SSH Server (sshdropbear)→ Bezpieczny zamiennik telnet

[tux]

UWAGA → plugin zbędny od wersji 8.1.2 wzwyż

• SSH Server (sshdropbear)→ Bezpieczny zamiennik telnet
  

plugin_sshdropbear.tar.gz

[robert_cz]

@Tux pytanko. Czemu zrezygnowano z "cienkiej wersji" ssh Dropbear na rzecz pełnego ssh?

Pytam z ciekawości, bo widzę, że  Dropbear jest ciągle rozwijany i oszczędziłby sporo miejsca w nand.

z tego co mówi opkg, to jest to około 2MB:

GraterliaOS:~# opkg info openssh
Package: openssh
Version: 6.9.p1-1
Depends: graterlia-core
Status: install user installed
Section: graterlia/system
Architecture: sh4
Maintainer: tux
MD5Sum: 5e9e052e797d8dcf297d1a93868ecb84
Size: 2120654
Filename: openssh_6.9.p1-1_sh4.ipk
Conffiles:
/etc/openssh/ssh_config 564d832ae2f91d65f8e901fa9b20e5a9
/etc/openssh/sshd_config c9b4d9e26a8802c86d81f4744bff8a3a
Source: none
Description: OpenSSH Server & Client 6.8p1

 

https://matt.ucc.asn.au/dropbear/dropbear.html

[tux]

Porównaj możliwości jednego i drugiego. Wiele osób potrzebuje pełnej funkcjonalności.

[robert_cz]

Absolutnie się nie upieram. A jaka funkcjonalność Cie przekonała?

Może by się dało zrobić tak jak z wget, że w podstawowej wersji jest Dropbear, a jak ktoś chce, to może sobie zainstalować pełną paczkę OpenSSH?

 

A tak przy okazji, co Ty na to, żeby rozdzielić OpenSSH na dwie paczki, obowiązkowy serwer i opcjonalny klient? Z 1MB by się oszczędziło, a 90% użytkowników których znam, nawet nie wie, że może z jednego tunera poprzez ssh łączyć się do kolejnego. Dodatkowo klient nie jest obowiązkowy żeby tuner działał jako tuner, prawda?

[tux]

SSH masz już w ready podzielona na dwie paczki. Jedna z serwerem, klientem, generatorem kluczy i druga z resztą. Oszczędzamy 1MB (kompresja jffs2) lib 1,8MB (bez kompresji np. PEN). Usunięcie klienta to około 200KB w NAND i 600KB na PEN. Pomijalne.

 

Pełne SSH to pełne SSH. Działa poprawnie z każdym klientem i serwerem. Poza tym bezpieczeństwo.

[robert_cz]

Obydwie z nowych paczek są obowiązkowe?

Jak najbardziej rozumiem, że bezpieczeństwo i większa funkcjonalność, ale tak jak mawia mój ulubiony twórca systemu pod sh4: "to tylko tuner z małą ilością dostępnego miejsca i liczy się każdy kB" :-)

Te 300kB to czasami potrafi uratować.

[tux]

SSH było od prawie samego początku w GOS i będzie. Zdecydowana większość osób nawet nie wie, że telent jest dziurawy jak sito.

Całość SSH (uwzględniając jffs2) to około 1MB w NAND. Nie przesadzajmy - ludzie wgrywają 5MB pikon :)

[areq]

Ja bym wnioskował uruchamianie sshd i czego się da z inetd - tez można zaoszczędzić na ram i mi osobiście by default dropbear by styknal

 

 

a.

[tux]

@robert_cz

Ileż to roboty.

• skompilować dropbear;
  
• usunąć SSH z --force-depends;
  
• dodać skrypty do dropbear;
  
• utworzyć paczkę IPK (masz do tego skrypty w OPKG);
  
• zainstalować i cieszyć się :)
  

Wiem, że tniemy gdzie się da itd. Ale tak naprawdę bardzo dużo użytkowników GOS wybrało GOS właśnie dlatego, że na niektórych rzeczach nikt nie oszczędza bo bezpieczeństwo i stabilność jest najważniejsze.

