SSH

Bir UNIX’çi olarak SSH olmazsa olmazlardan birisidir benim için. Bu amaca yönelik iki adet yazılım buldum; Putty‘nin Symbian sürümü ve J2ME ile geliştirilmiş midpSSH. Putty, MidpSSH’a göre daha profesyonel. Putty SSH anahtarları ile çalışabiliyor. Ancak her ikisi de aynı anda sadece bir adet SSH oturumu sağlıyor. Bu nedenle her ikisini de kullanıyorum. Böylece aynı anda iki adet SSH oturumunu kullanabiliyorum.

Remote Desktop

Her ne kadar UNIX’çi olsam da Windows’suz bir dünya düşünmemiz mümkün değil. Bu nedenle Windows sunuculara uzaktan erişim ihtiyacı da günlük hayatta mutlaka karşıma çıkmakta. Bu ihtiyacıma TSMobile uygulaması karşıladı. Oldukça kullanışlı bir uygulama olup bildiğimiz Windows Terminal bağlantısını kusursuz bir şekilde sağlamakta. Görüntü çok küçük ve anlaşılmaz gelirse yakınlaştırma işlevi ile bir bölgeyi doğal boyutlarında yakınlaştırıp kullanmak ve kaydırmak mümkün.

E-Posta Erişimi

Telefonla birlikte gelen Mail for Exchange ile kurumsal Exchange sunucusundaki E-Posta, Takvim, TODO List, Contacts gibi özellikler çalışan bir ağ bağlantısı ile eşleştirilebilmektedir. Hatta bu özellikler belli zaman periyodlarında veya sürekli olarak eş tutulabilmektedir. Ancak sürekli etkin bir GPRS/EDGE/WiFi bağlantısı ile telefonun pil ömrü 1 güne düşmektedir.

Telefonla bütünleşik olarak gelen pop3/imap istemcisini deneme ihtiyacım olmadı. Ancak çalışmaması için bir neden yok!

GMAIL erişimi için m.google.com’dan GMAIL‘in J2ME sürümünü indirdip kurdum. Oldukça başarılı ve GMAIL hesabınıza başarıyla hükmetmekte.

Yahoo! e-posta hesabıma erişim için telefonla gelen Yahoo! Go uygulamasının e-posta bölümünü kullanıyorum. Böylece erişemediğim e-posta hesabım kalmamış oldu.

Yahoo! Go ayrıca hava durumu, finans haberleri, spor haberleri, güncel haberler, flickr gibi ilave özellikler de sağlamaktadır.

Bilgisayar ile İnternet Erişimi

Nokia E71′in yardımı ile bilgisayarı internete eriştirmek için birçok yöntem mevcut. Ben genelde Nokia E71′i bluetooth ile seri modem olarak Ubuntu’ya tanıtarak erişiyorum. İlginç olan bağlantıdan sonra bilgisayarımda görünen ppp0 arayüzündeki IP adresi GSM operatörünün tahisis ettiği IP adresi. Bu sırada telefonun kendisi de mevcut GPRS/EDGE bağlantısını kullanabilmekte. Yani bir şekilde bridge olarak çalışmakta. Hem telefonun içinde hem de bilgisayarımda serial PPP bağlantısı var gibi görünmekte.

Bu yöntemin dışında kullandığım diğer bir yöntem de beni hayrete düşürdü. JoikuSpot adındaki Symbian uygulaması ile Nokia E71 bir WiFi access point’e dönüşüyor. Böylece bilgisayarınızın Wireless’ı ile telefonunuzun yayınladığı ESSID’ye bağlantı kurup internette dolaşabiliyorsunuz. JoikuSpot’un birden fazla sürümü var. Ücretsiz olan Lite sürümü ile sadece HTTP/HTTPS/DNS/SSH port forwarding özelliklerini kullanabiliyorsunuz. Yani JoikuSpot Lite HTTP proxy olarak çalışıyor. Eğer VPN POP3/IMAP/SMTP gibi daha kapsamlı bir erişim ihtiyacınız varsa JoikuSpot’un ticari sürümlerini satın almanız gerekiyor. Ancak küçücük bir aletin bunları yapabiliyor olması bile harika birşey. Birden fazla WiFi özellikli bilgisayarın internete GPRS/EDGE paylaşımı ile çıkışını sağlamak için harika bir çözüm.

WebCam

Nokia E71 piyasada bulunan birkaç programın yardımı ile bluetooth üstünden Windows bilgisayarınıza WebCam hizmeti sağlayabiliyor. Henüz bu özelliğini deneyemesem de SmartCam isimli programı kurdum ve Windows olan ve bluetooth’u olan ilk bilgisayar karşıma çıkar çıkmaz deneyeceğim.

Anlık Mesajlaşma

Anlık mesajlaşma için birçok alternatif ile karşılaşmama rağmen Fring‘i tercih ettim. MSN, ICQ, Yahoo IM, Gtalk protokolleri ile aynı anda oturum açabiliyor ve sesli görüşmeler ile dosya transferi özelliklerini destekliyor. Sesli görüşme için şimdilik sadece Fring’in test görüşmesini Turkcell EDGE bağlantısı üzerinden denedim ve oldukça net, temiz bir ses iletimi idi.

FTP İstemci

FTP istemci olarak bir Symbian uygulaması olan SIC! FTP uygulamasını kurdum. Denedim, çalışıyor ve temel FTP işlevlerini yerine getiriyor.

Hesap Makinası

Nokia E71 ile birlikte gelen hesap makinası temel 4 işlevi yerine getirmekte. Daha kapsamlı ve bilimsel hesap makinası ihtiyacımı cCalcPro uygulaması ile karşıladım. Logaritma, üssel işlemler, karekök gibi ilave işlemler cCalcPro ile yapılabiliyor.

Metin Düzenleyici

Metin düzenleyici olarak DEd adlı uygulamayı kurdum. Düz metinleri düzenlemenizi sağlıyor. Birden fazla dosya ile aynı anda çalışabiliyor. Aralarında UTF-8′in de bulunduğu birden fazla encoding ile çalışabiliyor.

Güvenlik

Nokia E71′in güvenliğini sağlamak için bütünleşik olarak antivirüs ve güvenlik duvarı özellikleri ile gelen F-Secure Mobile Security‘yi kullanıyorum. Uygulama Nokia E71 ile beraber 1 haftalık subscription ile geldi. Güvenlik duvarı özellikleri beni şaşırttı. Çünkü özel olarak güvenlik duvarı kurallarını elle yazabilme imkanını size tanıyor.

Bankacılık Uygulamaları

Tercih ettiğim banka İş Bankası ve sağolsunlar mobil uygulamaları İşCep oldukça iyi olmuş. Hemen hemen her işlem yapılabiliyor.

NTP İle Saat Eşleme

Nokia E71′in gerçek zaman saatini güncel ve dakik tutabilmek FreeTimeBox uygulamasını kullanıyorum. FreeTimeBox NTP protokolünü kullanarak internet üzerinden bir NTP sunucusu yardımı ile, GPS uyduları ile, WAP bağlantısı ile saatini eşleyebilmekte.

