Jak víte, technologie Open SSH umožňuje vzdáleně se připojit ke specifickému počítači a přenášet data prostřednictvím vybraného chráněného protokolu. To vám umožní implementovat a plně ovládat vybrané zařízení, což zajišťuje bezpečnou výměnu důležitých informací a dokonce hesel. Někdy uživatelé mají potřebu připojit se přes SSH, ale kromě instalace samotného nástroje je nutné vytvořit a další nastavení. Chceme o tom dnes mluvit, přičemž distribuce Debianu pro příklad.
Přizpůsobit SSH v Debianu
Proces konfigurace rozdělujeme do několika kroků, protože každý zodpovídá za realizaci konkrétních manipulací a může být jednoduše užitečné pro některé uživatele, kteří závisí na osobních preferencích. Začněme se skutečností, že všechny akce budou provedeny ve konzole a budou muset potvrdit práva superuživatele, takže se na to připravit předem.Instalace SSH-Server a SSH-klienta
Ve výchozím nastavení je SSH zahrnuta ve standardní sadě operačního systému Debian operačního systému, nicméně, vzhledem k libovolným funkcím, mohou být nezbytné soubory rozhořčení nebo jednoduše nepřítomné například, když uživatel ručně vytvořen odinstalaci. Pokud potřebujete předinstalovat SSH-Server a SSH klient, postupujte podle následujících pokynů:
- Otevřete nabídku Start a spusťte terminál odtud. To lze provést pomocí standardní kombinace kláves Ctrl + Alt + T.
- Zde máte zájem o příkaz Sudo APT instalace OpenSSH-Server, který je zodpovědný za instalaci serverové části. Zadejte jej a aktivujte kliknutím na Enter.
- Jak již víte, akce provedené s argumentem sudo budou muset být aktivovány zadáním hesla superuživatele. Zvažte, že znaky zadané v tomto řádku nejsou zobrazeny.
- Budete informováni, že balíčky jsou přidány nebo aktualizovány. Pokud je SSH-server již nainstalován v Debian, zobrazí se zpráva na přítomnosti zadaného balíčku.
- Dále budete muset přidat do systému a klienta, jako pro počítač, ke kterému bude spojení připojeno v budoucnu. Chcete-li to provést, použijte podobný sudo apt-get Install Instalovat OpenSSH-Client příkaz.
Neexistují žádné další další komponenty pro instalaci dalších dodatečných komponent, můžete nyní bezpečně přepnout na správu serveru a konfigurační soubory pro vytváření klíčů a připravit vše, abyste se mohli dále připojit ke vzdálené ploše.
Správa serveru a kontrola jeho práce
Stručně se zaměřte na to, jak je nainstalovaný server spravován a kontrola jeho operace. Před přechodem na nastavení musí být provedeno, aby se zajistilo, že fungování přidaných komponent je správné.
- Pomocí příkazu SUDO SYSTEMCTL Povolit SSHD přidat server do Autoload, pokud se nestane automaticky. Pokud potřebujete zrušit spuštění s operačním systémem, použijte SystemCtl Disable SSHD. Poté bude nutná ruční spuštění pro zadání SystemCtl Start SSHD.
- Všechna taková akce naprosto musí být vždy prováděna jménem superuživatele, takže musíte zadat své heslo.
- Zadejte příkaz SSH Localhost a zkontrolujte server pro výkon. Nahraďte localhost na adresu místní počítače.
- Když se nejprve připojujete, budete upozorněni, že zdroj není ověřen. To se děje, protože jsme dosud nastavili nastavení zabezpečení. Nyní stačí potvrdit pokračování připojení zadáním Ano.
Přidání pár RSA klíčů
Připojení ze serveru klientovi a naopak se provádí zadáním hesla, nicméně se doporučuje vytvořit pár klíčů, které budou vyvinuty prostřednictvím algoritmů RSA. Tento typ šifrování umožní vytvořit optimální ochranu, která bude obtížná se dostat kolem útočníka při pokusu o hack. Chcete-li přidat pár klíčů jen pár minut, a to vypadá jako tento proces:
- Otevřete tam "terminál" a zadejte tam ssh-keygen.
- Můžete samostatně zvolit místo, kde chcete cestě uložit k klíči. Pokud není touha změnit, jednoduše stiskněte klávesu Enter.