Wrzucając dropbear zajmie on około 1MB. Nasze SSH Server, SSH Client, SSH KeyGen + SCP ipt. około 1,2MB. Wywracać skrypty, robić kontrolę pod telnet dodatkową za około 100-200KB?

Czasem naprawdę warto się zastanowić, czy jest o co walczyć. Co innego jakby OpenSSH u nas dalej było jedną paczką i zajmowało około 2,4MB w NAND. To już różnica znaczna na korzyść dropbear.

I jeszcze jedno. Zaoszczędzisz około 200KB pod warunkiem kompilacji jako jedna binarka (STATIC+MULTI). Przy założeniu, że mamy osobne binarki co do funkcjonalności wychodzi dokładnie to samo co OpenSSH.

 

@areq

Wczoraj zadałem sobie trudu i sprawdziłem ile ramu zaoszczędzimy.

Na załadowanym daemonie - około 200KB.

Na sesji SSH - około 500KB.

 

Jeżeli mnie natchnie bardzo to dodam telnet do rcS z warunkiem ładuj jak nie ma SSH/Dropbear. Skompilowanego Dropbear mam, więc paczka w sumie też nie problem dla mnie. Jedyne co to skrypty trzeba będzie dorobić żeby się ładnie ładowało, klucze generowały itp.

[robert_cz]

SSH było od prawie samego początku w GOS i będzie. Zdecydowana większość osób nawet nie wie, że telent jest dziurawy jak sito.

Całość SSH (uwzględniając jffs2) to około 1MB w NAND. Nie przesadzajmy - ludzie wgrywają 5MB pikon :)

 

@Tux, ja się z Tobą zgadzam, że SSH jest dobre i nawet nie ma co rozmawiać o telnecie.

Pytanie jest tylko czy można coś zaoszczędzić zarówno w nand, jak i w RAM, właśnie dlatego, że te pikony tyle zajmują ;-)

A na poważnie, soft się rozwija i dzięki Ci za to.

 

Absolutnie się nie upieram, tak tylko zauważyłem i się podzieliłem spostrzeżeniem i jak by można było, to ja chętnie bym tą redukcje na kliencie SSH i SCP przyjął, serwer jest serwer, jasna sprawa.

 

@robert_cz

Ileż to roboty.

• skompilować dropbear;
  
• usunąć SSH z --force-depends;
  
• dodać skrypty do dropbear;
  
• utworzyć paczkę IPK (masz do tego skrypty w OPKG);
  
• zainstalować i cieszyć się :)
  

Wiem, że tniemy gdzie się da itd. Ale tak naprawdę bardzo dużo użytkowników GOS wybrało GOS właśnie dlatego, że na niektórych rzeczach nikt nie oszczędza bo bezpieczeństwo i stabilność jest najważniejsze.

@tux, trochę roboty jest, bo ciągle "drewniano" mi idzie kompilowanie, ale oczywiście się staram coś tam sobie dłubać.

[AbrahaM]

Jeżeli mnie natchnie bardzo to dodam telnet do rcS z warunkiem ładuj jak nie ma SSH/Dropbear. Skompilowanego Dropbear mam, więc paczka w sumie też nie problem dla mnie. Jedyne co to skrypty trzeba będzie dorobić żeby się ładnie ładowało, klucze generowały itp.

 

popieram. rozsądnej optymalizacji nigdy za dużo.

[tux]

<< 16 Październik 2015 >>

• [ready] aktualizacja pakietu system-core;
  
• [ready] aktualizacja pakietu graterlia-scripts;
  
• [ready] dodanie pakietu dropbear;
  

UWAGA - po aktualizacji pakietu system-core zdjęta jest zależność dla pakietu openssh a co za tym idzie openssh jest usuwany z systemu! Jeżeli dalej chcesz używać protokołu SSH zainstaluj pakiet openssh lub dropbear. W nowych obrazach po przeniesieniu z ready do release będzie domyślnie zainstalowany pakiet dropbear. Brak pakietu openssh/dropbear WYMUSZA uruchomienie telnet po restarcie odbiornika.