Ekran Görüntüsü Yakalama

Ekran görüntüsü yakalama için Screenshot isimli uygulamayı kurdum. Bu yazımdaki ekran görüntülerinin tamamı Screenshot ile alınmıştır.

DivX / Xvid / OGG / MOV / … Oynatıcı

Nokia E71 ile gelen RealPlayer’ın oynatabildiği video formatları belli ve sınırlı. DivX, Xvid gibi codeclerle encode edilmiş olan .AVI’leri oynatabilmek için CorePlayer isimli uygulamayı denedim. Tek kelime ile mükemmel.

Frozen Bubble

Linux’te en çok beğendiğim oyunlardan birisidir. Symbian sürümünü de bulduğum için çok sevindim.

Unison Kullanımı

Unison temel olarak kendisine verilen iki klasörü birbirleri ile eşitler. Soldakileri sağa, sağdakiler sola atar, bir tarafta silinme durumu varsa kullanıcı onayı alınarak diğer taraftan da siler, değişiklik durumu varsa değişen taraftan değişmeyen tarafa dosyaları aktarır, iki tarafta birden değişiklik varsa bu çakışma (ing. conflict) durumudur ve kullanıcıya son değiştirilme tarihlerini sunarak hangisini asıl olarak kabul edeceğini sorar. Bu hali ile Unison sadece iki klasörü eşitler gibi görünse de, aslında bir tanesini havuz gibi kullanarak, diğer kullanıcıların hep o havuzla eşitlemesi sağlandığında 3, 4, 5, … çok sayıda klasör eşit tutulabilir.

Unison ile gelen ayrı bir kullanım kılavuzu yoktur. Unison’un kendi içinden çıkan kullanım kılavuzları tüm özelliklerini özet bir şekilde sunmaktadır.

$ unison -doc topics
Documentation topics:
          about About Unison
         people People
          lists Mailing Lists and Bug Reporting
         status Development Status
        copying Copying
            ack Acknowledgements
        install Installation
       tutorial Tutorial
         basics Basic Concepts
       failures Invariants
        running Running Unison
            ssh Installing Ssh
           news Changes in Version 2.13.15
Type "unison -doc <topic>" for detailed information about <topic>
or "unison -doc all" for the whole manual
$

Yukarıdaki komutla unison içinde yazılı olan tüm kullanım kılavuzlarının konuları listelenmektedir. Okumak istediğiniz kullanım kılavuzu için de “unison -doc konu” biçiminde komut vermelisiniz.

Unison’u kullanmak için ilgili kullanıcı ev dizininde ~/.unison adlı bir klasör oluşturulmalıdır. Bu klasör altında .prf uzantılı unison profile dosyaları oluşturulmalıdır. Ön tanımlı profile dosyası default.prf’dir. İçeriği aşağıdaki gibidir.

root = /home/kullanici/evraklar/aprojesi
root = ssh://kullanici@dosyasunucusu/evraklar/aprojesi
auto = true

Yukarıdaki örnek ssh üstünden iki farklı klasör kökünün eşit tutulması için oluşturulmuş bir örnektir. Yukarıda iki adet root tanımı, bir adet auto tanımı yer almaktadır. root tanımları eşitlenecek olan klasörleri temsil eder. Auto tanımı da true olarak yapılandırılırsa çakışma olmayan durumlarda kullanıcı onayı alınmaksızın eşitlemenin iki taraflı olarak otomatik yapılmasını tercih ettiğimiz manasına gelmektedir. Profile dosyasında kullanılabilecek tüm tanımları ve ne işe yaradıklarını “unison -doc running” komutu ile öğrenebiliyoruz. Tüm tanımlar komut satırından kullanılabildiği gibi yukarıdaki gibi profile dosyası aracılığı ile de kullanılabilmektedir. Aşağıdaki örnek yukarıdaki örneğin komut satırından kullanılma biçimidir ve ilave olarak SSH üstü sıkıştırma özelliği etkinleştirilmiş halidir:

$ unison /home/kullanici/evraklar/aprojesi ssh://kullanici@dosyasunucusu/evraklar/aprojesi -auto true -rshargs "-C"

Windows ortamında Unison aynı biçimde kullanılabilmektedir. Bilgisayarlar arası eşitleme ya Unison’un kendisinin sağlamış olduğu socket bağlantı özelliği ya da rsh / ssh ile yapılabilir. Socket bağlantı özelliği herhangi bir kullanıcı doğrulaması özelliği sağlamadığından dolayı güvenilir değildir. SSH ise hem kullanıcı doğrulaması sağlamaktadır hem de iletişim için şifreli altyapı sağlamaktadır. Windows ortamında ssh veya sshd için Cygwin ile gelen SSH’ın kullanılması unison tarafından önerilmektedir (ssh kurulumu için “unison -doc ssh”). Unison’un windows sürümünün .unison klasörünün yeri windows kullanıcı profilinin köküdür. Örneğin “ismet” isimli kullanıcı için “C:\Documents and Settings\ismet\.unison” klasörüdür. Unison için GTK tabanlı görsel arayüz de kullanılabilir.

Tüm bu olumsuzluklara rağmen SSH ile VPN bağlantısı kurmak mümkündür ve sağlam bir bağlantı üstünde yeterince sağlıklı çalışmaktadır (SSH ile VPN bağlantısı üstünden SIP ile VOIP görüşmesi yapmışlığım var, herhangi bir sorununu görmedim). Diğer olumlu yanları da sunucu’nun sabit IP’si olacak diye bir şart yoktur. DynDNS.org’dan alacağınız bir isimle VPN kurmak istediğiniz SSH sunucunuza DynDNS.org adıyla rahatlıkla ulaşabilirsiniz. Kurulumu diğer VPN çözümlerine göre nispeten daha kolaydır.

SSH VPN bağlantısını pppd yardımı ile gerçekleştirmektedir. VPN’nin kurulabilmesi için SSH istemci ve sunucu taraflarının her ikisinde de pppd’nin kurulu olması bir zorunluluktur. SSH istemcisi ile sunucu arasındaki şifreli bağlantının her iki ucunda yer alan pppd’ler noktadan noktaya iletişik protokolü ile şifreli tünel üzerinden yeni bir ağ kurmaktadırlar. Bu da SSH ile VPN’i meydana getirmektedir.

Tüm bu ön bilgilerden sonra gelelim SSH ile VPN kurulumuna. Hazırlık aşaması biraz uzun ve zahmetli (hangi vpn kolay ki ), ancak hazırlığı bir kere yaptıktan sonra bağlantının kurulması oldukça kolay.

