Gizli anahtarın SSH ajanı belleğine yüklenmesi

$ ssh-add
Enter passphrase for /home/kullanici/.ssh/id_rsa:
Identity added: /home/kullanici/.ssh/id_rsa (/home/kullanici/.ssh/id_rsa)

Bu aşamadan sonra yapılan ssh erişimlerinde hedef sistem ve kullanıcı hesabında ssh açık anahtarınız varsa gizli ahantarınızın şifresi sorulmadan erişim yapılabilecektir.

$ ssh kullanici@sistem
kullanici@sistem$

SSH ajanı belleğinden gizli anahtarın silinmesi

$ ssh-add -D

SSH Ajanı belleğine alınmış olan tüm gizli anahtarlar “ssh-add -D” ile silinmektedir. Bilgisayarın başından ayrılacağınız zaman SSH ajanının belleğinin silinmesi güvenlik açısından yararlı bir davranış olacaktır.

ssh-add ile yapılabilecek diğer şeyler için kullanım kılavuzunu okumanız önerilir.

Şimdi SSH ajanı sayesinde yapılabilen bir başka senaryodan bahsetmek istiyorum.

Bir başka bilgisayarın başında oturuyorsunuz. Sizden sunucuların birisinde bir iş yapmanız isteniyor. Ancak bilgisayarınız sizden çok uzakta. Bu durumda bilgisayarınıza ssh ile erişerek, bilgisayarınızda yer alan gizli anahtarınızı başında oturmakta olduğunuz bilgisayarın SSH ajanına yükleyebilir, başında oturduğunuz bilgisayardan ssh açık anahtarınızın yer aldığı tüm sistemlere aynı şekilde şifresiz olarak erişebilirsiniz.

yabancimasaustu$ ssh -A kullanici@benimmasaustu
kullanici@benimmasaustu$ ssh-add
Enter passphrase for /home/kullanici/.ssh/id_rsa:
Identity added: /home/kullanici/.ssh/id_rsa (/home/kullanici/.ssh/id_rsa)
kullanici@benimmasaustu$ exit
yabancimasaustu$ ssh kullanici@sistem
kullanici@sistem$

Bu kadar basit. SSH gizli anahtarınız yanınızda değil, ancak erişilebilir ise eliniz kolunuz bağlı değil, bilhakis SSH ajanı sayesinde özgürlüğünüze özgürlük kattınız. Burada önemli olan kendi bilgisayarınıza erişim yaparken SSH Agent forwarding parametresi olan “-A” parametresinin unutulmamasıdır. SSH erişimlerinizde “-A” parametresini kullanmayı alışkanlık haline getirirseniz erişmiş olduğunuz sistemden diğer sistemlere de şifresiz bir şekilde atlama yapabilirsiniz.

Peki ya Windows kullanıcıları? Onlar da OpenSSH ile tamamen uyumlu çalışan Putty Agent’ı kullanabilirler. SSH Agent forwarding parametresini SSH seçeneklerinden açmayı da unutmamaları gerekmekte.

İleri düzey SSH kullanımı ile ilgili sıradaki yazım SSH Yerel Port Yönlendirme‘de görüşmek üzere.

SSH anahtar ikilisi oluşturma:
SSH anahtar ikilisini oluşturmak için ssh ile beraber gelen ssh-keygen aracı kullanılmaktadır.

$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kullanici/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/kullanici/.ssh/id_rsa.
Your public key has been saved in /home/kullanici/.ssh/id_rsa.pub.
The key fingerprint is:
52:eb:1c:ad:4f:76:a4:b6:a3:62:bf:95:0f:87:41:c2 kullanici@sistem

ssh-keygen herhangi bir parametre olmaksızın yukarıdaki gibi çalıştırıldığında ön tanımlı olarak SSHv2 için rsa türünde bir anahtar ikilisi üretmektedir. Yukarıda da görüldüğü gibi ~/.ssh/id_rsa gizli anahtar, ~/.ssh/id_rsa.pub da bu gizli anahtara ilişkin açık anahtarıdır. Açık anahtarı kaybedilirse üzülmeye gerek yok, gizli anahtarın yardımı ile tekrar oluşturulabilmektedir veya daha önce yerleştirildiği sunuculardan bir kopya olarak alınabilir:

