ~/.ssh/authorized_keys do host que ele quer acessar, então o ssh+sshd podem fazer a autenticação de acesso, podendo com isso dispensar o uso da password de acesso normal no sistema (se a configuração do sshd permitir, o default é permitir). Quando criamos um par de chaves (pública+privada) o ssh-keygen pede uma passfrase. A "passfrase" é uma senha que é usada para criptografar a chave privativa. Se não colocarmos nada (ou for usado o parâmetro "-N ''") então a chave privativa não é criptografada. Com isso podemos acessar outra máquina sem a necessidade de digitar a passfrase, pois o ssh cliente tem acesso a chave privativa e pode se autenticar com o sshd, que tem a chave pública em authorized_keys. Caso a chave seja gerada com passfrase, então o ssh cliente pede a passfrase e decritografa a chave privativa, que é então usada para acessar outra máquina, sem precisar da senha naquela máquina. A vantagem deste sistema é que a chave privativa não pode ser acessada facilmente, e o processo de autenticação é local, e muito mais forte do que a senha no servidor, pois não há limite para o tamanho da passfrase que criptografa a chave privativa, e as chaves em sí tem 1024 bits (e podem ser configurado para ter mais, como 4096 bits). É possível criptografar e decriptografar a chave privativa com: ssh-keygen -p # para colocar uma nova passfrase ssh-keygen -p -N '' # pede para colocar passfrase nula, # isto é, sem passfrase Com uma boa passfrase é possível guardar a chave privativa em outra mídia, que mesmo sendo roubada, não será facil de ser quebrada. Também é possível no início do dia retirar o passfrase, trabalhar sem a amolação de digitar senhas, e finalizar o dia recriptografando a chave privativa. As chaves dos servidores são criadas sem passfrase, pois assim o sshd pode iniciar automaticamente, senão a cada boot o sshd vai pedir a passfrase. > Estou querendo acessar o meu linux por um Win98, estou usando o putty.exe. > Vocês me recomendam outro client? Neste caso basta acessar, no primeiro acesso o putty vai perguntar se quer acrescentar a chave, e depois não pergunta mais. Não recomendo o uso de chaves sem senha + authorized_keys em ambiente Win9x, por razões óbivias... ;) Conheça também o TeraTerm (procure no google.com, acha fácil), pois ele pode ser configurado para fazer "port forward" via link criptografado e compactado. ******************************************************************************** > Quero usar openssh para conectrar maquinas remotamente e executar o > StarOffice que está instalado no meu servidor. > O problema é que eu não sei como fazer isso, NÃO Sei nada. > Alaguem pode me indicar um tutorial passo a passo em portugues para fazer > isso? Antes de mais nada, tem que estar com o ssh funcionando (hehehe), na máquina cliente, depois que abrir o X abra um terminal e dê o comando 'xhost +' e depois é só dar um 'ssh usuario@servidor' e rodar o staroffice que está lá. Se você ainda assim tiver problemas, se usar o csh use o comando 'setenv DISPLAY cliente:0.0' no servidor para direcionar a imagem do StarOffice para o seu cliente. Onde eu escrevi usuario voce substitui pelo usuario que tiver o StarOffice instalado, onde coloquei servidor voce poe o nome da maquina servidor ou o IP, e analogo ao cliente. Se ainda assim nao funcionar... bem... acho que no meu caso eu iria começar a rezar pra meca para ver se cai alguma ajuda do céu. :) Brincadeira, se não funcionar, dá uma lida nos how-to's e dá uma procurada pela net. ******************************************************************************** No arquivo $HOME/.ssh/rc você pode colocar um script que é ativado quando você entra na conta $HOME através do ssh. Exemplo: $ more .ssh/rc echo "ativou via ssh" Isto faz com que a string "ativou via ssh" apareça ao entrar via ssh. Veja "man ssh". ******************************************************************************** Olá! Eu havia perguntando sobre executar comando após um determinado usuário se logar no servidor por ssh ou ftp. Sobre o ssh já consegui, pra quem quizer aproveitar a dica... Dentro do diretório HOME de casa usuário, caso não tenha, crie um diretório .ssh e dentro dele crie um arquivo chamado rc Neste arquivo, coloque o que deseje ser executado após o usuário se logar no computador por ssh. Fácil!! Também funciona se colocar um link do ~/.ssh/rc pro ~/.bash_profile Valeu a todos [[]]'s Clovis UIN 2870766 WebMaster wrote: > Toda a vez quando eu dou um telnet no meu computador sei que ele > executa o .bash_profile, então se quero que seja executado algo, logo > após eu me logar eu coloco neste aqui e vem funcionando perfeitamente. > Agora se eu logo por ftp ou ssh ele não executa os comando que coloco > no .bash_profile no diretório de cada usuário. > Será que é possível fazer com o ssh e ftp isso? Existe algum arquivo > que ele é lido após ser o usuário ser logado no computador por ssh e ftp? > Meu linux, Conectiva 5.1 Servidor. ******************************************************************************** EXECUÇÃO REMOTA DO X Gostei da dica e estou repassando para constar no histórico: "Use ssh -n to run an X program from one computer on another. For example, ssh -n frodo gimp & will run the GIMP on the host frodo, but display locally. Using ssh for this is much easier and more secure than setting it up in X manually." (Linux Journal Newsletter) ******************************************************************************** Agora, quando eu preciso copiar arquivos de um servidor