كما تعلمون، تسمح لك تقنية SSH المفتوحة بالاتصال عن بعد بجهاز كمبيوتر معين ونقل البيانات من خلال البروتوكول المحمي المحدد. يتيح لك ذلك تنفيذ الجهاز المحدد والتحكم فيه بالكامل، مما يضمن التبادل الآمن للمعلومات المهمة وحتى كلمات المرور. في بعض الأحيان يكون لدى المستخدمين الحاجة إلى الاتصال عبر SSH، ولكن بالإضافة إلى تثبيت الأداة المساعدة نفسها، فمن الضروري إنتاج وإعدادات إضافية. نريد التحدث عن ذلك اليوم، مما أدى إلى توزيع دبيان على سبيل المثال.
تخصيص SSH في دبيان
نقسم عملية التكوين إلى عدة خطوات، لأن كل منها مسؤول عن تنفيذ التلاعب المحدد، وقد يكون ببساطة مفيدا لمستخدمين معينين، مما يعتمد على التفضيلات الشخصية. دعنا نبدأ بحقيقة أن جميع الإجراءات ستتم في وحدة التحكم وستحتاج إلى تأكيد حقوق المشرق، لذلك الاستعداد لهذا مقدما.تثبيت SSH-Server و SSH-Client
بشكل افتراضي، يتم تضمين SSH في مجموعة أدوات نظام التشغيل Debian القياسية، ومع ذلك، بسبب أي ميزات، يمكن أن تكون الملفات اللازمة غاضبا أو غائبا ببساطة، على سبيل المثال، عندما أنتج المستخدم يدويا إلغاء التثبيت. إذا كنت بحاجة إلى تثبيت SSH- Server و SSH-Client، فاتبع الإرشادات التالية:
- افتح قائمة ابدأ وابدأ المحطة من هناك. يمكن القيام بذلك من خلال مجموعة المفاتيح القياسية CTRL + ALT + T.
- أنت مهتم بك في Sudo Apt تثبيت OpenSsh-Server أمر مسؤولة عن تثبيت جزء الخادم. أدخله وانقر فوق "إدخال" لتنشيطه.
- كما تعلمون بالفعل، ستحتاج الإجراءات التي يتم إجراؤها باستخدام حجة SUDO إلى تنشيطها من خلال تحديد كلمة مرور Superuser. النظر في عدم عرض الأحرف التي تم إدخالها في هذا السطر.
- سيتم إعلامك بأن الحزم تضاف أو تحديثها. إذا تم تثبيت SSH-Server بالفعل في Debian، تظهر رسالة على وجود الحزمة المحددة.
- بعد ذلك، ستحتاج إلى إضافة إلى النظام وجزء العميل، أما بالنسبة للكمبيوتر الذي سيتم توصيل الاتصال به في المستقبل. للقيام بذلك، استخدم الأمر سودو APT - الحصول على تثبيت OpenSsh-Client.
لا توجد مكونات إضافية إضافية لتثبيت أي مكونات إضافية، فيمكنك الآن التبديل بأمان إلى ملفات إدارة الخادم وملفات التكوين لإنشاء مفاتيح وإعداد كل شيء لمزيد من الاتصال بسطح المكتب البعيد.
إدارة الخادم والتحقق من عمله
باختصار دعونا نركز على كيفية إدارة الخادم المثبت والتحقق من تشغيلي. يجب أن يتم ذلك قبل التبديل إلى الإعداد للتأكد من صحة أداء المكونات الإضافية.
- استخدم سودو SystemCtl تمكين الأمر SSHD لإضافة خادم إلى Autoload، إذا لم يحدث ذلك تلقائيا. إذا كنت بحاجة إلى إلغاء الإطلاق باستخدام نظام التشغيل، فاستخدم SystemCtl تعطيل SSHD. ثم ستكون هناك حاجة إلى بدء التشغيل اليدوي لتحديد SystemCtl بدء SSHD.
