Hlavní navigace

Linux jako internetová gateway (3)

Jan Vondráček 28. 1. 2004

Dnes se podíváme na to, jak router ovládat z dálky přes telnet nebo ssh.

Dálková správa

Zprovozníme si dálkovou správu. Budeme k tomu používat telnet server, realizován in.telnetd, v linuxové terminologii daemon, a ten bude spouštěn programem inetd. Tento daemon řídí spouštění všech ostatních daemonů pro síťové služby, třeba i ftp. Novějším daemonem xinetd se zabývat nebudeme, tento stačí. Editujte tedy soubor  /etc/inetd.conf.

Služby, které mají na začátku řádku #, jsou zakomentované a nespouštějí se. Měli byste dosáhnout stavu, že spuštěné jsou jen ty služby, které skutečně potřebujete, takže zde může být jen jeden řádek a ten se týká telnetu.

Telnet je služba poněkud napadnutelná a odposlechnutelná, proto bych ji třeba na Internetu nepoužil, ovšem v rámci lokální sítě, kde nehrozí nebezpečí odposlechu rootovského hesla, bych řekl, že to nevadí, ale stejně si tuto službu ještě dodatečně zabezpečíme. Pokud budete chtít dělat správu z Internetu, použijeme sshd, ale pro jednodušší ovládání teď použijeme telnet.

Abychom se na náš router mohli zalogovat, musíme ještě povolit logování jako root přes telnet, editujte soubor /etc/securetty a zde zrušte # u několika, třeba tří pts/x. V tomto souboru je seznam bezpečných terminálů pro nalogování roota, jako výchozí nastavení je ttyx, což je konzole s klávesnicí. ttySx jsou seriové porty, ttyp, paralelní a pts telnet… Pokud toto máme, ještě musíme nechat inetd načíst naši novou konfiguraci a zároveň si ověříme, zda běží.

Ještě odbočím, abyste zjistili, jaké služby váš server nabízí, a také, zda byla vaše rekonfigurace úspěsná, napište netstat -a, rychlejší je parametr -an, nepřekládá čísla na jména, třeba u služeb, že 23 je telnet, nebo doménová jména místo IP adres. Zobrazí se tabulka a v ní jsou služby, i s omezeními přístupu, a u které je listen, tam server poslouchá a může se s ním navazovat spojení.

root@thovt:~# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address  Foreign Address  State
tcp        0      0 0.0.0.0:21     0.0.0.0:*        LISTEN
tcp        0      0 0.0.0.0:23     0.0.0.0:*        LISTEN
tcp        0    138 192.168.1.1:23 192.168.1.2:1027 ESTABLISHED
udp        0      0 0.0.0.0:68     0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type  State I-Node Path
unix  4      [ ]   DGRAM       64     /dev/log
unix  2      [ ]   DGRAM       9860
unix  2      [ ]   DGRAM       67 

To ale neznamená, že služba skutečně funguje, protože pokud tam máte třeba FTP a FTP server není vůbec nainstalovaný a rozchozený, pak se tam prostě přes FTP nenalogujete. Nyní vám to vypsalo spoustu služeb, mnoho z nich není vůbec nainstalováno, toto je nějaké výchozí nastavení, jdeme tedy restartovat inetd.

Napište ps aux a objeví se vám seznam procesů, které právě běží, a jedním z nich by měl být i náš inetd. Pokud jej nemůžete najít, zkuste napsat ps aux | grep inetd, tento výpis vám vrátí jeden řádek, ten, co obsahuje slovo inetd (grep lze použít k libovolnému příkazu):

root@thovt:~# ps aux | grep inetd
root 81 0.0 1.7 1412 492 ? S 2003 0:00 /usr/sbin/inetd 

Podrobným rozebíráním položek se zde zabývat nebudeme, na to je třeba Linux dokumentační projekt nebo manuálové stránky, man ps, ale pro nás je podstatné následující – číslo v druhém sloupci a samozřejmě poslední sloupec, kde je napsáno, o jaký program se jedná. To číslo se nazývá PID a s jeho pomocí program můžeme třeba násilně ukončit nebo nechat znovu načíst konfiguraci. PID si programy ještě ukládají na disk do textového souboru, to je kvůli tomu, aby se nemusel takto pracně vždy hledat a dal se třeba použít ve skriptech. Ukládá se do adresáře /var/run. Zadejte:

root@thovt:~# cat /var/run/inetd.pid

81

Jak je vidět, oba výpisy nám vrátily stejnou hodnotu, a to číslo 81. Nyní můžeme daemon restartovat, a to dvěma způsoby, zde pozor na velikost písmen!!!

kill -HUP 81

nebo

kill -HUP `cat /var/run/inetd.pid`

Při použití druhého způsobu odpadá zjišťování PIDu pomocí ps. Pokud byste nedali parametr -HUP, program by se okamžitě ukončil.

Nyní je server restartován a my si to ověříme pomocí netstatu, jak jsem psal výše. Měla by spousta služeb zmizet a stačí, když zůstane jen jedna.

Nyní bychom se na náš server již měli telnetem zalogovat, tedy pokud nám ping proběhl dobře a síť nám funguje, popsáno výše. Chvíli to může trvat, než se spustí in.telnetd pomocí inetd, a pak se objeví logovací obrazovka, zalogujete se a jste tam. Pokud toto funguje, již není klávesnice a monitor u našeho routeru k ničemu a vše se může dělat na dálku. Ale ještě ji tam chvilku nechte, kdyby se vám stalo, že se další konfigurací odříznete :-)

Teď se můžeme nalogovat na náš router odkudkoliv, ale to by mohlo být i nebezpečné, takže si to trochu zabezpečíme. K tomu slouží dva soubory hosts.allow a hosts.deny v adresáři etc. Politika psaní pro oba soubory je následující:

Tabulka č. 540
seznam_daemonů : seznam počítačů nebo sítí
in.telnetd : 192.168.1. #povolí/zakáže přihlášení na počítač telnetem ze sítě 192.168.1.
all : 192.168.1.2 #povolí/zakáže přihlášení na všechny služby z počítače 192.168.1.2
all : all #povolí/zakáže všechno

Zcela určitě patří do souboru hosts.deny all:all, vše se zakáže, ale ještě před tím nesmíme zapomenout dát povolení pro naši správu do hosts.allow, například all:192.168.1., jako to mám já, jinak se odřízneme a nastupuje konzole a oprava hosts.allow. O dalším zabezpečení si budeme povídat v části věnované firewallu. Hosts allow a deny používají všichni daemoni, takže pozor na to, až budete rozcházet nějakou službu a ona vám nebude běžet!

Ještě popíši rozchození správy přes ssh. To je velice prosté, nainstalujete prostě balíček sshd, ten se zapíše do startovacích skriptů a při startu se sám bude spouštět, bez inetd, ale lze ho spouštět i přes něj. Při prvním spuštění ssh serveru se vygenerují klíče, samy, a vše je připraveno pro nalogování se.

Našli jste v článku chybu?

7. 4. 2009 19:29

uživatel si přál zůstat v anonymitě
musis si otevrit ten klic v puttygenu a vygenerovat si regulerni klic, puttygen ma na to vlastni algoritmy

6. 5. 2006 19:47

melancholik (neregistrovaný)
Pokud nedko baziruje na par chybickach, tak je to v.u.l. a vubec bych to neresil, dulezity je obsah.
Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Nenechte se ošidit, když vám staví dům

Nenechte se ošidit, když vám staví dům

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!