remoto linux para a minha máquina ms-windows, ou vice-versa, via SSh, eu uso o PSCP (da família do Putty)...O problema é que ele é todo via prompt ******************************************************************************** De uma olhada em http://www2.wiwi.uni-marburg.de/~leich/soft/secpanel/ > Olá pessoal , eu estou precisando de um gerenciador de conexão para o ssh , > preciso que ele possa salvar os hosts as portas e as senhas , assim como o > secureCRT , alguem conhece algum que tenha estas funções ?? *********************************************************************** De: SirHamacker Para: Carlos A Silva Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Client SSH For Windows98 Freeee !!! Qual o melhor??? (XL) Data: 24 Jun 2002 11:22:28 -0300 Usando o putty, a configuracao seria : Terminal : Backspace Key = Ctrl-? (127) Home e End keys = standard Function keys and keypad = Linux Window : 25 rows Window|Apperance|Font Terminal tamanho 14 Window|Character set = CP437 Um único problema que encontrei no Putty, e parece um BUG, é que quanto o putty é usando juntamente com qualquer outro programa windows (Office por exemplo) e dentro do outro aplicativo win voce abre uma janela de dialogo (abrir arquivo ou salvar arquivo como...) os caracteres do putty sao automaticamente mudados de Terminal para Arial sem nenhum motivo aparente. Isso ocorre com qualquer aplicativo que abre uma janela de dialogo, tenho aqui uns 50 terminais putty e em todos que possuem Win95 o problema ocorre, já nos Win98 ou superior nao costatei o problema. ate+ *********** REPLY SEPARATOR *********** On 21/06/2002 at 14:33 Carlos A Silva wrote: >Tenho tido problemas com o PuTTy.Exe com relação às FONTES de Vídeo...Em >Estações WindowsXP funciona OK, porém, em Estações Windows98, os caracteres >emulados, de molduras, cantos de menus, acentuação, chegam totalmente >detonados!!!! *********************************************************************** De: Eduardo Sato Responder-a: dusato@ieg.com.br Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RE: Acesso remoto ao Linux via SSH Data: 14 Jul 2002 14:29:55 +0000 Fabiano, Se em /etc/hosts.deny você encontrar All: All Coloque em /etc/hosts.allow sshd: numero.do.ip.que.voc=EA.deseja.conectar para habilitar a conexão do ip que você deseja Cheque também o iptables e o ipchains Dú http://www.ieg.com.br *********************************************************************** De: SirHamacker Para: Carlos A Silva Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Parâmetro no SAMBA p/ Arquivos Cli ipper ??? (XL) Data: 09 Aug 2002 13:07:35 -0300 comentando... *********** REPLY SEPARATOR *********** On 09/08/2002 at 12:01 Carlos A Silva wrote: >Só uma curiosidade: Samba com DosEmu+SSh (putty) nem pensar né?? Nao. ou só o samba ou só ssh. Eu aconselho todos acessar seu sistema em clipper com o ssh. assim o consumo de memoria, overhead no servidor, performance,... pulam todos para o lado servidor. Tem ssh para windows, dos, linux,... e onde ouver tcp/ip até de conexao discada dá certo. O chato é que alguns aplicativos precisam ter suas teclas remapeadas, principalmente aqueles ALT+F[n], pois no terminal SSH essas teclas ficam mortas. Dá até para re-ativalas mas realmente eu não sei como. ate+ >Ou seja, o DosEmu detona os indices abertos pelo Samba, é isso?? > *********************************************************************** De: Jean Everson Martina Para: Jorge Antônio Macedo de Mello - DATAPREVES Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Compartilhamento de fita DAT x SSH Data: 01 Sep 2002 17:51:59 -0300 > Alguem tem um passo-a-passo para utilizaçao de uma fita dat em uma maquina > remota. > Quero ler os arquivos na maquina1 via tar e gravar na fita dat de outra > maquina2 que dispõe de fita e não tem espaço em disco para que eu transfira > os arquivos. tar cf - /arquivosqueeuqueronobackup | ssh maquinaremota "dd of=/dev/st0" -- Abracos, *********************************************************************** De: Piter Punk Para: Fernando Tauscheck Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Servidor X! Data: 06 Sep 2002 12:42:46 -0300 Fernando Tauscheck wrote: Boa Noite Lista... seguinte... Consigo colocar para rodar nas máquinas o OpenOffice.org direto do servidor?! Lí que a Conectiva prometia fazer isso para o FUST... mas nunca vi funcionando... Pode sim. Uma idéia de como fazer: ssh -X -C ${USER}@servidor /opt/OpenOffice/program/swriter Pronto -:) Falous, Piter PUNK PS> Um ssh-agent, chaves RSA/DSA, scripts, etc... ajudam a deixar o sistema mais transparente ao usuário... -- *********************************************************************** De: Informatica Para: Linux-BR Assunto: Re: (linux-br) Autenticação SSh lenta no Conectiva 8 !!! (XL) Data: 27 Sep 2002 08:25:40 -0300 Se voce nao tem um dns por ai, experimenta tambem editar o /etc/nsswitch.conf e deixar a resolucao de nomes apenas como files ( ou nis se usar nis por ai ), aqui so melhorou o tempo de resposta da autenticacao do ldap e nfs depois que coloquei as maquinas no /etc/hosts e mudei o /etc/nsswitch.conf para o linux parar de procurar um dns ue nao tenho. Josinei acessar de forma remota, usando SSh, a autenticação do usuário é SUPER DEMORADA no Conectiva 8 (versão 030702), em relação às versões anteriores e outras distribuições...Alguém sabe por que ????? Isso parece problema de resolução de nomes. Verifique se o seu /etc/hosts contem os ip=>nome_do_host das máquinas