- يجب دائما إجراء جميع هذه الإجراءات دائما نيابة عن المشرق، لذلك تحتاج إلى إدخال كلمة المرور الخاصة به.
- أدخل الأمر SSH LocalHost للتحقق من الخادم للأداء. استبدال المحلي إلى عنوان الكمبيوتر المحلي.
- عند الاتصال أولا، سيتم إعلامك بأن المصدر لا يتم التحقق منه. يحدث هذا لأننا لم نضبط إعدادات الأمان بعد. الآن فقط تأكيد استمرار الاتصال عن طريق إدخال نعم.
إضافة زوج من مفاتيح RSA
يتم الاتصال من الخادم إلى العميل والعكس بالعكس عبر SSH من خلال إدخال كلمة مرور، ومع ذلك، فمن المستحسن إنشاء زوج من المفاتيح التي سيتم تطويرها من خلال خوارزميات RSA. هذا النوع من التشفير سيجعل من الممكن إنشاء حماية مثالية، والتي من الصعب التجول في المهاجم عند محاولة الاختراق. لإضافة زوج من المفاتيح فقط بضع دقائق، ويبدو أن هذه العملية:
- افتح "المحطة" وأدخل SSH-Keygen هناك.
- يمكنك اختيار المكان بشكل مستقل حيث تريد حفظ المسار إلى المفتاح. إذا لم يكن هناك رغبة في تغييره، ما عليك سوى الضغط على المفتاح ENTER.
- الآن يتم إنشاء المفتاح المفتوح. يمكن حماية عبارة رمز. أدخله في السلسلة المعروضة أو ترك فارغة إذا كنت لا ترغب في تنشيط هذا الخيار.
- عند الدخول إلى العبارة الرئيسية يجب أن تحددها مرة أخرى للتأكيد.
- سيظهر إشعار بإنشاء مفتاح عام. كما ترون، تم تعيين مجموعة من الرموز العشوائية، وتم إنشاء صورة على خوارزميات عشوائية.
بفضل الإجراء الذي تم إنشاؤه، تم إنشاء مفتاح سري وعامة. سوف يشاركون للاتصال بين الأجهزة. لديك الآن لنسخ المفتاح العمومي إلى الخادم، ويمكنك القيام بذلك بطرق مختلفة.
نسخ المفتاح المفتوح للخادم
في دبيان، هناك ثلاثة خيارات يمكنك نسخ المفتاح العمومي إلى الخادم. نقترح على الفور التعرف على جميعها من أجل اختيار الأمثل في المستقبل. هذا مناسب في تلك المواقف حيث لا يصلح أحد الأساليب أو عدم إرضاء احتياجات المستخدم.
الطريقة الأولى: فريق SSH-Copy-ID
دعنا نبدأ بأبسط خيار يعني استخدام الأمر SSH-Copy-ID. بشكل افتراضي، تم تصميم هذه الأداة المساعدة بالفعل في نظام التشغيل، لذلك لا يحتاج إلى تثبيت مسبق. بناء الجملة هو أيضا أبسط قدر ممكن، وستحتاج إلى تنفيذ مثل هذه الإجراءات:
- في وحدة التحكم، أدخل الأمر SSH-Copy-ID إلى اسم المستخدم @ Remote_Host وتنشيطه. استبدل اسم المستخدم @ Remote_Host إلى عنوان الكمبيوتر المستهدف حتى يتم إقرار المرسل بنجاح.
- عندما تحاول أولا الاتصال، سترى رسالة "صحة المضيف" 203.0.113.1 (203.0.113.1) "لا يمكن تأسيسها. ECDSA مفتاح بصمة هو FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: D6: 6D: 22: FE. هل أنت متأكد أنك تريد مواصلة الاتصال (نعم / لا)؟ نعم. " حدد إجابة إيجابية لمتابعة الاتصال.
