Acceso remoto a una máquina GNU/Linux (Ubuntu) Remoto
Local
Internet
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
Cliente
1
●
●
Utilizando un cliente SSH –
login remoto (modo texto)
–
copia remota (modo texto y modo gráfico)
Escritorio remoto –
VNC
–
VNC seguro
Servidor
Secure Shell (SSH) ●
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
●
2
●
SSH: protocolo que permite el intercambio seguro de información en redes no seguras Utiliza sistemas de criptografía asimétrica –
clave privada
–
clave pública
Usos: –
login remoto
–
tunneling: encapsular servicios bajo conexiones seguras ●
Secure FTP (SFTP)
●
Secure Copy (SCP)
●
VNC / X11
Secure Shell (SSH) ●
Escenario –
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
3
Ordenador con Ubuntu, de nombre DESPACHO, en el que el usuario profesor tiene una cuenta Ejemplos de conexión desde otro ordenador: 1. Se quiere acceder en modo texto a la cuenta de profesor en DESPACHO para ejecutar comandos (por ejemplo, para labores administrativas) 2. Se quiere acceder a la cuenta de profesor en DESPACHO para copiar ficheros, en modo texto y en modo gráfico
●
Se necesita: – –
el programa servidor en la máquina remota DESPACHO programas clientes en la máquina local: ●
Windows: no importa el usuario
●
Linux: suponemos usuario angel en la máquina CASA
Secure Shell (SSH) ●
Escenario: Remoto: GNU/Linux
Local
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
Internet
4
usuario: profesor máquina: DESPACHO usuario: angel máquina: CASA
Secure Shell (SSH) ●
Preparación del servidor DESPACHO (i) –
Instalar el paquete ssh ●
Sistema > Administración > Gestor Synaptic > buscar ssh –
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
5
–
Una vez instalado, comprobar que el servicio está ejecutándose ●
–
Instala openssh-server Si es necesario, actualiza openssh-client
Sistema > Administración > Servicios
Ver el puerto de comunicaciones para SSH: 22 ●
Sistema > Administración > Herramientas de red > Ficha “Análisis de puertos”, introducir “localhost” y
Secure Shell (SSH) ●
Preparación del servidor DESPACHO (ii) –
Verificar la clave pública generada al instalar el paquete ssh. Para ello es preciso ver la “huella” de esa clave
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
●
6
Abrimos una sesión de terminal: Aplicaciones > Accesorios > Terminal profesor@despacho:~$ cd /etc/ssh profesor@despacho:/etc/ssh$ ssh-keygen -l -f ssh_host_rsa_key.pub 2048 b7:c1:29:a4:c1:04:bf:7b:a7:3e:0a:7c:3e:25:19:58 ssh_host_rsa_key.pub
Esta es la huella de la clave pública. Nos la presentará el servidor la primera ver que nos conectemos utilizando SSH. Si no coincide, hay un ataque del tipo “man in the middle”
Secure Shell (SSH) ●
Preparación del servidor DESPACHO (y iii)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
7
–
Es muy importante conocer cuál es la configuración del idioma local (locale) de la máquina DESPACHO: ●
Idioma (español)
●
Codificación (ISO-8859-1, UTF-8, etc.)
Abrimos una sesión de terminal: Aplicaciones > Accesorios > Terminal profesor@despacho:~$ locale LANG=es_ES.UTF-8 LC_CTYPE=”es_ES.UTF-8” LC_NUMERIC=””es_ES.UTF-8” ...
Con esto habríamos terminado de configura el servidor DESPACHO
Secure Shell (SSH) ●
Ejemplos de conexión desde otro ordenador:
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
8
–
Ejecutar comandos: se quiere acceder en modo texto a la cuenta de profesor en DESPACHO para ejecutar comandos (labores administrativas) ●
Desde GNU/Linux: cliente ssh
●
Desde Windows: programas PuTTY y openSSH
Copiar ficheros: se quiere acceder a la cuenta de profesor para copiar ficheros, en modo texto y en modo gráfico ●
Desde GNU/Linux: cliente sftp / scp / nautilus
●
Desde Windows: programa WinSCP
Secure Shell (SSH). Login remoto Ejemplo 1: acceso en modo texto a la cuenta de profesor en DESPACHO desde otro equipo GNU/Linux (suponemos el usuario angel en el ordenador CASA)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
angel en CASA
9
–
Internet
Cuenta: profesor en DESPACHO
Utilizaremos el comando ssh (es en realidad un cliente): angel@casa:~$ ssh profesor@despacho The authenticity of host 'despacho' can't be established. RSA key fingerprint is b7:c1:29:a4:c1:04:bf:7b:a7:3e:0a:7c:3e:25:19:58 Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'despacho' (RSA) to the list of known hosts. profesor@despacho's password: ******* profesor@despacho:~$ export LANG=”es_ES.UTF-8” profesor@despacho:~$ ññññ_
–
Nota: la clave pública de DESPACHO se almacena en el directorio personal de angel (en CASA) para el futuro: ~/.ssh/known_host
Secure Shell (SSH). Login remoto Ejemplo 2: acceso en modo texto a la cuenta de profesor en DESPACHO desde un equipo Windows Internet
