Όπως γνωρίζετε, η Open Technology SSH σας επιτρέπει να συνδεθείτε εξ αποστάσεως σε ένα συγκεκριμένο υπολογιστή και να μεταδώσετε δεδομένα μέσω του επιλεγμένου προστατευμένου πρωτοκόλλου. Αυτό σας επιτρέπει να εφαρμόσετε και να ελέγξετε πλήρως την επιλεγμένη συσκευή, εξασφαλίζοντας την ασφαλή ανταλλαγή σημαντικών πληροφοριών και ακόμη και κωδικούς πρόσβασης. Μερικές φορές οι χρήστες έχουν την ανάγκη να συνδεθούν μέσω SSH, αλλά εκτός από την εγκατάσταση του ίδιου του βοηθητικού προγράμματος, είναι απαραίτητο να παραχθούν και πρόσθετες ρυθμίσεις. Θέλουμε να το μιλήσουμε σήμερα, λαμβάνοντας τη διανομή του Debian για το παράδειγμα.
Προσαρμόστε το SSH στο Debian
Διαχωρίζουμε τη διαδικασία διαμόρφωσης σε διάφορα βήματα, καθώς το καθένα είναι υπεύθυνο για την εφαρμογή συγκεκριμένων χειρισμών και μπορεί απλώς να είναι χρήσιμη για ορισμένους χρήστες, οι οποίοι εξαρτώνται από τις προσωπικές προτιμήσεις. Ας ξεκινήσουμε με το γεγονός ότι όλες οι ενέργειες θα γίνουν στην κονσόλα και θα πρέπει να επιβεβαιώσουν τα δικαιώματα του superuser, ώστε να προετοιμαστούν για αυτό εκ των προτέρων.Εγκατάσταση του SSH-Server και SSH-Client
Από προεπιλογή, το SSH περιλαμβάνεται στο πρότυπο σύνολο βοηθητικών προγραμμάτων του λειτουργικού συστήματος του Debian, ωστόσο, λόγω οποιωνδήποτε χαρακτηριστικών, τα απαραίτητα αρχεία μπορούν να ξεπεράσουν ή απλά απουσιάζουν, για παράδειγμα, όταν ο χρήστης παρήγαγε χειροκίνητα την απεγκατάσταση. Εάν χρειαστεί να προ-εγκαταστήσετε το SSH-Server και SSH-Client, ακολουθήστε τις παρακάτω οδηγίες:
- Ανοίξτε το μενού Έναρξη και ξεκινήστε το τερματικό από εκεί. Αυτό μπορεί να γίνει μέσω του τυπικού συνδυασμού κλειδιού Ctrl + Alt + T.
- Εδώ ενδιαφέρεστε για την εντολή Sudo Apt Εγκατάσταση OpenSsh-Server που είναι υπεύθυνη για την εγκατάσταση του τμήματος διακομιστή. Εισαγάγετε και κάντε κλικ στο Enter για να ενεργοποιήσετε.
- Όπως γνωρίζετε ήδη, οι ενέργειες που πραγματοποιήθηκαν με το επιχείρημα Sudo θα πρέπει να ενεργοποιηθούν καθορίζοντας τον κωδικό πρόσβασης του Superuser. Σκεφτείτε ότι οι χαρακτήρες που εισάγονται σε αυτή τη γραμμή δεν εμφανίζονται.
- Θα ειδοποιηθείτε ότι τα πακέτα προστίθενται ή ενημερώνονται. Εάν ο διακομιστής SSH έχει ήδη εγκατασταθεί στο Debian, εμφανίζεται ένα μήνυμα σχετικά με την παρουσία του καθορισμένου πακέτου.
- Στη συνέχεια, θα χρειαστεί να προσθέσετε στο σύστημα και το τμήμα πελάτη, όπως και για τον υπολογιστή στον οποίο θα συνδεθεί η σύνδεση στο μέλλον. Για να το κάνετε αυτό, χρησιμοποιήστε ένα παρόμοιο sudo apt-get install openssh-client.
Δεν υπάρχουν άλλα πρόσθετα εξαρτήματα για την εγκατάσταση οποιωνδήποτε πρόσθετων εξαρτημάτων, μπορείτε τώρα να αλλάξετε με ασφάλεια στα αρχεία διαχείρισης διακομιστή και διαμόρφωσης για να δημιουργήσετε κλειδιά και να προετοιμάσετε τα πάντα για να συνδέσετε περαιτέρω στην απομακρυσμένη επιφάνεια εργασίας.