SSH ile VPN bağlantısı kuracak olan istemci ve sunucu Linux’lerin her iki tarafta da firewall/gateway olarak kullanılıyor olması avantajınıza olacaktır. Her iki taraftaki tüm istemciler ön tanımlı ağ geçidi (ing. default gateway) olarak bu Linux’leri kullandıklarından dolayı ilave yönlendirme ayarına gerek kalmayacak ve VPN kurulduğunda birbirlerinin ağlarını görebilir duruma gelecekler. Ancak VPN erişimi yapmak istediğiniz ağdaki Linux sunucusu ilgili ağın yönlendiricisi değilse bir miktar daha çalışma yapmak gerekecek. Bunlara yazının sonlarında değineceğim.

OpenSSH Sunucusu Üzerindeki Hazırlıklar

1. VPN kullanıcısının oluşturulması
Sunucu Linux’te vpn bağlantısının kurulması için ssh ile erişmek üzere kullanacağımız bir kullanıcı hesabı tanımlamalıyız.

root@sunucu# useradd -m -d /home/vpnuser vpnuser
root@sunucu#

2. VPN kullanıcısı için “sudo /usr/sbin/pppd” ayarının yapılması
Tanımlamış olduğumuz vpnuser kullanıcısının pppd’yi çalıştırabilmesi için geçici yetki yükseltmesine ihtiyacımız var. Bunun için sudo altyapısı kullanılacağız. “visudo” komutu ile /etc/sudoers dosyasını düzenlemeliyiz ve aşağıdaki satırı eklemeliyiz.

root@sunucu# visudo

vpnuser ALL=NOPASSWD: /usr/sbin/pppd

Bu düzenlemeyi test edelim:

root@sunucu# su - vpnuser
vpnuser@sunucu$ sudo /usr/sbin/pppd noauth
~�}#�!}!}!} }4}"}&} } } } }%}&�U�}2}'}"}

Yukarıdakine benzer şekilde pppd’nin garip karakterlerini görüyorsak pppd’nin vpnuser tarafından root yetkileri ile çalıştırılması altyapısı hazırdır.

3. SSH açık anahtarının vpn kullanıcısı hesabına yerleştirilmesi
OpenSSH istemci sistemde ilerleyen bölümde hazırlanmış olan ssh açık anahtarını sunucu sistemdeki vpnuser hesabının .ssh/authorized_users dosyasına yazmalıyız. Böylece istemci sistem SSH bağlantısını anahtar altyapısı ile kurabilecektir.

vpnuser@sunucu$ mkdir .ssh
vpnuser@sunucu$ cat id_rsa_vpn.pub >> /home/vpnuser/.ssh/authorized_keys

Genel olarak sunucu sistemdeki hazırlıklar bu kadar. Sıra istemci sistemdeki hazırlıklarda.

OpenSSH İstemcisindeki Hazırlıklar

1. root kullanıcısında VPN için gizli ve açık anahtar oluşturulması

OpenSSH gizli ve açık anahtar oluşturulması için ilave bilgi ihtiyacınız olursa SSH Anahtar Kullanımı başlıklı yazıma başvurabilirsiniz. VPN bağlantısının sistem açılışında otomatik olarak başlatılabilmesi için gizli anahtar şifresinin sadece Enter’a basılarak boş geçilmesi gerekmektedir.

root@istemci# ssh-keygen -t rsa -f /root/.ssh/id_rsa_vpn
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa_vpn.
Your public key has been saved in /root/.ssh/id_rsa_vpn.pub.
The key fingerprint is:
74:9a:43:3a:9a:14:03:20:ce:8d:aa:ba:43:18:09:b8 root@istemci
root@istemci#

Burada oluşturmuş olduğumuz gizli ve açık anahtar ikilisinden açık olanı SSH sunucusundaki vpnuser kullanıcısının .ssh/authorized_users dosyasına eklenmesi gerekmektedir. OpenSSH Sunucusu Üzerindeki hazırlıklar başlığına geri dönerek nasıl yapılacağına tekrar göz atabilirsiniz. Açık anahtarın adı üstünde açık anahtar olduğu için şifreli veya şifresiz bir bağlantı ile istemci sistemden sunucu sisteme aktarabilirsiniz. Ya da offline bir şekilde bir medya aracılığı ile de taşıyabilirsiniz. Ancak hedefe yerleştirmeden önce gözle son bir kontrol faydalı olur, başkasının yerimize VPN yapmasını istemeyiz.

2. VPN bağlantı betiğinin hazırlanması.

VPN bağlantısının kurulması için uzun bir komut yazılması gerekmektedir. Daha pratik olması ve sistem açılışında da kullanılabilmesi için aşağıdaki gibi bir betik hazırlamak daha uygun olacaktır.

===================================

#!/bin/bash

SUNUCU_ADI=sunucu.dyndns.org
SUNUCU_VPNKULLANICI=vpnuser
SUNUCU_VPNIP=172.16.1.2
ISTEMCI_VPNIP=172.16.1.1
GIZLI_ANAHTAR=/root/.ssh/id_rsa_vpn

PATH=/sbin:/bin:/usr/sbin:/usr/bin

case "$1" in
  start)
    pppd updetach noauth passive pty "ssh -P -o StrictHostKeyChecking=no \
         ${SUNUCU_ADI} -i${GIZLI_ANAHTAR} -l${SUNUCU_VPNKULLANICI} \
         -o Batchmode=yes sudo /usr/sbin/pppd nodetach notty noauth" \
         ipparam vpn ${ISTEMCI_VPNIP}:${SUNUCU_VPNIP}
    echo "VPN BASLATILDI!"
    ;;

  stop)
    pkill -f "pppd +updetach +noauth +passive +pty.+ssh.+pppd.+vpn.+\
${ISTEMCI_VPNIP}:${SUNUCU_VPNIP}"
    echo "VPN DURDURULDU!"
    ;;

  *)
    echo "Kullanim: sshvpn {start|stop}"
    exit 1
    ;;
esac

exit 0

===================================

Sıra geldi VPN bağlantımızın test edilmesine.

root@istemci# ./sshvpn.sh
Using interface ppp0
Connect: ppp0 <--> /dev/pts/4
Deflate (15) compression enabled
Cannot determine ethernet address for proxy ARP
local  IP address 172.16.1.1
remote IP address 172.16.1.2
VPN BASLATILDI
root@istemci# ifconfig ppp
ppp0      Link encap:Point-to-Point Protocol 
          inet addr:172.16.1.1  P-t-P:172.16.1.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:246 (246.0 B)  TX bytes:240 (240.0 B)

root@istemci# ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.
64 bytes from 172.16.1.1: icmp_seq=1 ttl=64 time=0.075 ms
64 bytes from 172.16.1.1: icmp_seq=2 ttl=64 time=0.072 ms

--- 172.16.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.072/0.073/0.075/0.008 ms
root@istemci# ping 172.16.1.2
PING 172.16.1.2 (172.16.1.2) 56(84) bytes of data.
64 bytes from 172.16.1.2: icmp_seq=1 ttl=64 time=28.9 ms
64 bytes from 172.16.1.2: icmp_seq=2 ttl=64 time=17.8 ms

--- 172.16.1.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 17.888/23.433/28.979/5.547 ms
root@istemci#

Görüldüğü üzere istemci Linux’ten sunucu Linux’ü kurmuş olduğumuz VPN’den pingleyebildik. İstemci Linux ve sunucu Linux her birisi kendi ağında ağ geçidi (ing. router) / güvenlik duvarı (ing. firewall) görevi görüyorsa bir taraftaki istemci diğer taraftaki istemciyi ssh vpn tuneli üzerinden geçerek görebilecektir. Aynı şekilde tersi de mümkün olacaktır. Diğer bir deyişle iki ağ geçidi linux arasında kurulan SSH VPN site-to-site VPN’dir.