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
10
Cuenta: profesor en DESPACHO
2.a) Con el famoso programa PuTTY: 2
1 3 2
Secure Shell (SSH). Login remoto Ejemplo 2: acceso en modo texto a la cuenta de profesor en DESPACHO desde un equipo Windows
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
11
1
2
2.a) Con el famoso programa PuTTY:
Secure Shell (SSH). Login remoto Ejemplo 2: acceso en modo texto a la cuenta de profesor en DESPACHO desde un equipo Windows –
2.a) Con el famoso programa PuTTY:
1
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
2
12
3
Secure Shell (SSH). Login remoto Ejemplo 2: acceso en modo texto a la cuenta de profesor en DESPACHO desde un equipo Windows
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
13
2.a) Con el famoso programa PuTTY:
Secure Shell (SSH). Login remoto Ejemplo 2: acceso en modo texto a la cuenta de profesor en DESPACHO desde un equipo Windows Internet
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
14
Cuenta: profesor en DESPACHO
2.b) Con OpenSSH para Windows (instalar solo el cliente) ●
En Windows: Inicio > Programas > Accesorios > Símbolo del sistema 1 2
Secure Shell (SSH). Copia remota de ficheros Ejemplo 3: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo GNU/Linux (angel en CASA)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
angel en CASA
15
–
Cuenta: profesor en DESPACHO
Internet
3.a) sftp: angel@casa:~$ sftp profesor@despacho Connecting to despacho... profesor@despacho's password: ******* sftp> cd Documentos sftp> get fichero.txt Fetching /home/profesor/Documentos/fichero.txt to fichero.txt /home/profesor/Documentos/fichero.txt
100%
875
0.9KB/s
00:00
sftp> put casa.txt Uploading casa.txt to /home/profesor/Documentos/casa.txt casa.txt sftp> quit angel@casa:~$ _
100% 1202
0.9KB/s
00:00
Secure Shell (SSH). Copia remota de ficheros Ejemplo 3: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo GNU/Linux (angel en CASA)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
angel en CASA
16
–
Cuenta: profesor en DESPACHO
Internet
3.b) scp: ●
De DESPACHO a CASA: angel@casa:~$ scp profesor@despacho:fichero.txt fichero.txt profesor@despacho's password: ******* fichero.txt
100%
875
0.9KB/s
00:00
0.9KB/s
00:00
angel@casa:~$ _ ●
De CASA a DESPACHO: angel@casa:~$ scp imagen.png profesor@despacho:imagen.png profesor@despacho's password: ******* imagen.png angel@casa:~$ _
100% 1202
Secure Shell (SSH). Copia remota de ficheros Ejemplo 3: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo GNU/Linux (angel en CASA)
1
2
–
3.c) navegador Nautilus: Lugares > Carpeta personal
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
3
17
Secure Shell (SSH). Copia remota de ficheros Ejemplo 3: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo GNU/Linux (angel en CASA)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
18
3.c) navegador Nautilus: Lugares > Carpeta personal
Secure Shell (SSH). Copia remota de ficheros Ejemplo 3: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo GNU/Linux (angel en CASA)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
19
3.c) Automatización: Lugares > Conectar con el servidor...
Secure Shell (SSH). Copia remota de ficheros Ejemplo 3: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo GNU/Linux (angel en CASA)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
20
3.c) Automatización: Lugares > DESPACHO
Secure Shell (SSH). Copia remota de ficheros Ejemplo 4: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo Windows Internet
1
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
21
2
Utilizaremos el programa WinSCP:
3
Cuenta: profesor en DESPACHO
Secure Shell (SSH). Copia remota de ficheros
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
Ejemplo 4: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo Windows
22
Secure Shell (SSH). Copia remota de ficheros Ejemplo 5: acceso para copiar ficheros a la cuenta de profesor en DESPACHO desde un equipo Windows Utilizaremos el programa Filezilla:
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
23
1 2 3
4
5
VNC (Virtual Network Computing) ●
Se trata de un mecanismo de escritorio remoto
●
RDP vs VNC
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
24
–
RDP (Remote Desktop Protocol) ●
Es un protocolo propietario de Windows
●
Hay iniciativas libres, como xrdp
VNC ●
Es un programa de software libre que permite el acceso al escritorio de una máquina desde otra
●
Pero tiene un problema: no es seguro
●
Hay diferentes versiones: – –
la que solamente exporta la sesión actual: Vino de Gnome la que permite lanzar varias sesiones
Escritorio remoto con VNC ●
Escenario: Remoto: GNU/Linux
Local
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
Internet
25