$ ssh-keygen -y
Enter file in which the key is (/home/kullanici/.ssh/id_rsa):
Enter passphrase:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAzmrpzbnHCSARj4YkBy
SRlXrybTOCa5h6AoMe4onDqJYqmhgazNejwScCUXqLxfdT0bnvgds2
tgs9xoJGzvHHdiO59QJ0rUhMYE3q9F4c0u3WZf2sc2bax+S+Eeyz9y
82u9Hs6+J3ediQUoPaJCbqMeYRD55EZMc4ei2CB+eqhqk=

Gizli anahtardan açık anahtarını elde etmeye yarar. Gizli anahtarın şifresi (ing. passphrase) unutulduğu taktirde gizli anahtarı kurtarmanın ve tekrar kullanılabilir yapmanın yolu yoktur. Böyle bir durumda yeni bir anahtar ikilisi oluşturulmalı ve hedef sistemlere yeni açık anahtarı uygun şekilde dağıtılmalıdır.

Anahatar ikilisi hazır. Peki ya şimdi? Şimdi sıra açık anahtarının ilgili sistemlere yerleştirilmesinde. Hedef sisteme bir defaya mahsus klavye etkileşimli erişim yapılmalıdır. SSH ile uzak erişim gerçekleştiğinde

$ vi ~/.ssh/authorized_keys

~/.ssh/authorized_keys adında bir dosya editörle açılmalı ve yeni bir satır oluşturularak tek satır halinde SSH açık anahtarı bu satıra yapıştırılmalıdır. authorized_keys dosyasına yeni açık anahtarı tek satır olarak eklendikten sonra kaydedilerek sisteme olan erişim kesilebilir. Aynı sisteme aynı kullanıcı adı ile bir sonraki erişimde kullanıcı adına ilişkin şifre yerine size ait olan gizli anahtarın şifresi sorulacaktır. SSH ile erişmek istediğiniz uzak sistemdeki ilgili kullanıcıların ev dizinleri altına ~/.ssh/authorized_keys adında dosya oluşturulmalı veya varsa içerisine yeni bir satır olarak gizli anahtara ait olan açık anahtarı yapıştırılmalıdır.

Benzer şekilde kullanılması planlanan diğer sistemlere de erişim yaparak ~/.ssh/authorized_keys dosyası ilgili kullanıcılar için oluşturabilir, dosya varsa da açık anahtarı tek satır halinde girilerek kaydedilebilir. Önemli olan açık anahtarının tek satır halinde girilmesidir. Tek satırlık yapısı bozulduğu taktirde SSH anahtar ile erişim yöntemi çalışmayacaktır.

SSH gizli anahtarının şifresi değiştirilmek istendiğinde

$ ssh-keygen -p

komutu kullanılabilir. Eski şifre bir kere, yeni şifre de iki kere sorulacaktır. Bu işlemden sonra yeni şifre geçerli olacaktır.

SSH Ajanı Kullanımı adlı bir sonraki bölümde görüşmek üzere.

SSH Secure SHell’in kısaltılmış halidir. OpenBSD projesi içerisinde OpenSSH adıyla doğmuş bir alt projedir. Telnet, rsh, rlogin gibi uzaktan UNIX yönetmeye yarayan araçların yerine güvenli bir çözüm olması amacıyla geliştirilmiştir. Ön tanımlı olarak TCP 22 portundan çalışmaktadır. SSH v1 ve v2 sürümleri vardır. SSHv1 sürümü kolay kırılabilir olduğu için v2′nin kullanımı önerilmektedir ve birçok sistem yöneticisi SSH sunucularının v1 konuşmasını engellemektedir.

