Mit der offenen SSH-Technologie können Sie sich wie wissenschaftlich mit einem bestimmten Computer herstellen und Daten über das ausgewählte geschützte Protokoll senden. Auf diese Weise können Sie das ausgewählte Gerät implementieren und vollständig steuern, wodurch ein sicherer Austausch wichtiger Informationen und sogar Kennwörter gewährleistet wird. Manchmal haben Benutzer die Notwendigkeit, sich über SSH herzustellen, aber zusätzlich zur Installation des Dienstprogramms selbst ist es notwendig, die Erzeugung und zusätzliche Einstellungen zu erstellen. Wir möchten heute darüber sprechen, was die Debian-Verteilung für das Beispiel übernimmt.
Passen Sie SSH in Debian an
Wir teilen den Konfigurationsprozess in mehrere Schritte, da jeder für die Umsetzung spezifischer Manipulationen verantwortlich ist und einfach für bestimmte Benutzer nützlich sein kann, was von den persönlichen Vorlieben abhängt. Beginnen wir mit der Tatsache, dass alle Aktionen in der Konsole getroffen werden und die Rechte des Superuser bestätigen müssen, bereiten Sie sich also im Voraus vor.Installieren von SSH-Server und SSH-Client
Standardmäßig ist das SSH in das Standard-DEBIAN-Betriebssystem-Utility-Set enthalten, jedoch können die erforderlichen Dateien aufgrund von Merkmalen empört oder einfach abwesend sein, beispielsweise wenn der Benutzer die Deinstallation manuell produziert hat. Wenn Sie SSH-Server und SSH-Client vorinstallieren müssen, folgen Sie den folgenden Anweisungen:
- Öffnen Sie das Startmenü und starten Sie das Terminal von dort. Dies kann durch die Standardschlüsselkombination STRG + ALT + T erfolgen.
- Hier interessieren Sie sich für den Sudo APT installieren OpenSsh-Server-Befehl, der für die Installation des Serverteils verantwortlich ist. Geben Sie es ein und klicken Sie auf Eingabetaste, um sie zu aktivieren.
- Wie bereits wissen, müssen die mit dem Sudo-Argument ausgeführten Aktionen aktiviert werden, indem das Superuser-Kennwort angibt. Stellen Sie sich an, dass in dieser Zeile eingegebene Zeichen nicht angezeigt werden.
- Sie werden benachrichtigt, dass Pakete hinzugefügt oder aktualisiert werden. Wenn der SSH-Server bereits in Debian installiert ist, wird in Anwesenheit des angegebenen Pakets eine Meldung angezeigt.
- Als Nächstes müssen Sie dem System und dem Clientteil hinzufügen, wie für den Computer, auf den die Verbindung in der Zukunft angeschlossen ist. Verwenden Sie dazu einen ähnlichen Sudo APT-GET APPENSSH-Client-Befehl.
Es gibt keine zusätzlichen Komponenten mehr, um alle zusätzlichen Komponenten zu installieren. Sie können jetzt sicher auf die Serververwaltung und Konfigurationsdateien umschalten, um Schlüssel zu erstellen und alles vorzubereiten, um die Verbindung zum Remote-Desktop wieder herzustellen.
Serververwaltung und Überprüfung seiner Arbeit
Lassen Sie uns kurz darauf konzentrieren, wie der installierte Server verwaltet und die Überprüfung des Betriebs ist. Es muss vorgenommen werden, bevor Sie auf das Setup wechseln, um sicherzustellen, dass das Funktionieren der hinzugefügten Komponenten korrekt ist.
- Verwenden Sie den Sudo Systemctl aktivieren SSSHD-Befehl, um einen Server zum Autolaad hinzuzufügen, wenn er nicht automatisch geschieht. Wenn Sie den Start mit dem Betriebssystem stornieren müssen, verwenden Sie Systemctl SSSHD deaktivieren. Dann wird der manuelle Startup benötigt, um Systemctl-Start SSSHD anzugeben.
- Alle diese Aktionen müssen unbedingt im Namen des Superusers durchgeführt werden, sodass Sie sein Passwort eingeben müssen.