envolvidas. *********************************************************************** De: Andreas Hasenack Para: Antonio F. Zago Cc: paulo , linux-br Assunto: Re: (linux-br) ROOT sem Permissao no SSH, FTP e MAIL Data: 08 Oct 2002 15:07:03 -0300 Em Mon, Oct 07, 2002 at 07:31:49PM -0300, Antonio F. Zago escreveu: > Na istalação o SSH por default vem configurado para não permitir login Por incrível que pareça, a instalação default do openssh original (que vem do site www.openssh.org) permite o login do root sim. No nosso caso, nós é que desativamos isso no pacote. De cabeça, lembro ainda que o debian permite o login do root direto via ssh por padrão, mas eles provavelmente estão apenas seguindo com o arquivo default que vem do pessoal do openssh. *********************************************************************** De: Wiliam de Moraes Rodrigues Para: Linux-BR Assunto: Re: (linux-br) [SSH] Termino automatico de conexao ociosa Data: 12 Nov 2002 14:45:10 -0200 > Gostaria que uma determinada conexão SSH fosse automaticamente > encerrada, caso um determinado tempo de inatividade seja alcançado. > Existe alguma conf. do SSH com este fim ? Giberto, Acho que isso que você estava procurando... IdleTimeout time - time in minutes/hours/days/etc, forces a logout by SIGHUP'ing the process Abraço, Wiliam. *********************************************************************** De: Humberto L Jucá Responder-a: ginux-l@comp.ufla.br Para: ginux-l@comp.ufla.br Assunto: [ginux-l] Re: Bloqueio Data: 30 Oct 2002 23:04:12 -0400 Em Qua, 2002-10-30 às 19:55, Vilson escreveu: > Liberei acesso ftp a alguns usuarios, porem agora verifiquei que estes usuarios > se conectarem pelo ssh o linux ira permitir a sua entrada no servidor, como faço > para bloquear o acesso pelo ssh e permitir somente via ftp para as pastas autorizadas > quando mudo o shell para /bin/false nao da acesso a nenhum dos 2. > > Vilson Para acesso ssh Edite /etc/ssh/sshd_config e adicione quais usuários poderão acessar o servidor: AllowUsers usu_x usu_y usu_z e/ou - em /etc/hosts.deny sshd: ALL EXCEPT localhost - em /etc/hosts.allow sshd: *********************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: supmino , linux Assunto: Re: (linux-br) Programa para acessar SSH e trans. arq. Data: 30 Oct 2002 10:27:16 -0200 /* Para acessar o modo texto do Linux eu utilizo o programa PUTTY(WIN). Existe algum outro programa que possa transferir arquivo e acessar o modo texto? */ O próprio PuTtY vem com o pscp que é a versão DOS do scp do Linux... Da uma olhada e veja se gosta.. Em tempo, o formato do comando pscp é MUITO parecido com o scp, vale a pena. - Marcus Lima. *********************************************************************** De: Anderson Araújo Para: ricardostock@bol.com.br, linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) exportar o x Data: 11 Dec 2002 07:40:24 -0200 Hehehe, creio que você tenha que startar o X primeiro na maquina cliente, e os programas chamados que vão ser exportados para lá. Aqui faço assim, na maquina local acesso a maquina server via ssh, já com o X ligado, e dou um xhost +xxx.xxx.xxx.xxx, depois um export DISPLAY=xxx.xxx.xxx.xxx:0 e depois chamo o kde ou o que queira, startkde. Sds, Anderson ----- Original Message ----- Quando fui exportar o X da maquina, via ssh fiz da seguinte forma. na maquina local xhost xxx.xxx.xxx.xxx (ip da maquina servidora) na maquina remota export DISPLAY=xxx.xxx.xxx.xxx:0.0 (ip da maquina local, no ponto 0.0 ou centro da tela ) Quando dei um startx. o X subiu na maqujna servidora, mas quero que suba na minha, alguma dica *********************************************************************** De: Carlos Roberto Schimidt Para: Roberto Bastos , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) SSH Data: 19 Jan 2003 14:09:59 -0300 Crie o usuário utilizando rsh (restrict shell), que impede que o usuário executar o comando cd, além de outras proteções que podem ser customizadas. Carlos R. Schimidt -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br]Em nome de Roberto Bastos Enviada em: domingo, 19 de janeiro de 2003 07:16 Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) SSH Olá, Alguém sabe me dizer como faço para que um usuário utilizando ssh só consiga ver sua pasta home? Obrigado De: Thiago Macieira Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) RES: (linux-br) SSH Data: 19 Jan 2003 12:02:03 +0100 Marcus Lima wrote: >> Alguém sabe me dizer como faço para que um usuário >> utilizando ssh só consiga ver sua pasta home? > >Trocando as permissões das pastas acima da dele. Assim ele não vai conseguir >sair do seu diretório por falta de direitos. Mas lembre-se que ele precisa chegar no seu diretório, então ele precisa necessariamente de direitos de transferência no / e no /home (o+x). Sem isso, o login falha. O jeito mais fácil é utilizar o shell no modo restrito. Tanto o bash como o zsh suportam isso. Não sei quanto aos outros. Consulte os manuais do seu shell para ver como ativar o modo restrito. De: Jorge Godoy Para: marcuslima@marcuslima.eti.br Cc: Roberto Bastos , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) RES: (linux-br) SSH Data: 19 Jan 2003 08:55:54 -0200 "Marcus Lima" writes: > Trocando as permissões das pastas acima da dele. Assim ele não vai > conseguir sair do seu diretório por falta de direitos. Isso não é verdade dependendo de onde ele está... Ele não conseguirá agir no diretório acima. Vamos a um teste: [godoy@wintermute ~]$ cd tempo [godoy@wintermute ~/tempo]$ ls [godoy@wintermute ~/tempo]$ mkdir