İstemci Linux ağ geçidi değilse, sunucu Linux ağ geçidiyse; olsa olsa client-to-site VPN kurmuş oluruz. Yani istemci Linux’ün üzerinden karşıdaki istemcilere / sistemlere ulaşabiliriz. Ancak bizim ağımızdaki diğer istemcilerin ulaşabilmesi için yönlendirme tablolarına istemci linux’ümüzün IP adresini karşı ağa gidiş noktası olarak tanımlamalıdırlar.

Ayarlama aşaması biraz zahmetli. Ancak bugüne kadar zahmetsiz bir VPN kurulumu görmedim ben. Tüm VPN teknolojilerinin kurulma aşaması zor ve uğraştırıcı oluyor. Bir kere kurulduktan sonra da rahat bir şekilde kullanılabilir.

İleri Düzey SSH serisi yazılarımı bu son yazı ile burada noktalıyorum ve OpenSSH’ın diğer özelliklerini keşfetmeyi de sizlere bırakıyorum.

İşletim sistemi olarak Ubuntu 8.04.1 Server sürümünü tercih ettim. Sunuculuk görevi olduğu için racon ve tecrübelerim gereği /boot, /, /usr, /home, /var, /tmp ve swap olarak 7 disk bölümü oluşturdum. Kurulum bittikten sonra BIOS’tan güç seçeneklerinden elektrik kesintisi sonrası son durumunu (ing. last state) korumasını, hatta kapalıysa her gece 04:00′da açılmasını, hiçbir hata durumunda açılışını durdurumamasını (ing. halt on no errors) belirtip kaydettim.

Ev şartlarında 7/24 çalışabilmesi için ısı yapabilecek her türlü fuzuli bileşeni çıkardım. Ses kartı, TV kartı, disket sürücüsü, CD-ROM sürücüsü, Ekran kartı da dahil. Sadece anakart, işlemci, ram, disk ve ethernet kartı kaldı. Artık pöfür pöfür serin bir şekilde çalışır.

Ekran kartını çıkartmadan önce sistem konsoluna seri port üzerinden ulaşabilmem için önce /boot/grub/menu.lst dosyasına aşağıdaki satırları ekledim.

serial --unit=0 --speed=38400
terminal --timeout=10 serial console

İlk satırla seri portlarımızdan 0. (sıfırıncı, COM1 veya ttyS0) olanını 38400bps hızında yapılandırmasını belirtiyoruz. İkinci satırla da GRUB’a terminal olarak öncelikle seri portu, ikinci olarak da sistem konsolunu kullanmasını ve 10 saniye süre ile kullanıcının seçim yapmasını beklemesini belirtiyoruz. 10 saniye içinde kullanıcıdan bir tepki gelmezse öncelikli olarak seri portu kullanmasını belirtmiş oluyoruz (serial ifadesi console ifadesinden önce yer alıyor). Ayrıca çekirdek parametreleri arasına da aşağıdakileri ekledim.

console=tty0 console=ttyS0,38400n8

GRUB görevi Linux çekirdeğine devrettiğinde çekirdek hem sistem konsoluna hem de seri porta açılış mesajlarını basıyor olacak. GRUB’da olduğu gibi seri portu ttyS0 ve 38400bps hızında 8 bit non-parity modunda çalışacak biçimde yapılandırmış oluyoruz. /boot/grub/menu.lst dosyası ile işimiz bitti.

Sırada seri portta getty çalıştırma var. Namı diğer login ekranı. Gözüm hemen /etc/inittab’ı aradı. Ancak yerinde yeller esiyor. Ufak bir Google araştırması ile /etc/event.d klasörüne bakmam gerektiğini öğrendim. Klasörü incelediğimde inittab dosyası ile ayarlanabilen her türlü özelliğin dosyalara parçalanmış olduğunu fark ettim. tty6 isimli dosyadan bir tane ttyS0 bir tane de ttyS1 adında olmak üzere iki kopya çıkarttım. Sırasıyla son satırlarını aşağıdaki gibi yapılandırıp kaydettim:

exec /sbin/getty 38400 ttyS0

exec /sbin/getty 38400 ttyS1

Yani getty’a aygıt olarak ttyS0 kullanmasını ve 38400bps’de kullanmasını belirtmiş oldum. ttyS1 dosyasında da ttyS1 halini belirtmiş oldum. İlk seri porta bir null modem seri kablosu takarak laptop’ımın seri portuna bağladım ve laptop’umda minicom çalıştırıp 38400bps 8bit non-parity modunu ayarladım. Tüm bu seri konsol ayarlamalarından sonra ilk yeniden başlatmayı gerçekleştirdim. Herşey mükemmel bir şekilde çalıştı. Sistem tamamen açıldıktan sonra ikinci seri portta da bir terminalin hazırda beklediğini gözlemledim.

Ekran kartını da sökerek son bir deneme daha yaptım. Uzun bir bip ve iki kısa bipten sonra (ekran kartı ya da görüntü aygıtı hazır değil manasına geliyor) GRUB’ı ilk seri portta gördüm. Çekirdek çok güzel bir şekilde tüm açılış sürecini burada görüntüledi. Son olarak da login ekranı geldi. Başarıyla oturum açtım. Evdeki masaüstü bilgisayarımın yakınlarında yer alan bir dolabın içerisine hava alabilecek şekilde konumlandırdıktan sonra da kullanıma aldım.

Şimdilik sadece DNS, dosya ve SSH sunuculuk hizmetleri verecek şekilde ayarladım. Gerisini de vakit buldukça, ihtiyaç doğdukça ayarlıyor olacağım. Öncelikle bu sıcak havalarda 1 haftalık 7/24 çalışma testinden başarıyla çıkması gerekmekte. Ancak hava şartlarının aşırı sıcak oluşu beni endişelendiriyor.

Buradaki kurgu ve senaryo aslında Yerel Port Yönlendirme yazısındaki senaryo ile aynı. Yani iş yerimizdeyiz, evimizde bizi SSH 22 TCP portundan dinleyen bir linux’ümüz var ve evdeki diğer bilgisayarlardan birisine (192.168.32.17 IP adresli bilgisayara) ulaşmamız gerekiyor.