Διαχείριση διακομιστών και ελέγχοντας το έργο του
Εν συντομία, ας επικεντρωθούμε στο πώς διαχειρίζεται ο εγκατεστημένος διακομιστής και ο έλεγχος της λειτουργίας του. Πρέπει να γίνει πριν από τη μετάβαση στη ρύθμιση για να βεβαιωθείτε ότι η λειτουργία των πρόσθετων στοιχείων είναι σωστή.
- Χρησιμοποιήστε το Sudo SystemCTL Ενεργοποιήστε την εντολή SSHD για να προσθέσετε ένα διακομιστή στο AutoLoad, εάν δεν συμβεί αυτόματα. Εάν πρέπει να ακυρώσετε την εκτόξευση με το λειτουργικό σύστημα, χρησιμοποιήστε το SystemCTL Απενεργοποιήστε το SSHD. Στη συνέχεια, θα χρειαστεί η χειροκίνητη εκκίνηση για να καθορίσετε το SystemCTL SSHD SSHD.
- Όλες αυτές οι ενέργειες πρέπει πάντα να εκτελούνται πάντα εξ ονόματος του Superuser, οπότε πρέπει να εισαγάγετε τον κωδικό πρόσβασής του.
- Καταχωρίστε την εντολή SSH localhost για να ελέγξετε τον διακομιστή για απόδοση. Αντικαταστήστε το localhost στη διεύθυνση τοπικού υπολογιστή.
- Όταν συνδέεστε για πρώτη φορά, θα ειδοποιηθείτε ότι η πηγή δεν επαληθεύεται. Αυτό συμβαίνει επειδή δεν έχουμε ακόμα ρυθμίσει τις ρυθμίσεις ασφαλείας. Τώρα επιβεβαιώστε τη συνέχιση της σύνδεσης εισάγοντας Ναι.
Προσθέτοντας ένα ζευγάρι πλήκτρων RSA
Η σύνδεση από το διακομιστή στον πελάτη και το αντίστροφο VISA μέσω SSH πραγματοποιείται εισάγοντας έναν κωδικό πρόσβασης, ωστόσο, συνιστάται η δημιουργία ενός ζεύγους κλειδιών που θα αναπτυχθούν μέσω των αλγορίθμων RSA. Αυτός ο τύπος κρυπτογράφησης θα επιτρέψει τη δημιουργία βέλτιστης προστασίας, η οποία θα είναι δύσκολο να φτάσει γύρω από τον εισβολέα όταν προσπαθεί να χάσει. Για να προσθέσετε ένα ζευγάρι κλειδιών μόνο λίγα λεπτά και μοιάζει με αυτή τη διαδικασία:
- Ανοίξτε το "τερματικό" και εισάγετε το SSH-Keygen εκεί.
- Μπορείτε να επιλέξετε ανεξάρτητα ένα μέρος όπου θέλετε να αποθηκεύσετε τη διαδρομή προς το κλειδί. Εάν δεν υπάρχει καμία επιθυμία να το αλλάξετε, απλά πατήστε το πλήκτρο ENTER.
- Τώρα δημιουργείται το ανοικτό κλειδί. Μπορεί να προστατευθεί από μια φράση κώδικα. Εισαγάγετε την στην εμφανιζόμενη συμβολοσειρά ή να αφήσετε κενά εάν δεν θέλετε να ενεργοποιήσετε αυτήν την επιλογή.
- Κατά την είσοδο στη φράση κλειδιού θα πρέπει να το καθορίσετε ξανά για επιβεβαίωση.
- Θα εμφανιστεί κοινοποίηση της δημιουργίας δημόσιου κλειδιού. Όπως μπορείτε να δείτε, ορίστηκε ένα σύνολο τυχαίων συμβόλων και δημιουργήθηκε μια εικόνα σε τυχαίους αλγόριθμους.
Χάρη στη δράση, δημιουργήθηκε ένα μυστικό και δημόσιο κλειδί. Θα συμμετάσχουν για τη σύνδεση μεταξύ των συσκευών. Τώρα πρέπει να αντιγράψετε το δημόσιο κλειδί στο διακομιστή και μπορείτε να το κάνετε αυτό με διαφορετικές μεθόδους.