um [godoy@wintermute ~/tempo]$ mkdir um/dois [godoy@wintermute ~/tempo]$ chmod 000 um [godoy@wintermute ~/tempo]$ cd um/dois cd: permission denied: um/dois [godoy@wintermute ~/tempo]$ chmod 777 um [godoy@wintermute ~/tempo]$ cd um/dois [godoy@wintermute ~/tempo/um/dois]$ chmod 000 .. [godoy@wintermute ~/tempo/um/dois]$ cd ~/tempo [godoy@wintermute ~/tempo]$ cd - cd: permission denied: /home/godoy/tempo/um/dois [godoy@wintermute ~/tempo]$ Isso é válido para qualquer árvore. Se você tiver que passar por um ponto, e não tiver permissões naquele ponto, não conseguirá, mas poderá acessar todo o restante que não passe por ali. Sds, -- Godoy. *********************************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Carlos Roberto Schimidt , Roberto Bastos , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) RES: (linux-br) SSH Data: 19 Jan 2003 21:04:12 -0200 > Crie o usuário utilizando rsh (restrict shell), que impede que o usuário > executar o comando cd, além de outras proteções que podem ser customizadas. Vale lembrar que o rsh não é criptografado e caso você precise de segurança ele não serve. Gudiluqui, - Marcus Lima. *********************************************************************** De: Carlos Tadeu de Souza Barretto Para: marcuslima@marcuslima.eti.br, Carlos Roberto Schimidt , Roberto Bastos , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) RES: (linux-br) RES: (linux-br) RES: (linux-br) SSH Data: 21 Jan 2003 10:08:51 -0200 No Linux tem o Restrict Bash. Para funcionar, você tem duas maneiras: 1) Criar um Link de nome rbash apontando para o /bin/bash (e aí já entra no modo Restrictive Shell 2) Acionando o Bash da seguinte forma: bash -r ----------------------------------------- Carlos Tadeu de Souza Barretto mailto: tadeu@cnpq.br ------------------------------------------------------------------ Em Seg 20 Jan 2003 10:33, Marcus Lima escreveu: > > Entrentado em distribuições de > > Unix como HP-UX e Solaris o restrict shell é /usr/lib/rsh enquanto que o > > remote shell é /usr/bin/rsh. > > Beleza, agora é só descobrir se existe o rsh (do UNIX) para linux. > > Obrigado pela dica, > *********************************************************************** De: Carlos Roberto Schimidt Para: Jefferson Dümes , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) RES: SSH (/etc/security) Data: 23 Jan 2003 12:29:44 -0300 Não precisa nem ir ao ponto desse arquivo /etc/security. Raciocine que você está criando um usuário e vai definir o rbash pra ele. JAMAIS você deve configurar a variável PATH no .profile desse usuário permitindo por exemplo acesso ao diretório /bin, senão acontece o que você comentou, a falha de segurança está em deixar /bin no path, que aí não só digitando bash, mas qquer outro shell ou comando embaixo do /bin será permitido. Deve configurar a variável PATH com algo do tipo /usr/local/bin por exemplo, porque devido ao conceito de restrict shell, o usuário não vai conseguir executar um comando com caminho absoluto, por exemplo, não vai ser permitido digitar /bin/bash. Carlos R. Schimidt -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br]Em nome de Jefferson Dümes Enviada em: quarta-feira, 22 de janeiro de 2003 20:11 Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: SSH (/etc/security) Gostei disso... me dê mais detalhes. (Como customizar ????) É que eu tentei usar isso uma vez apenas criando um usuario e colocando seu shell para /bin/rbash, mas digitando bash essa "segurança" sumia. Aí eu não tentei mais. *********************************************************************** De: Carlos Roberto Schimidt Para: Jackson , Linux-br Assunto: (linux-br) RES: (linux-br) acesso ssh Data: 31 Jan 2003 21:55:52 -0300 Sim, é possível, configure como shel do usuário o shell rbash, que é um "bash restrict shell". O conceito de restrict shell não permite usar o comando cd e nem executar comandos com caminho absoluto. Porém coloque o arquivo de profile do usuário como o proprietário sendo o root, e defina a variável PATH apenas para permitir comandos básicos ou os que colocar no /usr/local/bin, pois caso contrário o usuário consegue executar um outro shell e as restrições acabam. Sds Carlos Roberto Schimidt -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br]Em nome de Jackson Enviada em: sexta-feira, 31 de janeiro de 2003 18:46 Para: Linux-br Assunto: (linux-br) acesso ssh Ola gostaria de saber , se poderia ser limitado o acesso atraves do ssh, para o usuário ficar delimitado apenas a região da sua pasta /home/usuario, não tendo acesso a nada atras tipo usr / bin mnt e tal. valeu *********************************************************************** De: Carlos Roberto Schimidt Para: Leonardo J. Tramontina , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) SSH - Passos para utilizar o restrict shell (rbash) Data: 07 Feb 2003 00:46:01 -0300 Passos: - Copiar o /bin/bash para /bin/rbash - Alterar no /etc/passwd para utilizar o /bin/rbash: usuario:x:500:500:Usuario de ssh:/home/usuario:/bin/rbash - Editar o /home/usuario/.bash_profile e configurar a variável de ambiente PATH para JAMAIS conter caminhos que não queira que o usuário execute o comando, por exemplo, não deixe o /bin no PATH senão ele executa o /bin/bash e sai da restrição - Modifique as permissões do /home/usuario/.bash_profile e propriedade conforme a seguir: [root@host1 /bin]# chmod 755 /home/usuario/.bash_profile [root@host1 /bin]# chown root:root /home/usuario/.bash_profile Após um teste como sendo o usuário [root@host1 /bin]# su - usuario Se tentar mudar de diretório recebe msg de erro, portanto com restrict shell não é possível mudar de diretório: [root@host1 /bin]# cd / bash: cd: restricted Se tentar executar um comando indicando o caminho absoluto recebe erro: [root@host1 /bin]# /bin/bash bash: /bin/bash: restricted: cannot specify `/' in command names [root@host1 /bin]# Para acessar arquivos contidos em subdiretórios utilize o caminho relativo e não absoluto. Para maiores informações, man bash, ESC G (vai pro final do arquivo), utilize a tecla b umas 3 vezes e encontrará explicações sobre o RESTRICT SHELL Sds Carlos Roberto Schimidt Pessoal, Sei que por essa semana rolou por aqui uma pergunta sobre como barrar o usuário no seu diretorio home, quando ele se conecta via SSH. Só que não foi respondido aqui pra lista... eu esperava ansioso por isso! Por isso, peço que se alguém tenha como fazer, por favor me envie. Já vou adiantando que tb já fiz o seguite, mas nao funcionou (pois o usuário fica barrado em sua home, não conseguindo nem mesmo acessar subdiretorios e muito menos fazer sftp): - Copiar o /bin/bash para /bin/rbash - Alterar o no arquivo /etc/passwd o path do usuario No aguardo, Leonardo *********************************************************************** De: André Muraro Para: Leonardo J. Tramontina , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) SSH Data: 07 Feb 2003 00:35:34 -0200 Leonardo... Para fazer o sftp é simples, descomente a linha do arquivo /etc/ssh/sshd_config. (caso você queira que o usuário tenha acesso). #Subsystem sftp /usr/libexec/sftp-server Agora para barrar, já são outros 500....desculpe não poder ajudá-lo mais... Abraços André Muraro Linux User # 226885 From: "Leonardo J. Tramontina" To: Sent: Thursday, February 06, 2003 5:21 PM Subject: (linux-br) SSH > Pessoal, > > Sei que por essa semana rolou por aqui uma pergunta sobre como barrar o > usuário no seu diretorio home, quando ele se conecta via SSH. Só que não foi > respondido aqui pra lista... eu esperava ansioso por isso! Por isso, peço *********************************************************************** De: Antonio F. Zago Para: JuNiOr Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Conectar remotamente via ssh.... Data: 21 Feb 2003 22:22:55 -0300 Em Qui, 2003-02-20 às 14:44, JuNiOr escreveu: > Ola pessoal... > > Estou com o seguinte problema: > > Tenho um computador com Conectiva Lunix 7, este micro é > utilizado na minha rede como roteador de internet com o > IPCHAINS, e ele utiliza IP Dinamico e cable Modem Virtua. > > Li em um site que existe uma maneira de que toda vez que o > micro trocar o ip da eth0 (seja reiniciando ou pela propria > NET) um servidor DHCP me informa o novo IP, alguem sabe como > é feito este procedimento? > Pois tenho que me conectar a este computador remotamente via > ssh e sempre que ele é reiniciado o ip da eth0 muda. Olá Junior Serve "Gambi" Tenho um cliente com IP dinamico e a sulução que uso para pegar o IP é pedir para alguém da rede dêle entrar no meu site (eu passo o IP do meu micro e um arquivo) e fico monitorando meu apache com: tail -f /var/log/httpd/access_log quando o cliente abre o arquivo aparece o IP no log, depois é só usar ete IP para conectar. Tem endereços na net que lhe mostra o IP que está em usa, mas aí a pessoa tem que lhe mandar e-mail ou por telefone. Voce pode implementar um scrip e colocar na inicialização do micro para fazer uma conexão por exemplo de ftp e transmitir um arquivo com o novo IP, você pegaria o IP deste arquivo ou nos logs. Sobre os redirecionares para IP dinaminco veja detalhes em: http://www.zago.eti.br/dns.txt > > Outra situação: > > Em um outro caso o conectiva esta conectado a ADSL e a eth0 > não recebe um ip de internet e sim um ip de intranet ex > 192.168.200.2, como faco para me conectar a esta maquinha de > minha casa via ssh? Pois o ip não é valido na net. Simples, faça ssh para o micro que compartilha a internet e depois desta coneção faça outra para o micro da rede interna. Ou se quiser conectar a uma maquina especifica da rede interna, configure o Iptalbes para redirecionar a porta do SSH para esta maquina. veja: http://www.zago.eti.br/iptables.txt http://www.zago.eti.br/ssh/ neste diretório tenho vários arquivos com mensagens sobre script http://www.zago.eti.br/menu.html Zago *********************************************************************** De: Ronaldo Saheki Para: richardson.listas@terra.com.br Cc: Linux-br - lista Assunto: Re: (linux-br) SSH versus Telnet Data: 21 Feb 2003 21:49:07 -0300 On Fri, 2003-02-21 at 18:56, Richardson dos Santos Neves wrote: > Oi All. Olá Richard, Conterrâneo dessa terrinha capixaba. :) > Estou aprendendo a usar o SSH e estou gostando muito para o > básico de transferência de arquivos entre rWindows X Linux e > Linux X Linux, e também como terminal. (só achei a tranferência > um pouco lenta) Ok, nada como uns putty, cygwin da vida para deixar o Windows suportável (usando linux nele pela rede.. hehehe) > Gostaria era de saber qual a diferença entre ambos. Vantagens e > desvantagens. O telnet não usa criptografia, logo, todas as informações do login, senha, e o que a pessoa fez, ficam expostas na rede, e basta alguém estar com a placa de rede no modo promíscuo e rodar um tcpdump da vida que vai capturar todas as informações necessárias. O SSH (Secure SHell) usa criptografia para tornar mais seguro as sessões, e principalmente o login e a senha. Ele é mais lento exatamente por causa da criptografia, porém