[zielonyBB]

Jest szansa na krótki tutorial jak skonfigurować połączenie z Putty, Filezilla ?

[Elmo]

Putty

 

1. Zaznaczasz SSH

2. Wpisujesz adres IP nBoxa, ustawiasz port

3. Wpisujsz nazwę profilu jaki ma być zapisany dla tej konfiguracji/sesji ssh

4. Zapisujesz profil/sesję

5. Dajesz Open

 

Login: root

 

Prościej się chyba nie da

[zielonyBB]

Owszem, wszystko jest jasne tylko że: połączenie po SSH przez Putty trwa teraz 20 razy dłużej niż poprzednio, Filezilla skonfigurowana po SSH zwraca błąd połączenia. Może trzeba autentykowac się za pomocą pliku PPK (klucz) ?

[tux]

Co wykonałeś poza opkg update && opkg upgrade?

[zielonyBB]

Jasne, opkg update/upgrade.

Potem połaczenie telnet (bo SSH już nie było zgodnie z opisem zmiany) i opkg install dropbear

Potem już tylko próby nawiązania połaczenia po SSH i o ile Putty powiedzmy że się łączy o tyle Filezilla już nie.

Przed dropbear'em Filezilla po SSH śmigała aż miło.

[myszka20]

Nie wiem, czemu ale nawiązanie połączenia  ssh przy użyciu pakietu dropbear trwa o wiele dłużej niż przy pomocy openssh. Więc wróciłem do openssh.

[AbrahaM]

Jasne, opkg update/upgrade.

Potem połaczenie telnet (bo SSH już nie było zgodnie z opisem zmiany) i opkg install dropbear

Potem już tylko próby nawiązania połaczenia po SSH i o ile Putty powiedzmy że się łączy o tyle Filezilla już nie.

Przed dropbear'em Filezilla po SSH śmigała aż miło.

 

Coś za coś. Dropbear jest mniejszy, (mniej miejsca zajmuje w NOR/NAND), ale cena za mniejszy rozmiar jest to, że nie ma pełnej funkcjonalności OpenSSH. Jest oczywiste że Filezilla się nie dobije, bo OpenSSH to nie samo ssh, odpowiada także za SFTP czy SCP, cytuję: "The OpenSSH suite replaces rlogin and telnet with the ssh program, rcp with scp, and ftp with sftp. Also included is sshd (the server side of the package), and the other utilities like ssh-add, ssh-agent, ssh-keysign, ssh-keyscan, ssh-keygen and sftp-server."

 

Nie wiem, czemu ale nawiązanie połączenia  ssh przy użyciu pakietu dropbear trwa o wiele dłużej niż przy pomocy openssh. Więc wróciłem do openssh.

 

Potwierdzam, że jest dłużej, ale czy dużo dłużej? różnica jest między połączeniem "natychmiast" po openssh i "paroma sekundami" oczekiwania po dropbear.

[tux]

Było openssh - źle :)

Jest wybór - źle :)

I jak tu dogodzić :) :)

[myszka20]

Według mnie było dobrze :)

[AbrahaM]

Według mnie było dobrze :)

 

jeśli pewne testy się potwierdza, to tylko się tak Tobie wydaje :)

[zielonyBB]

Żeby było jasne, ja nie mówię że było lepiej a teraz jest źle.

Jest inaczej i chciałem się czegoś w temacie dowiedzieć i dowiedziałem się.

Pobawię się jeszcze innym klientem, kluczami, może wrócę do openssh i będzie dobrze, jak zawsze :)

[myszka20]

Tak z ciekawości jakie testy jeśli mogę wiedzieć? Ale jeśli  nie daje pełnej funkcjonalności, to czy warto oszczędzać?

[AbrahaM]

Tak z ciekawości jakie testy jeśli mogę wiedzieć? Ale jeśli  nie daje pełnej funkcjonalności, to czy warto oszczędzać?