$ ssh -D 20000 kullanici@ev.homeip.net
Evine Hosgeldin Sahip!
evlinux$

Yukarıdaki gibi bir ssh komutu ile evimizdeki Linux üzerinde açmış olduğumuz oturum açık durduğu sürece, işyerinde başında oturduğumuz bilgisayardaki SSH istemcisi 127.0.0.1 IP adresindeki 20000 numaralı TCP portunu dinler ve Socks Proxy hizmeti verir.

Bu aşamadan sonra herhangi bir programı evmizdeki bilgisayarlara bağlanmak için kullanamıyoruz. Özellikle Socks Proxy ayarı yapılabilen, socks proxy ile konuşabilen programları kullanabiliyoruz. Bunlar arasında Web Gezginleri (firefox, opera, ie, …), Anlık Mesajlaşma yazılımları (MSN Live Messenger, ICQ, Gtalk, YahooIm, …), IRC yazılımları, Putty, WinSCP, … İlgili istemci programı çalıştırdıktan sonra bağlantı ayarları kısmına socks proxy ayarımızı sunucu 127.0.0.1 port 20000 olarak giriyoruz. Daha sonra da bağlanacağımız adres alanına da evimizdeki IP’leri doğrudan yazabiliriz. Socks Proxy sunucusu görevi yapmakta olan SSH istemcisi kendisine gelen bağlantı istemlerini alıp, mevcut SSH oturumunuz üzerinden şifreli bir şekilde evinizdeki SSHD’ye kadar götürecek, SSHD de sizin için ilgili IP adresine bağlanacaktır.

Linux’teki ssh, telnet gibi standart istemcilerin socks proxy ile konuşma yetenekleri bulunmamaktadır. Bir Linux başında iken en kolay Socks Proxy’li ssh erişimi Putty’nin linux sürümü ile yapılabilmektedir. İlla ki komut satırından standart OpenSSH istemcisini veya diğer socks proxy konuşma yeteneği olmayan uygulamalara socks proxy’nizi kullandırmak istiyorsanız tsocks adındaki paketi önerebilirim. Tsocks’un proxy ayarı yapıldıktan sonra

$ tsocks ssh 192.168.32.23

$ tsocks wget http://192.168.32.17

biçiminde kullanılmaktadır. Birçok istemci program ile bu şekilde kullandım, yeterince sağlam ve sağlıklı çalışmaktadır. Çalışma mantığı da ağ uygulamasının sistem ağ işlevlerini çağırması anında araya girerek socks proxy ile konuşup tünellemesi ve cevapları da uygulamaya geri iletmesidir.

Putty aynı OpenSSH istemcisi gibi Dinamik Port Yönlendirme’yi deteklemektedir. Böylece Windows kullanıcıları da erişebilecekleri bir Linux OpenSSH sunucuları olduğu sürece Windows bilgisayarlarını Putty ile Socks Proxy’ye çevirebilirler.

İleri Düzey SSH serisi yazılarımın SSH ile VPN bölümünde buluşmak üzere.

Ağ Kurgusu: Evinizde bir adet Linux sistemi var ve üzerinde çalışmaktasınız. ADSL modeminizin Internet’e bakan yüzünde sadece 22 numaralı SSH portu içteki bu Linux bilgisayarınızın 22 numaralı portuna yönlendirilmiş durumda. Yani herhangi bir yerden evinizdeki Linux’ünüze SSH ile erişilebilmektedir. Diğer yandan iş yerinize doğrudan erişiminiz yok. Bu sırada izinli olduğunuz için evinizdesiniz. İş yerindeki mesai arkadaşınız sizi aradı ve sizin yetkili olduğunuz 192.168.17.13 IP adresli sunucu sisteminde acil bir çalışma yapmanız gerektiğini iletti. Elde avuçta sadece bir bağlantı yöntemi var, o da iş yerinizden evinizdeki OpenSSH sunucusuna 22 numaralı porttan erişim imkanı.

Senaryo: Başında çalışmakta olduğunuz evinizdeki Linux’ün üstünde, mesai arkadaşınızın SSH oturumu açabileceği bir kullanıcı hesabı tanımlamalısınız. Daha sonra da mesai arkadaşınızdan kendi bilgisayarından aşağıdaki komutla sizin Linux’ünüze SSH oturumu açmasını istemelisiniz…

$ ssh -R 2222:192.168.17.13:22 kullanici@ev.homeip.net
Password:
Evine Hosgeldin Sahip!
evlinux$

Bu aşamadan itibaren kendi evinizde başında oturmakta olduğunuz Linux sistemi üzerinde 2222 numaralı TCP portu mesai arkadaşınıza hizmet veren sshd tarafından dinlenmeye başlamakta. Artık kendi Linux’ünüzden aşağıdaki komutla iş yerinizdeki 192.168.17.13 IP adresli sunucu sisteme SSH bağlantısı kurabilir ve üzerinde çalışabilirsiniz, yeter ki mesai arkadaşınız ilgili SSH oturumunu sonlandırmasın.

evlinux$ ssh -p 2222 root@localhost
Password:
Sirketin 192.168.17.13 Sunucusuna Hosgeldiniz!
sunucu#

Yukarıdaki örnekte de görüldüğü gibi artık çalışma yapmanız gereken sunucudasınız.

Biraz daha açıklamak gerekirse ssh istemcisinin uzak port yönlendirme seçeneği var (-R). Bu seçeneğin kullanılması zorunlu olan bir parametresi var. Bu parametre de aslında birbirinden “:” ile ayrılmış zorunlu 3 parçalı veya seçimlik olarak 4 parçalı dinlenecek ip ve port, bağlanılacak ip ve port bilgilerinden oluşmaktadır. Aşağıda “[]” arasına alınmış olan parça seçimliktir. Belirtilmezse 127.0.0.1 olduğu farz edilmektedir.

-R [uzakdinlemeip:]uzakdinlemeport:yerelbaglantıip:yerelbağlantıport

Yukarıda kullanım biçimi tarif edilen uzak port yönlendirme seçeneğinde kırmızı ile işaretlenmiş kısım SSH oturumu açılan sshd sunucusunun dinleyeceği IP:PORT bilgisini, mavi ile işaretlenmiş kısım da bağlantıyı kuran SSH istemcisinin bizim için bağlanacağı IP:PORT bilgisini ifade etmektedir. Kırmızı ile işaretli alanda SSH oturumu açılan sshd’nin çalıştığı bilgisayarda var olan IP adreslerinden birisini ve boşta olan portlardan birisini yazmalıyız. Mavi ile işaretli alanda ise SSH erişimini gerçekleştirdiğmiz SSH istemci sistemin bağlanabileceği bir IP adresi ve portunu yazmalıyız. SSH oturumu açıldığında uzaktaki sshd sunucusu kırmızı işaretli alanda tanımlı IP adresi ve portundan dinlemeye başlayacaktır (”netstat -nltp” ile dinlenen TCP portları ve dinleyen süreçler listelenebilir, kırmızı ile belirtilmiş olan portu sshd sürecinin dinliyor olması beklenir). Bu IP adresi ve portuna bir bağlantı geldiğinde mevcut SSH oturumu bağlantısı üstünden karşı taraftaki SSH istemcisine kadar gidecek ve oradan da mavi ile işaretli alandaki IP adresine ve portuna bağlanacaktır.