- بعد ذلك، ستتعامل الأداة المساعدة بشكل مستقل كمساعدة في البحث ونسخ المفتاح. نتيجة لذلك، إذا نجح كل شيء بنجاح، فسيظهر الإخطار "/ USR / BIN / SSH-Copy-ID" على الشاشة: معلومات: محاولة تسجيل الدخول باستخدام المفتاح (المفاتيح) الجديدة، لتصفية أي ما هي Alady ID مثبت / USR / BIN / SSH-COPPY-ID: INFO: 1 مفتاح (أسماء) لا يزال سيتم تثبيته - إذا طلب منك الآن أنه لتثبيت المفاتيح الجديدة [email protected]'s كلمة المرور: ". هذا يعني أنه يمكنك إدخال كلمة المرور والانتقال إلى التحكم مباشرة إلى سطح المكتب البعيد مباشرة.
بالإضافة إلى ذلك، سأحدد ذلك بعد أول إذن ناجح في وحدة التحكم، ستظهر الحرف التالي:
عدد المفاتيح (المفاتيح) المضافة: 1
حاول الآن تسجيل الدخول إلى الجهاز، مع: "SSH" [email protected] "
والتحقق للتأكد من أنه تمت إضافة المفتاح (المفاتيح) فقط.
تقول أنه تم إضافة المفتاح بنجاح إلى جهاز كمبيوتر بعيد ولم يعد هناك أي مشاكل ستنشأ عند محاولة الاتصال.
الطريقة 2: مفتاح التصدير من خلال SSH
كما تعلمون، سيسمح لك تصدير المفتاح العمومي بالاتصال بالخادم المحدد دون سابق إدخال كلمة المرور. الآن، في حين أن المفتاح ليس بعد في الكمبيوتر المستهدف، يمكنك الاتصال عبر SSH عن طريق إدخال كلمة المرور بحيث تحريك الملف المطلوب يدويا. للقيام بذلك، في وحدة التحكم، يجب عليك إدخال Command Cat ~ / .ssh / id_rsa.pub | SSH اسم المستخدم @ Remote_host "MKDIR -P ~ / .ssh && Touch ~ / .ssh / Authorized_keys && Chmod -r go = ~ / .ssh && cat >> ~ /
يجب أن يظهر إشعار على الشاشة.
لا يمكن إنشاء صحة المضيف '203.0.1113.1 (203.0.113.1).
ECDSA مفتاح بصمة FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: D6: 6D: 22: FE.
هل أنت متأكد أنك تريد مواصلة الاتصال (نعم / لا)؟
تأكيد ذلك لمواصلة الاتصال. سيتم نسخ المفتاح العمومي تلقائيا حتى نهاية ملف تكوين Autherized_Keys. في إجراءات الصادرات هذا، من الممكن الانتهاء.
الطريقة الثالثة: مفتاح النسخ اليدوي
ستناسب هذه الطريقة من المستخدمين الذين ليس لديهم أي قدر من القدرة على إنشاء اتصال بعيد للكمبيوتر الهدف، ولكن هناك إمكانية الوصول المادي إليها. في هذه الحالة، يجب نقل المفتاح بشكل مستقل. للبدء، حدد المعلومات حول هذا الموضوع على جهاز الكمبيوتر الشخصي عبر القط ~ / .ssh / id_rsa.pub.
يجب أن تظهر وحدة التحكم مفتاح سلسلة SSH-RSA + كمجموعة من الأحرف == DEMO @ اختبار. الآن يمكنك الذهاب إلى كمبيوتر آخر، حيث يجب عليك إنشاء دليل جديد عن طريق إدخال MKDIR -P ~ / .ssh. كما يضيف ملف نصي يسمى ALAMIZES_KEYS. لا يزال فقط لإدراج مفتاح سابق آخر عبر صدى + صف من المفتاح العام >> ~ / .ssh / Authorized_keys. بعد ذلك، ستكون المصادقة متاحة دون إدخال كلمة المرور السابقة. يتم ذلك من خلال أمر SSH Username @ Remote_Host، حيث يجب استبدال اسم المستخدم @ Remote_host باسم المضيف المطلوب.