- Nyní je vytvořen otevřený klíč. Může být chráněn kódovou frází. Zadejte jej do zobrazeného řetězce nebo ponechte prázdné, pokud tuto možnost nechcete aktivovat.
- Při vstupu do klíčové fráze bude muset znovu zadat znovu.
- Objeví se oznámení o vytvoření veřejného klíče. Jak vidíte, byl přiřazen sadu náhodných symbolů a obraz byl vytvořen na náhodných algoritmech.
Díky provedené akci byl vytvořen tajný a veřejný klíč. Budou zapojeni do připojení mezi zařízeními. Nyní musíte kopírovat veřejný klíč na server a můžete to udělat různými metodami.
Kopírovat Otevřít klíč na server
V Debianu existují tři možnosti, se kterým můžete kopírovat veřejný klíč na server. Doporučujeme se okamžitě seznámit se všemi, aby si vybrali optimální v budoucnu. To je relevantní v těchto situacích, kdy jeden z metod nehodí nebo nesplňuje potřeby uživatele.
Metoda 1: SSH-Copy-ID tým
Začněme s nejjednodušší volbou, která znamená použití příkazu SSH-Copy-ID-ID. Ve výchozím nastavení je tento nástroj zabudován do OS, takže nepotřebuje předinstalaci. Jeho syntaxe je také nejjednodušší, jak je to nejjednodušší, a budete muset provést takové akce:
- V konzole zadejte příkaz SSH-Copy-ID na uživatelské jméno @ remote_host a aktivujte jej. Nahraďte uživatelské jméno @ remote_host na adresu cílového počítače tak, aby odeslání úspěšně prošlo.
- Když se nejprve pokusíte připojit, zobrazí se zpráva "Autenticita hostitele '203.0.113.1 (203.0.113.1)' nelze zřídit. Klíčový otisk prstu ECDSA je FD: FD: D4: F9: 77: Fe: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: 22: Fe. Opravdu chcete pokračovat ve spojení (Ano / Ne)? Ano. " Vyberte pozitivní odpověď pro pokračování připojení.
- Poté bude nástroj samostatně fungovat jako vyhledávání a kopírování klíče. V důsledku toho, kdyby bylo vše úspěšně úspěšně, zobrazí se na obrazovce oznámení "/ usr / bin / ssh-copy-id": Info: Pokus o přihlášení s novým klíčem (y), filtrování jakéhokoliv, co jsou ALADY Instalovaný / usr / bin / ssh-copy-id: info: 1 klíč (y) zůstávají nainstalován - pokud se zobrazí výzva, je nainstalovat nové klíče [email protected] Heslo: ". To znamená, že můžete zadat heslo a přesunout přímo ovládání vzdálené plochy.
Dále budu specifikovat, že po prvním úspěšném povolení v konzole se zobrazí další znak:
Počet přidaných klíčů (y): 1
Nyní zkuste protokolování do stroje, s: "SSH '[email protected]'
A zkontrolujte, zda bylo přidáno pouze klíče, které jste chtěli.
Říká se, že klíč byl úspěšně přidán do vzdáleného počítače a už nevychází žádné problémy při pokusu o připojení.
Metoda 2: Exportní klíč přes SSH
Jak víte, export veřejného klíče vám umožní připojit se ke zadanému serveru bez před zadáním hesla. Nyní, zatímco klíč ještě není v cílovém počítači, můžete se připojit přes SSH zadáním hesla, takže ručně přesunout požadovaný soubor. Chcete-li to provést, v konzole budete muset zadat příkaz cat ~ / .ssh / id_rsa.pub | SSH UserName @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / autorizovaný_keys && chmod -r go = ~ / .ssh && CAT >> ~ / .SSH / autorizované_keys."
Na obrazovce se musí zobrazit oznámení.
Nemůže být stanovena pravost hostitele '203.0.113.1 (203.0.113.1)'.
Klíčový otisk prstu ECDSA je FD: FD: D4: F9: 77: Fe: 73: 84: E1: 55: 00: AD: D6: 6D: 22: Fe.
Opravdu chcete pokračovat ve spojení (ano / ne)?.
