SSH na Windows

Kategorie: Windows

Obsahuje důležité i užitečné informace o zabezpečeném SSH připojení z Windows i vytvoření serveru.

Server Windows OpenSSH

Server je počítač, který naslouchá a poskytuje zdroj SSH služby.

Pro úspěšné přihlášení například z linuxového anebo jiného PC, musíme vytvořit uživatele pro vzdálené přihlášení a určit mu práva.

Instalace a zprovoznění

Systém Windows 10 nabízí jako volitelnou součást k nainstalování OpenSSH server, který najdeme v nástroji Nastavení systému – Aplikace – Volitelné součásti – Přidat součást – Server OpenSSH.

Windows - instalace OpenSSH serveru
Windows – instalace OpenSSH serveru

Instalace z PowerShellu

Při instalaci z PowerShellu se nainstaluje server, vytvoří se služba a klíče, ale pozor jako který uživatel akci spustíme. Po této instalaci je k dispozici funkční a běžící služba se standardním nastavením.

  • Zobrazení dostupných balíčků
Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'

Výstup příkazu bude:

Name : OpenSSH.Client~~~~0.0.1.0 
State : NotPresent
Name : OpenSSH.Server~~~~0.0.1.0 
State : NotPresent
  • Instalace serverového balíčku
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

Odstranění z PowerShellu

Remove-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

Inicializace nastavení

  • Start služby
Start-Service sshd
  • Nastavení spouštění služby
Set-Service -Name sshd -StartupType 'Automatic'
  • Firewall
Get-NetFirewallRule -Name *ssh*
New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

Klient

Je počítač, který se připojuje k serveru. Na klientovi neběží žádné služby, pouze se spustí klientský program pro připojení.

Příkazová řádka

Základní nápovědu používání příkazu ssh získáme příkazem:

ssh

Jestliže se chceme připojit jako root například na adresu 124.24.142.130, kde je linuxový server, bude vypadat příkaz následovně:

ssh root@124.24.142.130

Připojení z Windows díky PuTTY

Z operačího systému Windows se lze bez problémů připojit na jakýkoli SSH server, který je dostupný v síti anebo přes internet. To vše umožní klasický program PuTTY, který je volně ke stažení.

Pro připojení stačí znát opět uživatele a adresu počítače.

uzivatel@192.168.40.125

Po úspěšném navázání spojení budu dotázán na přijmutí host key nebo-li klíče hosta. Stačí potvrdit volbou Ano a jsem přihlášený do vzdáleného počítače.

Tunelování v PuTTY

Tunelování umožní připojení k jinak nedostupným sítím, které jsou za routrem, firewallem anebo jiným způsobem oddělených.

Pro nastavení takového tunelu stačí u aktivního připojení vyvolat nabídku okna a vybrat Change settings….

Nastavíme Source port, který bude představovat port na lokálním počítači pro tunel (825). Parametr Destination obsahuje adresu a port na serveru SSH, který bude tunelován. Pro jednoduchý příklad můžeme jako destinaci zadat localhost:80. Pro aplikaci přidáme pravidlo tlačítkem Add a aplikujeme pomocí Apply. Tunel okamžitě funguje na stávajícím připojení.

Výsledek je, že na vzdáleném počítači bude tunel z portu 80 na lokální počítač a port 8025

Název okna PuTTY

Okna s SSH spojením si můžeme jednoduše pojmenovat vyvoláním nabídky chování okna do kolonky Window tittle můžeme zapsat cokoli.

Vytváření klíčů v PuTTY

Pro vytvoření soukromého a veřejného klíče poslouží nástroj PuTTY Key Generator, který je součástí instalace PuTTY. Po spuštění nástroje můžeme klíče buď importovat, zkonvertovat anebo vygenerovat. V tomto případě si klíč vygenerujeme.

Generovat můžeme různé typy klíčů, zde budeme pracovat s SSH-2 RSA. Jestliže zvolíme vygenerování hesla tlačítkem Generate, musíme kroužit myší pro generování náhodných hodnot klíče, klíč pak vypadá asi takto:

Vygenerovaný obsah klíče můžeme zkopírovat a vložit do souboru Authorized_keys, který je na serveru. Tento otisk klíče slouží jako ověření soukromého klíče, který zůstává pouze u klienta. Soukromý klíč si dobře uložíme, bude sloužit pro připojování klientů. Pro jednorázové spojení klíčem vybereme v nastavení spojení PuTTY cestu ke klíči.

V případě častého využívání klíče jej můžeme vložit do nástroje Pageant, který je správcem klíčů a rovněž je součástí instalace PuTTY. V tomto případě bude klíč dostupný vždy, když bude spuštěn nástroj Pageant.

Poznámky

Chyba: expected key exchange group packet from server

Tato chyba nastane v případě, že se používá špatný algoritmus zabezpečení, v mém případě to byl algoritmus Diffie-Hellman group exchange. Tento algoritmus bylo potřeba posunout v úrovni důležitosti dolů a tím se zprovoznilo spojení.

Upravit prioritu algoritmů lze v nastavení sezení spojení:
SSH -> Kex