 

Moim zdaniem warto. Większość użytkowników nie ma pojęcia że może korzystać z SFTP/SCP "dzięki" openssh. A te parę procent użytkowników, którzy naprawdę SFTP/SCP potrzebują (bo np. zarządzają odbiornikiem który nie jest w LAN tylko w internecie), świadomie zamieni sobie dropbear'a na openssh.

[mickey]

Z gatunku: Ja się nie znam, ale...

 

Na Gargoyle nie mam serwera FTP i jedyny dostęp jaki mam do transferu plików, to SCP ... a pewien jestem, że tam jest tylko dropbear. Czyli openssh do SCP nie jest wymagane.

Zresztą w prehistorycznych czasach, kiedy GOS nie nazywał się jeszcze GOS i miał tylko dropbear, to też SCP działało.

 

PS. Ja mam zainstalowane openssh i nie zamierzam się cofać. Pendrajw jest pojemny :P

[myszka20]

Moim zdaniem warto. Większość użytkowników nie ma pojęcia że może korzystać z SFTP/SCP "dzięki" openssh. A te parę procent użytkowników, którzy naprawdę SFTP/SCP potrzebują (bo np. zarządzają odbiornikiem który nie jest w LAN tylko w internecie), świadomie zamieni sobie dropbear'a na openssh.

Jeśli spojrzeć na to z tej strony to ma kolega rację.

[robert_cz]

z tego co czytałem, to jest kwestia wkompilowania, lub nie SCP. @tux, takie pytanie edukacyjne, z jakimi opcjami kompilowałeś Twoją wersję?

[areq]

Ode mnie prośba by bez hackow świadomie dało się mieć aktywne ssh i telnet jednocześnie

 

 

a.

[tux]

Dropbear u nas ma scp.

 

@areq

Zrobi się. Dodam parametr do wymuszenia telnet.

[robert_cz]

A ja coś z Dropbear nie mogę się połączyć po SCP.

putty działa idealnie. Próbuję się łączyć za pomocą winSCP protokół SCP.

 

PS. korekta, wszystko jest ok, łączenie trwa trochę dłużej i pojawił się komunikat, że połączenie trwa dłużej niż 15s i spanikowałem. :-)

[tux]

SCP to nie sftp :)

Do tego potrzebujesz z OpenSSH sftp_server.

Wybacz, ale nie zamierzam robić osobnej paczki do tego i rozpisywać się, że jak masz OpenSSH i chcesz sftp do doinstaluj...

Masz dropbear - jest OK ale pamiętaj - są ograniczenia.

 

Tu masz przykładową lekturę: http://linuxexplore.com/how-tos/sftp-secure-file-transfer-protocol-with-dropbear/

[robert_cz]

Scp to nie serwer scp :)

Odwołuję - działa, spanikowałem :-)

 

Czyli klienta scp i klienta ssh też wkompilowałeś? Już nie pytam ile ważyłaby binarka bez wkompilowanych klientów, ale ciekawość mnie zżera i kiedyś to sprawdzę :-)

[tux]

Około 480kb. Jak nie skomponujesz tego jako jedna binarka to wszystkie opcje w osobnych binarka co to 2,5MB i tu OpenSSH ważące 2,8MB to już straszne nie jest :)

 

EDIT tux:

Zapomniałem napisać. Kompilowałem czytając dokumentację Dropbear + info z configure itp.

To powyżej to podałem jako info. Po prostu Dropbear ma ograniczenia i ktoś to musiał napisać. Najłatwiej tłumaczyć na przykładach :)

 

Staram się nie przesadzać z opcjami ale przy binarce ~900 i zastanawianiu się czy wkompilować czy nie - wygrał rozsądek.

[robert_cz]

A co Ty na to @Tux żeby Dropbear nie miał klienta SSH ani SCP, a jak ktoś chce klientów, to OpenSSH, albo Dropbox w dwóch paczkach, jedna serwer, a druga klient.