Potvrďte jej pokračovat ve spojení. Veřejný klíč bude automaticky zkopírován na konec konfiguračního souboru Effislation_Keys. Na tomto exportu je možné dokončit.
Metoda 3: Klíč ruční kopírování
Tato metoda bude vyhovovat těmto uživatelům, kteří nemají schopnost vytvořit vzdálené připojení k cílovému počítači, ale je k němu fyzický přístup. V tomto případě musí být klíčem přenesen nezávisle. Chcete-li začít, určete informace o tom na serverovém počítači prostřednictvím cat ~ / .ssh / id_rsa.pub.
Konzola by se měla zobrazit klíč SSH-RSA String + jako sada znaků == Demo @ test. Nyní můžete jít do jiného počítače, kde byste měli vytvořit nový adresář zadáním mkdir -p ~ / .ssh. To také přidává textový soubor s názvem Autorizované_keys. Zůstane jen vložit tam určitý dřívější klíč přes echo + řádek veřejného klíče >> ~ / .ssh / autorizované_keys. Poté bude ověřování k dispozici bez předchozího zadávání hesel. To se provádí prostřednictvím příkazu SSH username @ Remote_host, kde by měl být uživatelské jméno @ remote_host nahrazen názvem požadovaného hostitele.
Považovány za jen způsoby, jak přenést veřejný klíč k novému zařízení, aby bylo možné připojení bez zadání hesla, ale nyní je formulář na položce stále zobrazen. Taková pozice věcí umožňuje útočníkům přistupovat ke vzdálené ploše, jednoduše hesla. Dále nabízíme zajistit zabezpečení provedením určitých nastavení.
Zakázat ověřování hesla
Jak již bylo zmíněno, možnost ověřování hesel může stát slabým článkem v oblasti bezpečnosti vzdáleného připojení, protože tam jsou prostředky k nehroměti těchto klíčů. Doporučujeme tuto možnost vypracovat, pokud máte zájem o maximální ochranu serveru. Můžete to udělat takto:
- Otevřete konfigurační soubor / etc / ssh / sshd_config prostřednictvím jakéhokoliv pohodlného textového editoru, může to být například gedit nebo nano.
- V seznamu, který se otevře, vyhledejte řetězec "PasswordAuthentication" a odebrat znak #, aby byl tento příkaz aktivní. Změňte hodnotu Ano, abyste tuto možnost nezakázali.
- Po dokončení stiskněte klávesy Ctrl + O pro uložení změn.
- Nezměvu názvu souboru, ale jednoduše stiskněte klávesu ENTER pro použití nastavení.
- Textový editor můžete opustit kliknutím na Ctrl + X.
- Všechny změny se projeví pouze po restartování služby SSH, takže to okamžitě přes sudo SystemCl Restartujte SSH.
V důsledku akcí bude možnost ověřování hesel zakázáno a vstup bude k dispozici pouze po několika klíčech RSA. Zvažte to při podobné konfiguraci.
Konfigurace parametru brány firewall
Na konci dnešního materiálu chceme říci o konfiguraci brány firewall, který bude použit pro oprávnění nebo zakazení sloučenin. Budeme procházet pouze hlavními body, přičemž nekomplikovanou firewall (UFW).
- Nejprve se podívejme na seznam stávajících profilů. Zadejte seznam aplikací Sudo UFW a klikněte na Enter.
- Potvrďte akci zadáním hesla superuživatele.
- Položte SSH v seznamu. Pokud je tento řádek přítomen, znamená to, že vše funguje správně.
- Povolit připojení přes tento nástroj psaní SUDO UFW Povolit OpenSSH.
- Zapněte bránu firewall pro aktualizaci pravidel. To se provádí přes příkaz povolit sudo ufw.
- Aktuální stav firewall můžete kdykoliv zkontrolovat zadáním stavu SUDO UFW.
V tomto procesu je konfigurace SSH v Debianu dokončena. Jak vidíte, existuje mnoho různých nuancí a pravidel, která je třeba dodržovat. Samozřejmě, v rámci jednoho článku, je nemožné přizpůsobit se absolutně veškeré informace, takže jsme se dotkli základní informace. Máte-li zájem o získání podrobnějších údajů o tomto užitku, doporučujeme vám seznámit se svou oficiální dokumentací.