Αντιγράψτε το κλειδί ανοικτού στο διακομιστή
Στο Debian, υπάρχουν τρεις επιλογές με τις οποίες μπορείτε να αντιγράψετε το δημόσιο κλειδί στον διακομιστή. Προτείνουμε να εξοικειωθείτε αμέσως με όλους τους για να επιλέξετε το βέλτιστο στο μέλλον. Αυτό είναι σημαντικό σε αυτές τις περιπτώσεις όπου μία από τις μεθόδους δεν ταιριάζει ή δεν ικανοποιεί τις ανάγκες του χρήστη.
Μέθοδος 1: Ομάδα SSH-COPY-ID
Ας ξεκινήσουμε με την απλούστερη επιλογή που συνεπάγεται τη χρήση της εντολής SSH-COPY-ID. Από προεπιλογή, αυτό το βοηθητικό πρόγραμμα είναι ήδη ενσωματωμένο στο λειτουργικό σύστημα, οπότε δεν χρειάζεται προεγκατάσταση. Το σύνταξή του είναι επίσης το πιο απλό όσο το δυνατόν πιο απλό και θα χρειαστεί να εκτελέσετε τέτοιες ενέργειες:
- Στην κονσόλα, εισαγάγετε την εντολή SSH-COPY-ID στο όνομα χρήστη @ Remote_host και ενεργοποιήστε το. Αντικαταστήστε το όνομα χρήστη @ Remote_host στη διεύθυνση του υπολογιστή στόχου έτσι ώστε η αποστολή να έχει περάσει με επιτυχία.
- Όταν προσπαθείτε πρώτα να συνδεθείτε, θα δείτε το μήνυμα "Η αυθεντικότητα του κεντρικού υπολογιστή '203.0.113.1 (203.0.113.1)' (203.0.113.1)" δεν μπορεί να καθοριστεί. Το δακτυλικό αποτύπωμα ECDSA είναι FD: FD: D4: F9: 77: Fe: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: FE. Είστε βέβαιοι ότι θέλετε να συνεχίσετε τη σύνδεση (ναι / όχι); "". Επιλέξτε μια θετική απάντηση για να συνεχίσετε τη σύνδεση.
- Μετά από αυτό, η χρησιμότητα θα λειτουργήσει ανεξάρτητα ως αναζήτηση και αντιγραφή του κλειδιού. Ως αποτέλεσμα, αν όλα πήγαν με επιτυχία, η ειδοποίηση "/ USR / bin / ssh-copy-id" θα εμφανιστεί στην οθόνη: info: Προσπάθεια σύνδεσης με τα νέα κλειδιά, για να φιλτράρετε οποιεσδήποτε είναι alady Εγκατεστημένο / USR / BIN / SSH-COPY-ID: Info: 1 Κλειδί (-οί) Παραμείνετε προς εγκατάσταση - Εάν σας ζητηθεί τώρα, είναι να εγκαταστήσετε τα νέα κλειδιά [email protected],1 Κωδικός πρόσβασης: ". Αυτό σημαίνει ότι μπορείτε να εισάγετε τον κωδικό πρόσβασης και να μεταβείτε στην άμεση έλεγχο της απομακρυσμένης επιφάνειας εργασίας.
Επιπλέον, θα καθορίσω ότι μετά την πρώτη επιτυχημένη εξουσιοδότηση στην κονσόλα, ο επόμενος χαρακτήρας θα εμφανιστεί:
Αριθμός κλειδιών που προστέθηκαν: 1
Τώρα δοκιμάστε να συνδεθείτε στο μηχάνημα, με: "ssh" [email protected] '' ''
Και ελέγξτε για να βεβαιωθείτε ότι μόνο τα κλειδιά που θέλετε προστέθηκαν.
Λέει ότι το κλειδί προστέθηκε με επιτυχία σε έναν απομακρυσμένο υπολογιστή και δεν θα προκύψουν πλέον προβλήματα όταν προσπαθείτε να συνδεθείτε.