- Geben Sie den Befehl ssh localhost ein, um den Server für die Leistung zu überprüfen. LOCELHOST ersetzen an die lokale Computeradresse.
- Wenn Sie zum ersten Mal verbinden, werden Sie benachrichtigt, dass die Quelle nicht überprüft wird. Dies geschieht, weil wir die Sicherheitseinstellungen noch nicht festgelegt haben. Bestätigen Sie nun einfach die Fortsetzung der Verbindung, indem Sie Ja eingeben.
Hinzufügen eines Paars von RSA-Schlüssel
Die Verbindung von dem Server an den Client und umgekehrt über SSH wird durch Eingabe eines Kennworts durchgeführt. Es wird jedoch empfohlen, ein Paar Schlüssel zu erstellen, die über die RSA-Algorithmen entwickelt werden. Diese Art der Verschlüsselung ermöglicht es, einen optimalen Schutz zu schaffen, der schwierig ist, den Angreifer beim Versuch, den Angriff zu erhalten, um den Angreifer zu erreichen. So fügen Sie ein Paar Schlüssel nur wenige Minuten hinzu, und es sieht so aus, als würde dieser Prozess aussehen:
- Öffnen Sie das "Terminal" und geben Sie dort SSH-Keygen ein.
- Sie können einen Ort unabhängig auswählen, an dem Sie den Pfad zum Schlüssel speichern möchten. Wenn es keinen Wunsch gibt, es zu ändern, drücken Sie einfach die ENTER-Taste.
- Nun wird der offene Taste erstellt. Es kann durch einen Code-Satz geschützt werden. Geben Sie es in die angezeigte Zeichenfolge ein oder lassen Sie leer, wenn Sie diese Option nicht aktivieren möchten.
- Bei der Eingabe der Taser-Phrase muss es erneut angeben, um zu bestätigen.
- Eine Benachrichtigung über die Erstellung eines öffentlichen Schlüssels wird angezeigt. Wie Sie sehen, wurde er ein Satz von zufälligen Symbolen zugewiesen, und bei zufälligen Algorithmen wurde ein Bild erstellt.
Dank der getanen Aktion wurde ein geheimer und öffentlicher Schlüssel erstellt. Sie sind für die Verbindung zwischen Geräten verbunden. Jetzt müssen Sie den öffentlichen Schlüssel auf den Server kopieren, und Sie können dies mit verschiedenen Methoden tun.
Kopieren Sie den offenen Schlüssel zum Server
In Debian gibt es drei Optionen, mit denen Sie den öffentlichen Schlüssel auf den Server kopieren können. Wir empfehlen, sich sofort mit allen vertraut zu machen, um das Optimal in der Zukunft auszuwählen. Dies ist in Situationen relevant, in denen eine der Methoden nicht passt oder die Bedürfnisse des Benutzers nicht erfüllt.
Methode 1: SSH-Copy-ID-Team
Beginnen wir mit der einfachsten Option, die die Verwendung des Befehls SSH-Copy-ID impliziert. Standardmäßig ist dieses Dienstprogramm bereits in das Betriebssystem eingebaut, sodass keine Vorinstallation erforderlich ist. Seine Syntax ist auch das einfachste wie möglich, und Sie müssen solche Aktionen ausführen:
- Geben Sie in der Konsole den Befehl SSH-Copy-ID an den Benutzername @ Remote_Host ein und aktivieren Sie ihn. Ersetzen Sie den Benutzernamen @ Remote_Host wieder an die Adresse des Zielcomputers, sodass das Senden erfolgreich bestanden hat.
- Wenn Sie zunächst versuchen, eine Verbindung herzustellen, sehen Sie die Meldung "Die Echtheit des Hosts" 203.0.113.1 (203.0.113.1) '' kann nicht etabliert werden. ECDSA Key Fingerabdruck ist FD: FD: D4: F9: 77: Fe: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: FE. Sind Sie sicher, dass Sie sich sicherstellen möchten (Ja / Nein)? Ja. " Wählen Sie eine positive Antwort, um die Verbindung fortzusetzen.