تعتبر فقط الطرق المسموح لها بنقل مفتاح عام إلى جهاز جديد لجعل من الممكن الاتصال دون إدخال كلمة المرور، ولكن الآن لا يزال يتم عرض النموذج الموجود على الإدخال. مثل هذا الموقف من الأشياء يسمح للمهاجمين الوصول إلى سطح المكتب البعيد، ببساطة كلمة المرور. التالي نحن نقدم لضمان الأمن من خلال إجراء إعدادات معينة.
تعطيل مصادقة كلمة المرور
كما ذكرنا سابقا، يمكن أن تصبح إمكانية مصادقة كلمة المرور رابطا ضعيفا في سلامة الاتصال عن بعد، حيث توجد وسيلة لمحاضنة مثل هذه المفاتيح. نوصي معطلة هذا الخيار إذا كنت مهتما بالحماية القصوى لخادمك. يمكنك أن تفعل ذلك مثل هذا:
- افتح ملف تكوين / ETC / SSH / SSHD_CONFIG عبر أي محرر نصي مناسب، قد يكون، على سبيل المثال، Gedit أو Nano.
- في القائمة التي تفتح، ابحث عن سلسلة "PasswordAuthentication" وإزالة علامة # لجعل هذا الأمر نشطا. تغيير قيمة نعم إلى لا لتعطيل الخيار.
- عند الانتهاء، اضغط CTRL + O لحفظ التغييرات.
- لا تقم بتغيير اسم الملف، ولكن ببساطة اضغط مفتاح "الإدخال" لاستخدام الإعداد.
- يمكنك ترك محرر النصوص بالنقر فوق Ctrl + X.
- ستصبح جميع التغييرات سارية المفعول فقط بعد إعادة تشغيل خدمة SSH، لذلك قم بذلك فورا عبر Susedo SystemCtl Restart SSH.
نتيجة الإجراءات، سيتم تعطيل إمكانية مصادقة كلمة المرور، وسوف تكون المدخلات متاحة فقط بعد بضع مفاتيح RSA. النظر في هذا عند تكوين مماثل.
تكوين معلمة جدار الحماية
في نهاية مواد اليوم، نريد أن نقول تكوين جدار الحماية، والذي سيتم استخدامه لأذونات أو حظر المركبات. سننقل فقط النقاط الرئيسية، حيث أخذ جدار الحماية غير المعقدة (UFW).
- أولا، دعونا نتحقق من قائمة الملفات الشخصية الموجودة. أدخل قائمة تطبيقات Sudo UFW وانقر فوق Enter.
- تأكيد الإجراء من خلال تحديد كلمة مرور Superuser.
- وضع SSH في القائمة. إذا كان هذا الخط موجود هناك، فهذا يعني أن كل شيء يعمل بشكل صحيح.
- السماح للاتصال من خلال هذه الأداة المساعدة عن طريق كتابة Sudo UFW السماح للمفتوحة.
- قم بتشغيل جدار الحماية لتحديث القواعد. يتم ذلك من خلال الأمر Sudo UFW تمكين الأمر.
- يمكنك التحقق من الوضع الحالي لجدار الحماية في أي وقت عن طريق إدخال حالة Sudo UFW.
في هذه العملية، اكتمال تكوين SSH في دبيان. كما ترون، هناك العديد من الفروق الدقيقة والقواعد المختلفة التي يجب ملاحظتها. بالطبع، في إطار مقال واحد، من المستحيل تناسب جميع المعلومات تماما، لذلك لمسنا فقط على المعلومات الأساسية. إذا كنت مهتما بالحصول على بيانات أكثر متعمقة حول هذه الأداة المساعدة، فنصحيك بالتعرف على وثائقها الرسمية.