“-R” seçeneklerinden istediğiniz kadar kullanmakta özgürsünüz. Yani tek bir SSH bağlantısı ile birden fazla port yönlendirme gerçekleştirebilirsiniz.

SSH bağlantısını kuracak olan kişi Windows kullanıyorsa putty ile benzer şekilde uzak port yönlendirmesi yapabilir. Böylece mesai arkadaşınızın bilgisayarı Windows da olsa SSH uzak port yönlendirme Putty ile aynı şekilde çalışmaktadır.

İleri düzey SSH kullanımı ile ilgili sıradaki yazım SSH Dinamik Port Yönlendirme‘de görüşmek üzere.

Ağ Kurgusu: Evinizde iki adet bilgisayar sistemi var. ADSL modeminizin Internet’e bakan yüzünde sadece 22 numaralı SSH portu içteki Linux bilgisayarınızın 22 numaralı portuna yönlendirilmiş durumda. Yani herhangi bir yerden evinizdeki Linux’ünüze SSH ile erişebiliyorsunuz. Sadece bu SSH bağlantısı sayesinde eviniz ağındaki diğer tüm kaynaklara, bilgisayarlara SSH Yerel Port Yönlendirme ile erişim sağlanabilmektedir. Hatta diğer bağlantılar SSH’ın sağlamış olduğu şifreli bağlantı üzerinden tünellenerek iletileceği için daha güvenli erişim imkanınız olmuş olacak.

Senaryo 1: Evinizde 192.168.32.18 IP adresli bir Windows var. Evinizdeki Linux’e SSH ile erişerek 192.168.32.18 IP adresli windows’a rdesktop erişimi yapmak istiyorsunuz. Önce bir uçbirimden (ing. terminal) yerel port yönlendirmesi ayarlı SSH bağlantısı gerçekleştirilir.

$ ssh -L 3389:192.168.32.18:3389 kullanici@ev.homeip.net
Evine Hosgeldin Sahip!
evlinux$

Bu aşamadan itibaren başında oturmakta olduğunuz bilgisayarın 127.0.0.1:3389 numaralı portu ssh istemcisi tarafından dinlenmeye başlamakta. Mevcut bağlantıyı kesmeden, başında oturmakta olduğunuz bilgisayarın bir başka uçbiriminden aşağıdaki komutu verdiğinizde

$ rdesktop 127.0.0.1:3389

Karşınızda evinizdeki 192.168.32.18 IP adresli Windows’un rdesktop ekranı belirecek. Güvenle kullanabilirsiniz.

Biraz daha açıklamak gerekirse ssh istemcisinin yerel port yönlendirme seçeneği var (-L). Bu seçeneğin kullanılması zorunlu olan bir parametresi var. Bu parametre de aslında birbirinden “:” ile ayrılmış zorunlu 3 parçalı veya seçimlik olarak 4 parçalı dinlenecek ip ve port, bağlanılacak ip ve port bilgilerinden oluşmaktadır. Aşağıda “[]” arasına alınmış olan parça seçimliktir. Belirtilmezse 127.0.0.1 olduğu farz edilmektedir.

-L [yereldinlemeip:]yereldinlemeport:uzakbaglantıip:uzakbağlantıport

Yukarıda kullanım biçimi tarif edilen yerel port yönlendirme seçeneğinde kırmızı ile işaretlenmiş kısım ssh istemcisinin dinleyeceği IP:PORT bilgisini, mavi ile işaretlenmiş kısım da bağlantı kurulan SSH sunucusunun bizim için bağlanacağı IP:PORT bilgisini ifade etmektedir. Kırmızı ile işaretli alanda ssh istemcisini çalıştırdığımız bilgisayarda var olan IP adreslerinden birisini ve boşta olan portlardan birisini yazmalıyız. Mavi ile işaretli alanda ise SSH ile erişeceğimiz sunucunun bağlanabileceği bir IP adresi ve portunu yazmalıyız. SSH oturumu açıldığında ssh istemcisi kırmızı işaretli alanda tanımlı IP adresi ve portundan dinlemeye başlayacaktır (“netstat -nltp” ile dinlenen TCP portları ve dinleyen süreçler listelenebilir, kırmızı ile belirtilmiş olan portu ssh sürecinin dinliyor olması beklenir). Bu IP adresi ve portuna bir bağlantı geldiğinde mevcut SSH oturumu bağlantısı üstünden karşı taraftaki SSH sunucusuna kadar gidecek ve oradan da mavi ile işaretli alandaki IP adresine ve portuna bağlanacaktır.

“-L” seçeneklerinden istediğiniz kadar kullanmakta özgürsünüz. Yani tek bir SSH bağlantısı ile birden fazla port yönlendirme gerçekleştirebilirsiniz. Örnek için Senaryo 2′yi takip ediniz.

Senaryo 2: Aynı windows bilgisayarınıza rdesktop ile erişirken, diğer yandan smbmount ile evdeki paylaşımı, başında oturduğunuz bilgisayarın dosya sistemine bağlamak istiyorsunuz. Ancak başında oturduğunuz bilgisayarın 139 numaralı portu samba çalıştığı için meşgul…

$ ssh -L 0.0.0.0:3389:192.168.32.18:3389 -L 10139:192.168.32.18:139 kullanici@ev.homeip.net

Yukarıdaki örnekte iki adet “-L” seçeneği aynı anda kullanılmış. İlki rdesktop yerel port yönlendirmesi iken, ikincisi de SMB port yönlendirmesi. Ancak başında oturduğumuz bilgisayarın 139 numaralı portu dolu olduğu için maalesef standart dışı başka bir port olarak 10139′dan dinlemesi gerektiğini belirtmiş oluyoruz. İlk “-L” seçeneğinin parametresi 4 parçalı bir örnek olup, ilk parçanın 0.0.0.0 IP adresi olduğuna dikkat ediniz. Yani başında oturduğumuz bilgisayarın tüm IP adreslerinden 3389 numaralı port ssh istemcisi tarafından dinleniyor olacak. Yani bulunduğumuz ortamdaki diğer bilgisayarlar, başında bulunduğumuz bilgisayara rdesktop bağlantısı kurarlarsa kendilerini evimizdeki 192.168.32.18 IP adresli windows bilgisayarımıza erişmiş bulacaklar. Tam bir matrix.

Gelelim diğer bir uçbirimden evimizdeki 192.168.32.18 IP adresli Windows’un paylaşımının başında bulunduğumuz bilgisayarın dosya sistemine bağlanmasına. Bir başka uçbirimden root kullanıcısı olarak:

# mount -t cifs -o ip=127.0.0.1,port=10139,user=Administrator //evdekiwindows/c$ /mnt
Password:
#

Yukarıdaki gibi bir mount komutu girdiğimizde 127.0.0.1′in 10139 portuna bağlanmasını, kullanıcı olarak kendisini Administrator olarak tanıtmasını ve //evdekiwindows/c$ ön tanımlı paylaşımını /mnt altına bağlaması emrini vermiş oluyoruz.