- Danach funktioniert das Dienstprogramm unabhängig als Suche und Kopieren des Schlüssels. Wenn alles erfolgreich lief, erscheint auf dem Bildschirm die Benachrichtigung "/ usr / bin / ssh-copy-id" auf dem Bildschirm: Info: Versuch, sich mit den neuen Schlüssel (s) anzumelden, um alle Alady herauszufiltern Installiert / USR / BIN / SSH-Copy-ID: Info: 1 Schlüssel (en) bleiben installiert - Wenn Sie jetzt aufgefordert werden, ist es, die neuen Keys [email protected] zu installieren: ". Dies bedeutet, dass Sie das Passwort eingeben können, und umzugehen, um den Remote-Desktop direkt zu steuern.
Darüber hinaus werde ich angeben, dass nach der ersten erfolgreichen Berechtigung in der Konsole das nächste Zeichen angezeigt wird:
Anzahl der Schlüssel (s) hinzugefügt: 1
Versuchen Sie nun, sich in der Maschine anzumelden, mit: "ssh '[email protected]'"
Und stellen Sie sicher, dass Sie sicherstellen, dass nur die gewünschten Schlüssel (en) hinzugefügt wurden.
Es heißt, dass der Schlüssel erfolgreich zu einem Remote-Computer hinzugefügt wurde und keine Probleme mehr auftreten, wenn Sie versuchen, eine Verbindung zu verbinden.
Methode 2: Export-Taste durch SSH
Mit dem Export eines öffentlichen Schlüssels können Sie mit dem Export eines öffentlichen Schlüssels mit dem angegebenen Server herstellen, ohne vorher das Kennwort einzugeben. Während der Schlüssel nicht auf dem Zielcomputer ist, können Sie über SSH anschließen, indem Sie das Kennwort eingeben, damit Sie die gewünschte Datei manuell verschieben. Dazu müssen Sie in der Konsole den Befehl katze ~ / ssh / id_rsa.pub eingeben SSH-Benutzername @ Remote_Host "MKDIR -P ~ / .ssh && touch ~ / sh / autorized_keys && chmod -r Go = ~ / .ssh && cat >> ~ / .ssh / autorisierte_keys."
Eine Benachrichtigung muss auf dem Bildschirm angezeigt werden.
Die Echtheit des Hosts '203.0.113.1 (203.0.113.1)' kann nicht etabliert werden.
ECDSA Key Fingerprint ist FD: FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: AD: D6: 6D: 22: Fe.
Sind Sie sicher, dass Sie die Verbindung (ja / nein) fortsetzen möchten?
Bestätigen Sie es, um die Verbindung fortzusetzen. Der öffentliche Schlüssel wird automatisch an das Ende der Konfigurationsdatei Authorized_keys kopiert. Bei diesem Exportverfahren ist es möglich, abgeschlossen zu werden.
Methode 3: Manuelle Kopierschlüssel
Diese Methode entspricht diesen Benutzern, die keine Möglichkeit haben, eine Remoteverbindung an den Zielcomputer zu erstellen, aber es gibt physische Zugriff darauf. In diesem Fall muss der Schlüssel unabhängig übertragen werden. Bestimmen Sie zu Beginn, ermitteln Sie die Informationen darüber auf dem Server-PC über CAT ~ /SH / ID_RSA.PUB.
Die Konsole sollte die SSH-RSA-String + -Taste als Satz von Zeichen == demo @ test erscheinen. Jetzt können Sie zu einem anderen Computer gehen, in dem Sie ein neues Verzeichnis erstellen sollten, indem Sie MKDIR -P ~ /SH eingeben. Es fügt auch eine Textdatei mit dem Namen Authorized_keys hinzu. Es bleibt nur noch einen bestimmten früheren Schlüssel über Echo + Zeile eines öffentlichen Schlüssels >> ~ / .ssh / autorisierte_keys einfügen. Danach ist die Authentifizierung ohne vorherige Kennworteintrag verfügbar. Dies erfolgt über den Befehl ssh username @ remote_host, in dem der Benutzername @ Remote_HOST durch den Namen des erforderlichen Hosts ersetzt werden soll.