SSH uzaktan UNIX yönetme dışında scp ve sftp alt hizmetlerine de sahiptir. Bu şekilde scp veya sftp araçlarını kullanarak aynı TCP 22 numaralı port üzerinden sistemler arası güvenli dosya alışverişi de yapılabilmektedir. Hemen hemen tüm UNIX sistemlerinde bulunmaktadır. Windows üstünde OpenSSH sunucu yazılımı cygwin ortamı ile derlenip çalıştırılabilmektedir. SSH aynı zamanda mevcut güvenli bağlantısı üzerinden port yönlendirebilmektedir. Diğer bir deyişle bir başka uygulamanın bağlantısını kendi üzerinden geçirerek hedef sisteme güvenli bir şekilde ulaştırabilmektedir. SSH X11 yönlendirmesi de yapabilmektedir. Yani SSH ile bağlanılan uzak UNIX üstündeki grafik tabanlı uygulamaları rahatlıkla çalıştırılabilmektedir. SSH socks proxy’lik yapabilmektedir. Socks proxy özelliği Dynamic Port Forwarding olarak adlandırılmaktadır. SSH ile Linux sistemler arasında VPN de kurulabilmektedir. SSH gizli / açık anahtar ikilisi (ing. private / public key pair) ile çalışarak kullanıcı doğrulama da yapabilmektedir. Arzu edilirse SSH özel anahtarı bir smartcard donanım üzerinde de saklayıp kullanabilmektedir. Özet olarak SSH çok marifetli bir uygulamadır. Kullanımına alışınca güvenlik duvarı atlatma, güvenli dosya transferi, socks proxy hizmeti, VPN gibi birçok ihtiyacınızı SSH ile karşılayabilirsiniz.

Windows işletim sistemi üzerinde SSH istemcisi olarak putty, SCP ve SFTP amacıyla da WinSCP kullanılabilir.

Temel kullanımı aşağıdaki biçimdedir:

$ ssh -l kullanici wrana.pro-g.com.tr

wrana.pro-g.com.tr sunucu sistemine kullanici kullanıcısı ile uzak komut satırı oturumu açar.

$ ssh kullanici@192.168.0.117

192.168.0.117 sunucu sistemine kullanici kullanıcısı ile uzak komut satırı oturumu açar.

$ ssh root@192.168.0.117 halt -p

192.168.0.117 sunucu sistemine root kullanıcısı ile uzak oturum açar, halt -p komutunu işletir ve komut sonlanır sonlanmaz oturum otomatik olarak kapatılır.

$ scp dosya kullanici@sistem:

kullanici kullanıcı kimliği ile sistem sunucusuna ssh oturum açar, dosya isimli yerel dosyayı sistem isimli sistemdeki kullanici kullanıcısının ev klasörüne kopyalar. Uzak sistem tanımından sonra “:” karakteri önemlidir. Unutulmamalıdır. Aksi taktirde bildiğimiz yerel cp komutu görevi görür.

$ scp dosya kullanici@sistem:/tmp

kullanici kullanıcı kimliği ile sistem sunucusuna ssh oturum açar, dosya isimli yerel dosyayı sistem isimli sistemdeki /tmp klasörüne kopyalar. Uzak sistem tanımından sonra “:” karakteri önemlidir. Unutulmamalıdır. Aksi taktirde bildiğimiz yerel cp komutu görevi görür.

$ scp kullanici@sistem:tmp/dosya .

kullanici kullanıcı kimliği ile sistem sunucusuna ssh oturumu açar, uzaktaki kullanici kullanıcsının ev klasörü altında yer alan tmp klasörü altındaki dosta isimli dosyayı yerel sistemde bulunduğnuz yere kopyalar. Uzak sistem tanımından sonra “:” karakteri önemlidir. Unutulmamalıdır. Aksi taktirde bildiğimiz yerel cp komutu görevi görür.

$ sftp kullanici@sistem
SFTP> pwd
/home/kullanici
SFTP> put dosya
SFTP> exit

kullanici kullanıcı kimliği ile sistem sunucusuna ssh oturumu açar, yerel bilgisayarda bulunulan yerdeki dosya isimli dosya uzak sisteme transfer edilir. SFTP FTP’ye benzeyen komutlara sahiptir. put ile dosya uzak sisteme transfer edilirken, get ile dosya uzak sistemden indirilir. Daha fazla komut için SFTP komut isteminde help komutunu işletilebilir.

SSH temel kullanımı bu şekildedir. Temel kullanımda daha fazla teferruata girmeye gerek yoktur. Adı üstünde; temel kullanım.

Ancak SSH ile yapılabilecek ve fantezi olarak adlandırabileceğim diğer konularda yeterince ayrıntıya giriyor olacağım. Lütfen günlüğümü izlemeye devam ediniz.

Takip edecek olan İleri Düzey SSH serisi yazılarım:

1. SSH Hakkında
2. SSH Anahtar Kullanımı
3. SSH Ajanı Kullanımı
4. SSH Yerel Port Yönlendirme
5. SSH Uzak Port Yönlendirme
6. SSH Dinamik Port Yönlendirme
7. SSH ile VPN