Μέθοδος 2: Κλειδί εξαγωγής μέσω SSH
Όπως γνωρίζετε, η εξαγωγή ενός δημόσιου κλειδιού θα σας επιτρέψει να συνδεθείτε με τον καθορισμένο διακομιστή χωρίς να εισαγάγετε τον κωδικό πρόσβασης. Τώρα, ενώ το κλειδί δεν είναι ακόμη στον υπολογιστή-στόχο, μπορείτε να συνδεθείτε μέσω SSH εισάγοντας τον κωδικό πρόσβασης, ώστε να μετακινήσετε χειροκίνητα το επιθυμητό αρχείο. Για να το κάνετε αυτό, στην κονσόλα θα πρέπει να εισάγετε την εντολή Cat ~ / .ssh / id_rsa.pub | SSH username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / εξουσιοδοτημένο_keys && chmod -r go = ~ / .sshsh && cat >> ~ /.
Πρέπει να εμφανιστεί μια ειδοποίηση στην οθόνη.
Η αυθεντικότητα του ξενιστή «203.0.113.1 (203.0.113.1)" δεν μπορεί να καθοριστεί.
Το Ecdsa Key Fingerprint είναι FD: FD: D4: F9: 77: Fe: 73: 84: E1: 55: 00: AD: D6: 6D: 22: FE.
Είστε βέβαιοι ότι θέλετε να συνεχίσετε τη σύνδεση (ναι / όχι);
Επιβεβαιώστε ότι θα συνεχίσετε τη σύνδεση. Το δημόσιο κλειδί θα αντιγραφεί αυτόματα στο τέλος του αρχείου διαμόρφωσης εξουσιοδοτημένων_Keys. Σε αυτή τη διαδικασία εξαγωγής, είναι δυνατόν να ολοκληρωθεί.
Μέθοδος 3: Χειροκίνητο κλειδί αντιγραφής
Αυτή η μέθοδος θα ταιριάζει σε αυτούς τους χρήστες που δεν έχουν καμία δυνατότητα να δημιουργήσουν μια απομακρυσμένη σύνδεση με τον υπολογιστή-στόχο, αλλά υπάρχει φυσική πρόσβαση σε αυτό. Στην περίπτωση αυτή, το κλειδί θα πρέπει να μεταφερθεί ανεξάρτητα. Για να ξεκινήσετε, καθορίστε τις πληροφορίες σχετικά με αυτό στον διακομιστή PC μέσω Cat ~ / .ssh / ID_RSA.Pub.
Η κονσόλα θα πρέπει να εμφανίζεται το πλήκτρο SSH-RSA + ως ένα σύνολο χαρακτήρων == demo @ test. Τώρα μπορείτε να μεταβείτε σε έναν άλλο υπολογιστή, όπου θα πρέπει να δημιουργήσετε έναν νέο κατάλογο εισάγοντας mkdir -p ~ / .sshshs. Προσθέτει επίσης ένα αρχείο κειμένου που ονομάζεται εξουσιοδοτημένο_keys. Παραμένει μόνο να εισαγάγετε εκεί ένα συγκεκριμένο προηγούμενο κλειδί μέσω της ECHO + σειρά ενός δημόσιου κλειδιού >> ~ / .ssh / Authorized_Keys. Μετά από αυτό, ο έλεγχος ταυτότητας θα είναι διαθέσιμος χωρίς προηγούμενη καταχώρηση κωδικού πρόσβασης. Αυτό γίνεται μέσω της εντολής Username SSH @ Remote_host, όπου το όνομα χρήστη @ Remote_host θα πρέπει να αντικατασταθεί με το όνομα του απαιτούμενου κεντρικού υπολογιστή.
Θεωρείται μόνο τους τρόπους που επιτρέπονται να μεταφέρουν ένα δημόσιο κλειδί σε μια νέα συσκευή για να καταστεί δυνατή η σύνδεση χωρίς να εισάγετε τον κωδικό πρόσβασης, αλλά τώρα εμφανίζεται η φόρμα στην καταχώρηση. Μια τέτοια θέση των πραγμάτων επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση στην απομακρυσμένη επιφάνεια εργασίας, απλώς κωδικό πρόσβασης. Στη συνέχεια προσφέρουμε να διασφαλίσουμε την ασφάλεια εκτελώντας ορισμένες ρυθμίσεις.