ganha em segurança. Utiliza a biblioteca SSL. O SSH 2.x usa uma criptografia que já consegue ser quebrada, use o SSH 3.x que ainda não quebraram (ou pelo menos eu não li ainda). > Preciso optar por aquele que seja melhor. Bem, você prefere segurança ou velocidade? :) Se for segurança: SSH Se for velocidade: Telnet > Obrigado. > Richardson - Brazil/Vitória/ES *********************************************************************** De: Jorge Godoy Para: Antonio F. Zago Cc: JuNiOr , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Conectar remotamente via ssh.... Data: 21 Feb 2003 12:44:39 -0300 "Antonio F. Zago" writes: > Tem endereços na net que lhe mostra o IP que está em usa, mas aí a > pessoa tem que lhe mandar e-mail ou por telefone. Use um serviço de DNS dinâmico. Você sempre tentará conectar-se a um "domínio", imutável. Independente do IP. http://www.dyndns.org/ é ótimo. E funciona perfeitamente com o ddclient no Linux (há clientes para Windows também, se este for o caso). -- Godoy. *********************************************************************** De: Brunhara Para: Antonio F. Zago , JuNiOr Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Conectar remotamente via ssh.... Data: 21 Feb 2003 11:08:49 -0300 Ola,,, Blz!!! faz um script e colocar ele no rc.local "o lugar da gambi " ele e executado e aguarda 30 segundos, cata o ip da placa eth0, ping um site qualquer se consegue, envia um email se nao torma a chamar o script outra vez so para quando consegue envia o email veja abaixo e mais ou menos isto nao testei #!/bin/bash sleep 30 ifconfig eth0 > /root/ip if ping -c2 www.qquer-site-com.br then mail -s NomeCliente seu-email@provedor.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Eliminar Funçoes do Putty.exe Data: 21 Feb 2003 08:13:32 -0300 > como eu faco para desabilitar o X que fica no canto direito no topo da tela > que fecha o programa Você pode colocá-lo em tela cheia, mas não impede de o usuário fechá-lo. Para colocar em tela cheia, clique na barra de título e selecione Full Screen. *********************************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Ronaldo Saheki , richardson.listas@terra.com.br Cc: Linux-br - lista Assunto: (linux-br) RES: (linux-br) SSH versus Telnet Data: 23 Feb 2003 00:10:12 -0300 Sem contar que não tem transferencia de arquivos pelo TELNET. Em tempo, o OpenSSH < 3.4 tem falhas de segurança. - Marcus Lima. *********************************************************************** De: Andreas Para: Manoel Pinho Cc: Helio Chissini de Castro , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) CL 9 - Voltemos à discussão? Data: 28 Mar 2003 10:57:36 -0300 On Wed, Mar 26, 2003 at 08:24:41PM -0300, Manoel Pinho wrote: > uso de ssh/scp muito melhor do que usar samba. É uma pena que não exista > um servidor ssh/scp para Windows. Existe sim. Tem o comercial (www.ssh.com) e o livre (openssh, parte do cygwin). *********************************************************************** De: Rogerio Coutinho Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) maxlogins no limits.conf.. Data: 28 Mar 2003 12:23:14 -0300 Pessoal, por favor, estou com um problema no redhat 7.3. Eu preciso limitar um grupo de usuarios a usar somente uma conexão telnet/ssh por vez. Alterei o /etc/pam.d/login e ssh, no /etc/security/limits.conf eu coloco o maxlogins para 2 e o linux aceita 3 conexões. Se coloco 1, ele aceita 2. Se coloco 0, ele não aceita nenhuma.!! Alguem sabe o que pode ser ? Se 0 não aceita nenhuma conexão e 1 aceita 2. Que parametro aceita 1 apenas ? *********************************************************************** De: Julio Biason Para: Lista Linux Assunto: Re: (linux-br) SSH Data: 16 Apr 2003 11:07:11 -0300 Eduardo Rangel Thompson : > Algum sabe qual a opção para configurar o SSHD para receber arquivos. > (File Transfer) ? O sshd vem com dois caras: sftp e scp O sftp funciona exatamente como um ftp normal. ftp maquina.com.sshd Faz o login que tu tem na maquina e transfere os dados com put e get. E ele ainda aceita mascaras para transferencias (ou seja, nao precisa de mput e mget). O scp e' parecido com o cp, mas tu precisa indicar onde fica o servidor, da seguinte forma: scp maquina.com.sshd:arquivo . Isso ira' copiar o arquivo 'arquivo' na maquina 'maquina.com.sshd' e trazer pro diretorio local. Tu ainda pode especificar @ caso o login seja diferente. Ou ainda inverter a ordem e mandar um arquivo local para o servidor. -- *********************************************************************** De: Ricardo Guedes Para: Rafael Palma , linux-br@bazar.conectiva.com.br Cc: rafael@saofrancisco.edu.br Assunto: Re: (linux-br) erro SSH Data: 17 May 2003 12:47:02 -0400 Rapaz, Seguinte. Esta faltando uma lib aí: libcrypto.so.2 Uma busca no google com este nome retornam vários resultados. No primeiro link encontrado tem: http://www.megaloman.com/~hany/RPM/libcrypto.so.2.html Bom, você necessita do openssl-0.9.6 ou 0.9.7 -> Secure Sockets Layer (SSL) http://www.openssl.org É isso... compile/instale ou procure o rpm do mesmo. Ricardo Guedes ----- Original Message ----- From: "Rafael Palma" To: ; Cc: ; ; Sent: Tuesday, May 13, 2003 1:57 PM Subject: (linux-br) erro SSH > "starting ssh : /usr/sbin/sshd : error while loading shared libraries : > libcrypto.so.2: cannot open shared object file : No such file or directory" > > Voces sabem o que poderia estar fazendo pra resolver isso?? *********************************************************************** De: DAVIS@embratel.com.br Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) proibir login no ssh por usuário Data: 04 Jul 2003 11:44:53 -0300 Use a diretiva "AllowUsers" em sshd_config. Quando utilizada, deixa de valer o default, que é permitir login de todos, e passa a permitir apenas os usuários listados. Pode-se usar "*" e "?" como curingas e a forma user@host; contudo não aceita ID numérico, apenas nomes. Abraços, David de Souza zeluis-listas@shopwork.com.br@bazar2.conectiva.com.br em 04/07/2003 09:51:32 Enviado Por: linux-br-bounces@bazar2.conectiva.com.br Para: linux-br@bazar2.conectiva.com.br cc: Assunto: (linux-br) proibir login no ssh por usuário Pessoal, saudações. estou necessitando controlar usuário a usuário quem pode e não pode se conectar via ssh no meu servidor. Não posso fechar a porta porque de uma mesma origem (ip) existirão usuários que podem usar ssh e usuários que não podem. Porém seria somente para ssh, pois para outros serviços como ftp já efetuo esse controle. *********************************************************************** De:  Carlos Miranda Responder-a:  Carlos Miranda Para:  seguranca@distro2.conectiva.com.br Assunto:  [seguranca] sshd Data:  Wed, 23 Jul 2003 09:54:58 -0300 Ontem enviei mensagem solicitando informações a respeito de sshd sem, no entanto, ter recebido respostas que solucionassem o problema. Hoje pus-me a refazer os passos de compilação/instalação indicados no site oficial do openSSH ftp://ftp.ca.openbsd.org/pub/OpenBSD/OpenSSH/portable/INSTALL A solução do problema, ou seja, acessar sshd usando o cliente PuTTY foi encontrada gerando novamente as chaves do servidor conforme indicado a seguir:         ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key -N ""         ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ""         ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N "" Não sei qual o motivo mas as chaves geradas quando da instalação do pacote openssh e openssh-server não funcionam. Se a informação servir à alguém, muito que bem, se não ...   -Carlos _______ *********************************************************************** De:  Andreas Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] sshd Data:  Wed, 23 Jul 2003 10:13:22 -0300 On Wed, Jul 23, 2003 at 09:54:58AM -0300, Carlos Miranda wrote: > A solução do problema, ou seja, acessar sshd usando o cliente PuTTY foi > encontrada gerando novamente as chaves do servidor conforme indicado a > seguir: >         ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key -N "" >         ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N "" >         ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N "" > Não sei qual o motivo mas as chaves geradas quando da instalação do > pacote openssh e openssh-server não funcionam. Essas chaves são geradas uma vez apenas, na primeira instalação do pacote. Se for sendo feito upgrade desse ponto em diante, não são mais regeradas. Interessante que o putty engasgou nisso, obrigado pela informação. *********************************************************************** De:  Paulo Roberto Oliveira Junior Para:  Ricardo Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Ajuda com ssh Data:  Tue, 2 Sep 2003 12:23:09 -0300 (BRT) Olá,         Vc pode utilizar o seguinte comando para executar remotamente:         ssh -C root@maquinadestino /etc/rc.d/init.d/gpm start \; free         Neste exemplo o usuário "root" irá carregar o mouse e indicar o resultado do comando free []'s]   Paulo Junior On Tue, 2 Sep 2003, Ricardo wrote: > > Olá > > Alguém sabe como usar a opção -e do ssh? > Poderiam me dar um exemplo do ~. (desconectar). > > Estou tentando disparar um processo remotamente e > desconectar logo depois. > > []'s > Ricardo *********************************************************************** De:  Jorge Godoy Para:  Paulino Kenji Sato Cc:  Lista LinuxBR Assunto:  Re: (linux-br)Enviar diretamente para impressora Data:  Sun, 17 Aug 2003 10:38:34 -0300 Paulino Kenji Sato writes: >  use o zssh para transferir arquivos usando zmodem em uma conexão ssh. >  (não sei se suporta impressão), não tenho ele (zssh) instalado aqui. >  Um programa util que deveria ser incluido no Conectiva Linux. Já to >  vizitando o bugzilla. Qual a diferença para um 'scp -C'? O SSH possui compressão do fluxo de dados. -- Godoy.     *********************************************************************** EXECUTAR PROGRAMA REMOTO VIA SSH De:  Paulo Roberto Oliveira Junior Para:  Tiago F Bianchini Cc:  Linux BR Conectiva Assunto:  Re: (linux-br)programa remoto com ssh Data:  Thu, 27 Nov 2003 08:52:00 -0300 (BRT) Olá,         Aqui utilizo dois scripts desta forma: script off #!/bin/sh hostname > erro xhost + ssh -C junior@maq.destino /home/junior/bin/office onde o office é outro script: script office #!/bin/sh cat erro maq=`cat erro` export DISPLAY=$maq:0 /opt/office52/program/soffice Desse jeito funciou perfeitamente no CL9. []'s     Junior *********************************************************************** De:  Jorge Godoy Para:  Pedro Augusto Cc:  Linux-BR Assunto:  Re: (linux-br)[OPENSSH] seguranca via internet Data:  Wed, 20 Oct 2004 13:01:29 -0300 Pedro Augusto writes: > cara, eu não acho nada seguro isso! mas se realmente for necessário > prestar suporte a distância especifique qual ip poderá se conectar no > computador via ssh... isso vai melhorar um pouco a segurança do seu > server... Eu acho que depende muito da política de senhas.  Senhas fáceis, compartilhadas em outros sistemas ou estáticas devem ser evitadas.  