SSH’ın port yönlendirme özelliklerinden bol bol yararlandım ve çok sağlam çalışan bir yapı. Bu yöntemle MegaByte’lar aktardım. SSH’ın sıkıştırma seçeneği de kullanılarak giden gelen trafiğin daha az miktarda olması ve aktarım performansının yüksek olması da sağlanabilmektedir.

Aynı yerel port yönlendirme özelliği Putty’de de bulunmaktadır. Putty ile bağlantı kurmadan önce SSH Seçeneklerinden aynı ayarlar yapılabilmektedir. Böylece başında bulunduğunuz bilgisayar Windows da olsa SSH yerel port yönlendirme Putty ile aynı şekilde çalışmaktadır.

İleri Düzey SSH serisi yazılarımdan SSH Uzak Port Yönlendirme‘de görüşmek üzere.

Gizli anahtarın SSH ajanı belleğine yüklenmesi

$ ssh-add
Enter passphrase for /home/kullanici/.ssh/id_rsa:
Identity added: /home/kullanici/.ssh/id_rsa (/home/kullanici/.ssh/id_rsa)

Bu aşamadan sonra yapılan ssh erişimlerinde hedef sistem ve kullanıcı hesabında ssh açık anahtarınız varsa gizli ahantarınızın şifresi sorulmadan erişim yapılabilecektir.

$ ssh kullanici@sistem
kullanici@sistem$

SSH ajanı belleğinden gizli anahtarın silinmesi

$ ssh-add -D

SSH Ajanı belleğine alınmış olan tüm gizli anahtarlar “ssh-add -D” ile silinmektedir. Bilgisayarın başından ayrılacağınız zaman SSH ajanının belleğinin silinmesi güvenlik açısından yararlı bir davranış olacaktır.

ssh-add ile yapılabilecek diğer şeyler için kullanım kılavuzunu okumanız önerilir.

Şimdi SSH ajanı sayesinde yapılabilen bir başka senaryodan bahsetmek istiyorum.

Bir başka bilgisayarın başında oturuyorsunuz. Sizden sunucuların birisinde bir iş yapmanız isteniyor. Ancak bilgisayarınız sizden çok uzakta. Bu durumda bilgisayarınıza ssh ile erişerek, bilgisayarınızda yer alan gizli anahtarınızı başında oturmakta olduğunuz bilgisayarın SSH ajanına yükleyebilir, başında oturduğunuz bilgisayardan ssh açık anahtarınızın yer aldığı tüm sistemlere aynı şekilde şifresiz olarak erişebilirsiniz.

yabancimasaustu$ ssh -A kullanici@benimmasaustu
kullanici@benimmasaustu$ ssh-add
Enter passphrase for /home/kullanici/.ssh/id_rsa:
Identity added: /home/kullanici/.ssh/id_rsa (/home/kullanici/.ssh/id_rsa)
kullanici@benimmasaustu$ exit
yabancimasaustu$ ssh kullanici@sistem
kullanici@sistem$

Bu kadar basit. SSH gizli anahtarınız yanınızda değil, ancak erişilebilir ise eliniz kolunuz bağlı değil, bilhakis SSH ajanı sayesinde özgürlüğünüze özgürlük kattınız. Burada önemli olan kendi bilgisayarınıza erişim yaparken SSH Agent forwarding parametresi olan “-A” parametresinin unutulmamasıdır. SSH erişimlerinizde “-A” parametresini kullanmayı alışkanlık haline getirirseniz erişmiş olduğunuz sistemden diğer sistemlere de şifresiz bir şekilde atlama yapabilirsiniz.

Peki ya Windows kullanıcıları? Onlar da OpenSSH ile tamamen uyumlu çalışan Putty Agent’ı kullanabilirler. SSH Agent forwarding parametresini SSH seçeneklerinden açmayı da unutmamaları gerekmekte.

İleri düzey SSH kullanımı ile ilgili sıradaki yazım SSH Yerel Port Yönlendirme‘de görüşmek üzere.

SSH anahtar ikilisi oluşturma:
SSH anahtar ikilisini oluşturmak için ssh ile beraber gelen ssh-keygen aracı kullanılmaktadır.

$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kullanici/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/kullanici/.ssh/id_rsa.
Your public key has been saved in /home/kullanici/.ssh/id_rsa.pub.
The key fingerprint is:
52:eb:1c:ad:4f:76:a4:b6:a3:62:bf:95:0f:87:41:c2 kullanici@sistem

ssh-keygen herhangi bir parametre olmaksızın yukarıdaki gibi çalıştırıldığında ön tanımlı olarak SSHv2 için rsa türünde bir anahtar ikilisi üretmektedir. Yukarıda da görüldüğü gibi ~/.ssh/id_rsa gizli anahtar, ~/.ssh/id_rsa.pub da bu gizli anahtara ilişkin açık anahtarıdır. Açık anahtarı kaybedilirse üzülmeye gerek yok, gizli anahtarın yardımı ile tekrar oluşturulabilmektedir veya daha önce yerleştirildiği sunuculardan bir kopya olarak alınabilir:

$ ssh-keygen -y
Enter file in which the key is (/home/kullanici/.ssh/id_rsa):
Enter passphrase:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAzmrpzbnHCSARj4YkBy
SRlXrybTOCa5h6AoMe4onDqJYqmhgazNejwScCUXqLxfdT0bnvgds2
tgs9xoJGzvHHdiO59QJ0rUhMYE3q9F4c0u3WZf2sc2bax+S+Eeyz9y
82u9Hs6+J3ediQUoPaJCbqMeYRD55EZMc4ei2CB+eqhqk=

Gizli anahtardan açık anahtarını elde etmeye yarar. Gizli anahtarın şifresi (ing. passphrase) unutulduğu taktirde gizli anahtarı kurtarmanın ve tekrar kullanılabilir yapmanın yolu yoktur. Böyle bir durumda yeni bir anahtar ikilisi oluşturulmalı ve hedef sistemlere yeni açık anahtarı uygun şekilde dağıtılmalıdır.

Anahatar ikilisi hazır. Peki ya şimdi? Şimdi sıra açık anahtarının ilgili sistemlere yerleştirilmesinde. Hedef sisteme bir defaya mahsus klavye etkileşimli erişim yapılmalıdır. SSH ile uzak erişim gerçekleştiğinde

$ vi ~/.ssh/authorized_keys

~/.ssh/authorized_keys adında bir dosya editörle açılmalı ve yeni bir satır oluşturularak tek satır halinde SSH açık anahtarı bu satıra yapıştırılmalıdır. authorized_keys dosyasına yeni açık anahtarı tek satır olarak eklendikten sonra kaydedilerek sisteme olan erişim kesilebilir. Aynı sisteme aynı kullanıcı adı ile bir sonraki erişimde kullanıcı adına ilişkin şifre yerine size ait olan gizli anahtarın şifresi sorulacaktır. SSH ile erişmek istediğiniz uzak sistemdeki ilgili kullanıcıların ev dizinleri altına ~/.ssh/authorized_keys adında dosya oluşturulmalı veya varsa içerisine yeni bir satır olarak gizli anahtara ait olan açık anahtarı yapıştırılmalıdır.