Erhalten Sie nur die Möglichkeiten, einen öffentlichen Schlüssel an ein neues Gerät zu übertragen, um es zu verbinden, ohne das Kennwort einzugeben, aber jetzt wird das Formular auf dem Eintrag weiterhin angezeigt. Eine solche Position von Dingen ermöglicht Angreifer, auf den Remote-Desktop, einfach Passwort zuzugreifen. Als Nächstes bieten wir an, um die Sicherheit sicherzustellen, indem Sie bestimmte Einstellungen durchführen.
Deaktivieren Sie die Kennwortauthentifizierung.
Wie bereits erwähnt, kann die Möglichkeit der Kennwortauthentifizierung zu einer schwachen Verbindung in der Sicherheit einer Remote-Verbindung werden, da es Mittel, um solche Tasten zu verstoßen. Wir empfehlen diese Option deaktiviert, wenn Sie sich für den maximalen Schutz Ihres Servers interessieren. Sie können es so machen:
- Öffnen Sie die Konfigurationsdatei / etc / ssh / sshd_config über einen beliebigen bequemen Texteditor, es kann zum Beispiel GEDIT oder NANO sein.
- In der Liste der Liste finden Sie die Zeichenfolge "PasswordAuthentication" und entfernen Sie das # -Szeichen, um diesen Befehl aktiv zu machen. Ändern Sie den Wert von Ja, um die Option zu deaktivieren.
- Drücken Sie nach Abschluss Strg + O, um die Änderungen zu speichern.
- Ändern Sie den Namen der Datei nicht, sondern drücken Sie einfach die Eingabetaste, um das Setup zu verwenden.
- Sie können den Texteditor durch Klicken auf Strg + X verlassen.
- Alle Änderungen werden nur nach dem Neustart des SSH-Dienstes wirksam, so dass dies sofort über sudo SystemCTL neu startet SSH.
Infolge von Aktionen wird die Möglichkeit der Kennwortauthentifizierung deaktiviert, und die Eingabe ist erst nach ein paar RSA-Schlüssel verfügbar. Betrachten Sie dies, wenn eine ähnliche Konfiguration ist.
Konfigurieren des Firewall-Parameters
Am Ende des heutigen Materials möchten wir über die Konfiguration der Firewall erzählen, die für Berechtigungen oder Verbot der Verbindungen verwendet wird. Wir werden nur an den Hauptpunkten vorbeigehen und die unkomplizierte Firewall (UFW) nehmen.
- Lassen Sie uns zunächst die Liste der vorhandenen Profile überprüfen. Geben Sie die Sudo UFW-App-Liste ein und klicken Sie auf Eingabetaste.
- Bestätigen Sie die Aktion, indem Sie das Superuser-Kennwort angeben.
- SSH in der Liste lag. Wenn diese Zeile dort vorhanden ist, bedeutet dies, dass alles ordnungsgemäß funktioniert.
- Erlauben Sie den Anschluss durch dieses Dienstprogramm, indem Sie Sudo UFW erstellen, um OpenSH zuzulassen.
- Schalten Sie die Firewall ein, um die Regeln zu aktualisieren. Dies erfolgt über den Befehl sudo ufw aktivieren.
- Sie können den aktuellen Status der Firewall jederzeit überprüfen, indem Sie den Status des Sudo UFW eingeben.
In diesem Prozess ist die SSH-Konfiguration in Debian abgeschlossen. Wie Sie sehen, gibt es viele verschiedene Nuancen und Regeln, die beobachtet werden müssen. Natürlich ist es im Rahmen eines Artikels nicht möglich, nicht alle Informationen absolut zu passen, also berühren wir nur grundlegende Informationen. Wenn Sie daran interessiert sind, ein detailliertere Daten zu diesem Dienstprogramm zu erhalten, empfehlen wir Ihnen, sich mit seiner offiziellen Dokumentation vertraut zu machen.