Tak sobie tylko gdybam. :-)

[tux]

OpenSSH będzie podzielone na *-client i *-derver.

Dropbox zostanie jaki jest. Zauważ, że na PEN to wszystko jedno. W NAND/NOR masz kompresję jffs2. Zaoszczędzisz może ~200kb a za to ile kłopotu. Już widzę te narzekania, że polecenie ssh zniknęło, że scp nie działa itd.

 

Jestem za optymalizacją, ale z głową i rozsądkiem. Zamiana OpenSSH w pełnej wersji na dropbear w obrazach jest w sumie OK. Zaoszczędzimy około 1,5MB (uwzględniając kompresję jffs2). Do tego troszkę ramu - póki nie ma otwartej sesji w pamięci zajęte jest malutko.

Wprowadzając to o czym piszesz ograniczamy funkcjonalność, zwiększamy miejsce o relatywnie mają ilość miejsca.

 

Idąc dalej z optymalizacją to wywalić OpenSSH/Dropbear w ogóle z IMAGE. Jest telnet. Jak ktoś chce to doinstaluje :)

[robert_cz]

Mi już się teraz podoba, tak tylko chciałem zauważyć, że ja się nie spotkałem do tej pory z nikim kto by z poziomu konsoli z tunera odpalał klienta SCP, klienta SSH to z osób które znam stosuję tylko ja. Jak już ktoś stosuje ssh klienta to już powinien być dość zaawansowanym użytkownikiem.

 

To tylko moje przemyślenia i zdaje sobie sprawę, że to jest sporo pracy i nie zawsze zysk jest wart nakładów.

[tux]

Znam wiele osób.

SCP to jakieś 50kb więcej.

[MichałTJE]

a)  openssh - 7.1.p1-4 - OpenSSH Server & Client 7.1p1

b)  openssh - 6.9.p1-1 - OpenSSH Server & Client 6.8p1

c)  openssh-ext - 7.1.p1-4 - OpenSSH Server & Client 7.1p1 (Ext Files)

 

która paczka to : OpenSSH/Dropbear ?

którą paczkę zainstalować aby moć logować się ponownie poprzez ssh ?

gałaź test...

[robert_cz]

a)  openssh - 7.1.p1-4 - OpenSSH Server & Client 7.1p1

b)  openssh - 6.9.p1-1 - OpenSSH Server & Client 6.8p1

c)  openssh-ext - 7.1.p1-4 - OpenSSH Server & Client 7.1p1 (Ext Files)

 

która paczka to : OpenSSH/Dropbear ?

którą paczkę zainstalować aby moć logować się ponownie poprzez ssh ?

gałaź test...

Paczkę. Dropbear i już

[AbrahaM]

a)  openssh - 7.1.p1-4 - OpenSSH Server & Client 7.1p1

b)  openssh - 6.9.p1-1 - OpenSSH Server & Client 6.8p1

c)  openssh-ext - 7.1.p1-4 - OpenSSH Server & Client 7.1p1 (Ext Files)

 

która paczka to : OpenSSH/Dropbear ?

którą paczkę zainstalować aby moć logować się ponownie poprzez ssh ?

gałaź test...

 

możesz zainstalować:

albo dropbear

albo openssh (openssh-ext w razie potrzeb)

 

[tux]

<< 18 Październik 2015 >>

• [ready] optymalizacja pakietów OpenSSH:
  • pakiet openssh (zawiera: ssh-keygen, ssh-keyscan);
    
  • pakiet openssh-server (zawiera: sftp-server, sshd-keygen, ssh-keysign, ssh-pkcs11-helper, sshd);
    
  • pakiet openssh-clients (zawiera: scp, sftp, slogin, ssh, ssh-add, ssh-agent);
    

Po tej aktualizacji, jeżeli było zainstalowane OpenSSH należy zainstalować openssh-server aby mieć możliwość połączenia z tunerem oraz (jeżeli potrzeba tej funkcjonalności) openssh-clients aby mieć możliwość łączenia się z poziomu boxa z innymi serwerami SSH.