Uma política de troca de senhas com freqüência, senhas sempre distintas em cada máquina, geração aleatória, etc. minimiza o problema. Outra alternativa é agendar uma janela de 'n' minutos por período (hora, dia, etc.) na qual a interface estará disponível. Sds, -- Godoy.     *********************************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  João Paulo Rojas Vidal Cc:  Linux-BR Assunto:  Re: (linux-br)[OPENSSH] seguranca via internet Data:  Wed, 20 Oct 2004 14:47:24 -0300 Olá, > É seguro deixar o servidor openssh e sua respectiva porta 22 > "ouvindo" na internet, para fazermos manutenção à distância? Esse é um grande dilema. Com certeza não é nada seguro, assim como qualquer outro serviço, porém, você pode encontrar formas de minimizar: 1 - Mude a porta default  - Com isso você minimiza o perigo de um ataque automatizado, ou ataques de script kiddies que não sabem mudar a porta do ssh no exploit que baixaram da internet. 2 - Não aceite login root  - Minimiza o problema de alguem que 'descobriu' a senha do root, logar de 'casa' depois  - Tentativas por força bruta, um dia quem sabe encontra sua senha e ja acessa com poderes de root. 3 - Só aceite login via SSH de um determinado usuário  - Em conjunto com a opção 2, só o seu usuário teria acesso via SSH, e depois do login, você poderia efetuar um 'su -'.  - Utilize algum programa pós-login para efetuar um 'challenge' para certificar de que você é você mesmo. 4 - Senhas fortes  - sem isso não adianta nada. 5 - Certifique-se de o sshd estar rodando com separação de privilegios  - Dessa forma, o sshd cria um processo não privilegiado para tratar as conexões iniciais. Após sucesso na autenticação, cria um outro processo que tem os provilegios necessários.  - Caso exista algum exploit para o sshd, talvez ele fique preso no processo sem privilegios. Outra forma seria desabilitar a autenticação por senha e habilitar a autenticação por certificado. > Faz sentido manter uma VPN "tulenando" apenas o openssh > no lugar de deixar esta porta aberta diretamente ? Se você puder ter uma VPN entre as 2 pontas, melhor. Daí você só daria acesso ao SSH através da vpn. Abraços! Alejandro Flores De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Ederson L. Correa Cc:  Linux-BR Assunto:  Re: (linux-br)[OPENSSH] seguranca via internet Data:  Mon, 25 Oct 2004 08:32:49 -0300 Olá, > >  - Utilize algum programa pós-login para efetuar um 'challenge' para > > certificar de que você é você mesmo. > > Tem alguma indicação ?? Nunca tinha ouvi falar nisso. Bom, na verdade o programa que eu uso, fui eu que fiz. Coloquei ele pra ser executado assim que o shell for executado (.bash_profile ou direto no /etc/profile). É um programinha em C que faz uma pergunta. Se teclar ctrl+c, ele fecha a sessão. Se errar, também fecha a sessão. A pergunta, pode ser um gerador de caracteres baseado na hora ou uma simples pergunta de carater pessoal, que só você saberia responder. > > 5 - Certifique-se de o sshd estar rodando com separação de privilegios > > > >  - Dessa forma, o sshd cria um processo não privilegiado para tratar > > as conexões iniciais. Após sucesso na autenticação, cria um outro > > processo que tem os provilegios necessários. > > Tem alguma indicação de material sobre isso ?? "Boiei" nisso ai. man sshd_config UsePrivilegeSeparation        Specifies whether sshd separates privileges by creating an        unprivileged child process to deal with incoming network traffic.        After successful authentication, another process will be created        that has the privilege of the authenticated user.  The goal of        privilege separation is to prevent privilege escalation by con-        taining any corruption within the unprivileged processes.  The        default is "yes". Abraço! Alejandro Flores *********************************************************************** De: otaviofcs Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) SCP ambiente grafico! Data: Mon, 10 Jul 2006 09:59:25 -0300 No nautilus, clique ctrl + l que ele vai abrir a barra de localização para digitação. Coloque então: ssh://usuario@maquina Ele vai pedir a senha e voi lá. abraços, otávio Riopro, Gestão Inteligente *********************************************************************** De: Leandro de Rezende Para: Diego Pascual Dias Cc: Linux-Br Assunto: Re: (linux-br) SCP ambiente grafico! Data: Fri, 07 Jul 2006 15:12:43 -0300 Olá Diego, testei aqui e funcionou: o Konqueror suporta o protocolo "sftp". É só digitar "sftp://SERVIDOR", fazer o login, então copiar, colar ou arrastar os arquivos. Veja se é bom para o que você precisa. Abraço, Leandro Diego Pascual Dias escreveu: > Olá pessoas... > Alguem conhece alguma ferramenta grafica para SCP ? > NEcessito instalar isso pra uma pessoa que não se dá muito bem com prompt... *********************************************************************** De: Ezequias Rodrigues da Rocha Para: Diego Pascual Dias Cc: Linux-Br Assunto: Re: (linux-br) SCP ambiente grafico! Data: Fri, 07 Jul 2006 14:48:18 -0300 Só conheço para Windows. WinSCP mas para linux o próprio nautilus pode fazer isso no gnome (menu Locais > Conectar ao Servidor. Use o SSH que faz o que você precisa). Boa sorte... Ezequias Diego Pascual Dias escreveu: > Olá pessoas... > Alguem conhece alguma ferramenta grafica para SCP ? > NEcessito instalar isso pra uma pessoa que não se dá muito bem com prompt... > ***********************************************************************