Απενεργοποιήστε τον έλεγχο ταυτότητας κωδικού πρόσβασης
Όπως αναφέρθηκε προηγουμένως, η δυνατότητα ελέγχου ταυτότητας κωδικού πρόσβασης μπορεί να γίνει ένας αδύναμος σύνδεσμος στην ασφάλεια μιας απομακρυσμένης σύνδεσης, καθώς υπάρχουν μέσα για την αντιμετώπιση αυτών των κλειδιών. Συνιστούμε να απενεργοποιήσετε αυτήν την επιλογή εάν ενδιαφέρεστε για τη μέγιστη προστασία του διακομιστή σας. Μπορείτε να το κάνετε έτσι:
- Ανοίξτε το αρχείο διαμόρφωσης / κλπ / ssh / sshd_config μέσω οποιουδήποτε βολικού επεξεργαστή κειμένου, μπορεί να είναι, για παράδειγμα, gedit ή nano.
- Στη λίστα που ανοίγει, βρείτε τη συμβολοσειρά "PasswordAuthentictication" και αφαιρέστε το σύμβολο # για να κάνετε αυτή την εντολή ενεργή. Αλλάξτε την τιμή ναι σε Όχι για να απενεργοποιήσετε την επιλογή.
- Μετά την ολοκλήρωση, πατήστε Ctrl + O για να αποθηκεύσετε τις αλλαγές.
- Μην αλλάξετε το όνομα του αρχείου, αλλά απλά πατήστε Enter για να χρησιμοποιήσετε τη ρύθμιση.
- Μπορείτε να αφήσετε τον επεξεργαστή κειμένου κάνοντας κλικ στο Ctrl + X.
- Όλες οι αλλαγές θα τεθούν σε ισχύ μόνο μετά την επανεκκίνηση της υπηρεσίας SSH, οπότε το κάνετε αμέσως μέσω του Sudo SystemCTL Restart SSH.
Ως αποτέλεσμα των ενεργειών, η δυνατότητα ελέγχου ταυτότητας κωδικού πρόσβασης θα απενεργοποιηθεί και η είσοδος θα είναι διαθέσιμη μόνο μετά από μερικά πλήκτρα RSA. Εξετάστε αυτό όταν παρόμοια διαμόρφωση.
Ρύθμιση της παραμέτρου τείχους προστασίας
Στο τέλος του σημερινού υλικού, θέλουμε να πούμε τη διαμόρφωση του τείχους προστασίας, το οποίο θα χρησιμοποιηθεί για δικαιώματα ή απαγορεύσεις των ενώσεων. Θα περάσουμε μόνο τα κύρια σημεία, λαμβάνοντας το απλό τείχος προστασίας (UFW).
- Πρώτον, ας ελέγξουμε τη λίστα των υφιστάμενων προφίλ. Εισαγάγετε τη λίστα εφαρμογών Sudo UFW και κάντε κλικ στο ENTER.
- Επιβεβαιώστε τη δράση καθορίζοντας τον κωδικό πρόσβασης του Superuser.
- Βάλτε ssh στη λίστα. Εάν αυτή η γραμμή υπάρχει εκεί, αυτό σημαίνει ότι όλα λειτουργούν σωστά.
- Αφήστε τη σύνδεση μέσω αυτής της χρησιμότητας γράφοντας το Sudo UFW να επιτρέψει το OpenSsh.
- Ενεργοποιήστε το τείχος προστασίας για να ενημερώσετε τους κανόνες. Αυτό γίνεται μέσω της εντολής ενεργοποίησης του Sudo UFW.
- Μπορείτε να ελέγξετε την τρέχουσα κατάσταση του τείχους προστασίας οποιαδήποτε στιγμή εισάγοντας την κατάσταση Sudo UFW.
Σε αυτή τη διαδικασία, η διαμόρφωση SSH στο Debian είναι πλήρης. Όπως μπορείτε να δείτε, υπάρχουν πολλές διαφορετικές αποχρώσεις και κανόνες που πρέπει να τηρηθούν. Φυσικά, στο πλαίσιο ενός άρθρου, είναι αδύνατο να ταιριάζει απολύτως όλες τις πληροφορίες, οπότε αγγίζαμε μόνο τις βασικές πληροφορίες. Εάν ενδιαφέρεστε να λάβετε περισσότερα σε βάθος δεδομένα σχετικά με αυτό το βοηθητικό πρόγραμμα, σας συμβουλεύουμε να εξοικειωθείτε με την επίσημη τεκμηρίωσή της.