Benzer şekilde kullanılması planlanan diğer sistemlere de erişim yaparak ~/.ssh/authorized_keys dosyası ilgili kullanıcılar için oluşturabilir, dosya varsa da açık anahtarı tek satır halinde girilerek kaydedilebilir. Önemli olan açık anahtarının tek satır halinde girilmesidir. Tek satırlık yapısı bozulduğu taktirde SSH anahtar ile erişim yöntemi çalışmayacaktır.

SSH gizli anahtarının şifresi değiştirilmek istendiğinde

$ ssh-keygen -p

komutu kullanılabilir. Eski şifre bir kere, yeni şifre de iki kere sorulacaktır. Bu işlemden sonra yeni şifre geçerli olacaktır.

SSH Ajanı Kullanımı adlı bir sonraki bölümde görüşmek üzere.

SSH Secure SHell’in kısaltılmış halidir. OpenBSD projesi içerisinde OpenSSH adıyla doğmuş bir alt projedir. Telnet, rsh, rlogin gibi uzaktan UNIX yönetmeye yarayan araçların yerine güvenli bir çözüm olması amacıyla geliştirilmiştir. Ön tanımlı olarak TCP 22 portundan çalışmaktadır. SSH v1 ve v2 sürümleri vardır. SSHv1 sürümü kolay kırılabilir olduğu için v2′nin kullanımı önerilmektedir ve birçok sistem yöneticisi SSH sunucularının v1 konuşmasını engellemektedir.

SSH uzaktan UNIX yönetme dışında scp ve sftp alt hizmetlerine de sahiptir. Bu şekilde scp veya sftp araçlarını kullanarak aynı TCP 22 numaralı port üzerinden sistemler arası güvenli dosya alışverişi de yapılabilmektedir. Hemen hemen tüm UNIX sistemlerinde bulunmaktadır. Windows üstünde OpenSSH sunucu yazılımı cygwin ortamı ile derlenip çalıştırılabilmektedir. SSH aynı zamanda mevcut güvenli bağlantısı üzerinden port yönlendirebilmektedir. Diğer bir deyişle bir başka uygulamanın bağlantısını kendi üzerinden geçirerek hedef sisteme güvenli bir şekilde ulaştırabilmektedir. SSH X11 yönlendirmesi de yapabilmektedir. Yani SSH ile bağlanılan uzak UNIX üstündeki grafik tabanlı uygulamaları rahatlıkla çalıştırılabilmektedir. SSH socks proxy’lik yapabilmektedir. Socks proxy özelliği Dynamic Port Forwarding olarak adlandırılmaktadır. SSH ile Linux sistemler arasında VPN de kurulabilmektedir. SSH gizli / açık anahtar ikilisi (ing. private / public key pair) ile çalışarak kullanıcı doğrulama da yapabilmektedir. Arzu edilirse SSH özel anahtarı bir smartcard donanım üzerinde de saklayıp kullanabilmektedir. Özet olarak SSH çok marifetli bir uygulamadır. Kullanımına alışınca güvenlik duvarı atlatma, güvenli dosya transferi, socks proxy hizmeti, VPN gibi birçok ihtiyacınızı SSH ile karşılayabilirsiniz.

Windows işletim sistemi üzerinde SSH istemcisi olarak putty, SCP ve SFTP amacıyla da WinSCP kullanılabilir.

Temel kullanımı aşağıdaki biçimdedir:

$ ssh -l kullanici wrana.pro-g.com.tr

wrana.pro-g.com.tr sunucu sistemine kullanici kullanıcısı ile uzak komut satırı oturumu açar.

$ ssh kullanici@192.168.0.117

192.168.0.117 sunucu sistemine kullanici kullanıcısı ile uzak komut satırı oturumu açar.

$ ssh root@192.168.0.117 halt -p

192.168.0.117 sunucu sistemine root kullanıcısı ile uzak oturum açar, halt -p komutunu işletir ve komut sonlanır sonlanmaz oturum otomatik olarak kapatılır.

$ scp dosya kullanici@sistem:

kullanici kullanıcı kimliği ile sistem sunucusuna ssh oturum açar, dosya isimli yerel dosyayı sistem isimli sistemdeki kullanici kullanıcısının ev klasörüne kopyalar. Uzak sistem tanımından sonra “:” karakteri önemlidir. Unutulmamalıdır. Aksi taktirde bildiğimiz yerel cp komutu görevi görür.

$ scp dosya kullanici@sistem:/tmp

kullanici kullanıcı kimliği ile sistem sunucusuna ssh oturum açar, dosya isimli yerel dosyayı sistem isimli sistemdeki /tmp klasörüne kopyalar. Uzak sistem tanımından sonra “:” karakteri önemlidir. Unutulmamalıdır. Aksi taktirde bildiğimiz yerel cp komutu görevi görür.

$ scp kullanici@sistem:tmp/dosya .

kullanici kullanıcı kimliği ile sistem sunucusuna ssh oturumu açar, uzaktaki kullanici kullanıcsının ev klasörü altında yer alan tmp klasörü altındaki dosta isimli dosyayı yerel sistemde bulunduğnuz yere kopyalar. Uzak sistem tanımından sonra “:” karakteri önemlidir. Unutulmamalıdır. Aksi taktirde bildiğimiz yerel cp komutu görevi görür.

$ sftp kullanici@sistem
SFTP> pwd
/home/kullanici
SFTP> put dosya
SFTP> exit

kullanici kullanıcı kimliği ile sistem sunucusuna ssh oturumu açar, yerel bilgisayarda bulunulan yerdeki dosya isimli dosya uzak sisteme transfer edilir. SFTP FTP’ye benzeyen komutlara sahiptir. put ile dosya uzak sisteme transfer edilirken, get ile dosya uzak sistemden indirilir. Daha fazla komut için SFTP komut isteminde help komutunu işletilebilir.

SSH temel kullanımı bu şekildedir. Temel kullanımda daha fazla teferruata girmeye gerek yoktur. Adı üstünde; temel kullanım.

Ancak SSH ile yapılabilecek ve fantezi olarak adlandırabileceğim diğer konularda yeterince ayrıntıya giriyor olacağım. Lütfen günlüğümü izlemeye devam ediniz.

Takip edecek olan İleri Düzey SSH serisi yazılarım:

1. SSH Hakkında
2. SSH Anahtar Kullanımı
3. SSH Ajanı Kullanımı
4. SSH Yerel Port Yönlendirme
5. SSH Uzak Port Yönlendirme
6. SSH Dinamik Port Yönlendirme
7. SSH ile VPN