usuario: profesor máquina: DESPACHO usuario: angel máquina: CASA
VNC. Configuración del servidor VNC ●
Preparación del servidor DESPACHO (i) –
Por defecto en Ubuntu existe el paquete Vino, que es un servidor VNC integrado en Gnome
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
●
26
Sistema > Preferencias > Escritorio remoto
Marcar para permitir escritorio remoto Si está marcada, se podrá controlar la sesión remotamente Marcar para pedir confirmación antes de permitir el acceso. Obliga a estar en la máquina Un nivel de seguridad mayor
VNC. Configuración del servidor VNC ●
Preparación del servidor DESPACHO (ii)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
27
Si está marcada la opción “Pedir confirmación”, cuando un usuario externo (en el ejemplo desde el ordenador de nombre “CASA”) se quiera conectar al ordenador DESPACHO se mostrará la siguiente ventana:
VNC. Configuración del servidor VNC ●
Preparación del servidor DESPACHO (y iii)
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
28
Configuraciones: 1.Acceso desde CASA para administrar el sistema:
2.Acceso simultáneo en un aula para realizar una presentación Esto sería opcional
VNC. Acceso desde otro ordenador Ejemplo 6: acceso al escritorio de Ubuntu desde otro equipo Ubuntu (por ejemplo, en CASA) angel en CASA
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
29
1
Internet
Cuenta: profesor en DESPACHO
En CASA: Aplicaciones > Internet > Cliente de Terminal Server > Seleccionar VNC 2
3 Se pedirá contraseña si el ordenador DESPACHO se configuró así
VNC. Acceso desde otro ordenador
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
Ejemplo 6: acceso al escritorio de Ubuntu desde otro equipo Ubuntu (por ejemplo, en CASA)
30
4 Si todo va bien, se tendrá una ventana en CASA con el escritorio de DESPACHO
VNC. Acceso desde otro ordenador Ejemplo 7: acceso al escritorio de Ubuntu desde un equipo Windows Internet
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
31
1
Cuenta: profesor en DESPACHO
Varios programas: ●
TightVNC (versión de solo cliente – muy versátil)
●
RealVNC (versión de solo cliente – maneja bien los acentos)
2
VNC. Acceso no seguro desde otro ordenador
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
Ejemplo 7: acceso al escritorio de Ubuntu desde un equipo Windows
32
VNC. Problemas y soluciones ●
El problema de VNC: –
●
Solución:
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
–
33
solamente es seguro en la fase de autenticación inicial Utilizar SSH en modo tunelling para realizar VNC:
Objetivo: Redirigir el puerto destino 5900 (VNC) a un puerto local (p.e. el 5901), de modo que si nos conectamos al puerto local 5901 con otra aplicación, SSH hace que las peticiones se transmitan al puerto 5900 remoto. Consecuencia: tendremos que conectarnos a “localhost:1” para hacer VNC DESPACHO
CASA
Internet SSH (22) Túnel cifrado SSH
5901 (localhost VNC:1)
5900 (VNC)
Puertos: SSH: 22 VNC: 5900
VNC. Acceso seguro desde otro ordenador ●
Acceso al escritorio de Ubuntu en DESPACHO desde otro equipo (CASA) en modo seguro –
Debemos hacer el túnel desde CASA:
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
●
34
●
la escucha del servidor VNC en DESPACHO se realiza en el puerto 5900 (es la ventana virtual 0, VNC:0). La idea es “redirigir” el puerto 5900 de DESPACHO al puerto 5901 del ordenador “localhost” (5901 es VNC:1): –
●
●
ssh -L 5901:localhost:5900 profesor@despacho
Esto nos abrirá una sesión SSH para introducir la contraseña de profesor en despacho. Se la damos y la sesión SSH permanecerá abierta; podremos utilizarla igual que sin túnel. Ahora simplemente con un cliente VNC realizamos una conexión al ordenador “localhost:1” en vez de a DESPACHO.
VNC. Acceso seguro desde otro ordenador Ejemplo 8: acceso al escritorio de Ubuntu desde un equipo Windows de nombre CASA en modo seguro
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
●
35
●
Abrir una sesión utilizando OpenSSH (transparencia 14), y ejecutar SSH para realizar el túnel: –
ssh -L 5901:localhost:5900 profesor@despacho
–
Pedirá usuario y contraseña de profesor en DESPACHO, y ya tendremos una sesión SSH típica (en esa sesión podremos ejecutar comandos sin problemas)
Ahora en Windows ya podremos abrir un cliente VNC para conectarnos a través del túnel SSH. – –
●
En la transparencia siguiente hemos elegido RealVNC En vez de conectarnos a DESPACHO, nos conectaremos a “localhost:1”
Nota: hay dos conexiones (la sesión SSH y la sesión VNC)
VNC. Acceso seguro desde otro ordenador
Sistema operativo GNU/Linux [Ávila, enero-febrero, 2008] Autor: Ángel F. Zazo
Ejemplo 8: acceso al escritorio de Ubuntu desde un equipo Windows de nombre CASA en modo seguro
36
–
Conexión SSH:
–
Conexión VNC:
