Como usted sabe, la tecnología SSH abierta le permite conectarse de forma remota a una computadora específica y transmitir datos a través del protocolo protegido seleccionado. Esto le permite implementar y controlar completamente el dispositivo seleccionado, asegurando un intercambio seguro de información importante e incluso contraseñas. A veces, los usuarios tienen la necesidad de conectarse a través de SSH, pero además de instalar la utilidad en sí, es necesario producir y configuraciones adicionales. Queremos hablar de ello hoy, tomando la distribución de Debian por ejemplo.
Personaliza SSH en Debian
Dividimos el proceso de configuración en varios pasos, ya que cada uno es responsable de la implementación de manipulaciones específicas y puede ser simplemente útil para ciertos usuarios, lo que depende de las preferencias personales. Comencemos con el hecho de que todas las acciones se realizarán en la consola y deberán confirmar los derechos del superusuario, así que prepárese para esto con anticipación.Instalación de SSH-Server y SSH-Client
De forma predeterminada, la SSH se incluye en el conjunto estándar de la utilidad del sistema operativo Debian, sin embargo, debido a cualquier característica, los archivos necesarios pueden ser indignantes o simplemente ausentes, por ejemplo, cuando el usuario produjo manualmente la desinstalación. Si necesita preinstalar SSH-Server y SSH-Client, siga las siguientes instrucciones:
- Abra el menú Inicio y inicie el terminal desde allí. Esto se puede hacer a través de la combinación de teclas estándar CTRL + ALT + T.
- Aquí está interesado en el comando Sudo APT Instale OpenSSH-Server que es responsable de la instalación de la parte del servidor. Ingrese y haga clic en Entrar para activar.
- Como ya sabe, las acciones realizadas con el argumento SUDO deberán activarse especificando la contraseña del superusuario. Considere que los caracteres ingresados en esta línea no se muestran.
- Se le notificará que los paquetes se agreguen o se actualicen. Si el SSH-Server ya está instalado en Debian, aparece un mensaje en presencia del paquete especificado.
- A continuación, deberá agregar al sistema y la parte del cliente, en cuanto a la computadora a la que se conectará la conexión en el futuro. Para hacer esto, use un comando Simple Apt-Get Instale OpenSSH-Client.
No hay más componentes adicionales para instalar cualquier componente adicional, ahora puede cambiar de forma segura a los archivos de administración y configuración del servidor para crear claves y preparar todo para conectarse al escritorio remoto.
Gestión del servidor y revisando su trabajo.
Brevemente, concentrémonos en cómo se administra el servidor instalado y la verificación de su funcionamiento. Debe hacerse antes de cambiar a la configuración para asegurarse de que el funcionamiento de los componentes agregados sea correcto.
- Use el comando SISTEMCTL habilitar SSHD SYDOTCL para agregar un servidor a AutoLoad, si no sucede automáticamente. Si necesita cancelar el lanzamiento con el sistema operativo, use SystemCTL deshabilitar SSHD. Luego se necesitará el inicio manual para especificar SystemCTL Start SSHD.
- Todas estas acciones siempre deben realizarse siempre en nombre del superusuario, por lo que debe ingresar su contraseña.
- Ingrese el comando ssh localhost para verificar el servidor para el rendimiento. Reemplace localhost a la dirección de la computadora local.
- Cuando se conecta por primera vez, se le notificará que la fuente no está verificada. Esto sucede porque aún no hemos establecido la configuración de seguridad. Ahora solo confirme la continuación de la conexión ingresando Sí.
Añadiendo un par de claves RSA
Sin embargo, la conexión desde el servidor al cliente al cliente y viceversa se realiza ingresando una contraseña, sin embargo, se recomienda crear un par de claves que se desarrollarán a través de los algoritmos RSA. Este tipo de cifrado permitirá crear una protección óptima, que será difícil de mover al atacante al intentar hackear. Para agregar un par de claves solo unos minutos, y parece este proceso:
- Abra el "Terminal" e ingrese a SSH-Keygen allí.
- Puede elegir independientemente un lugar donde quiera guardar la ruta a la tecla. Si no hay deseo de cambiarlo, simplemente presione la tecla ENTER.
- Ahora se crea la llave abierta. Puede ser protegido por una frase de código. Ingrese en la cadena mostrada o deje vacía si no desea activar esta opción.
- Al ingresar la frase clave tendrá que especificarlo nuevamente para confirmar.
- Aparecerá una notificación de la creación de una clave pública. Como puede ver, se le asignó un conjunto de símbolos aleatorios, y se creó una imagen en algoritmos aleatorios.
Gracias a la acción realizada, se ha creado una clave secreta y pública. Estarán involucrados para conectarse entre dispositivos. Ahora tiene que copiar la clave pública para el servidor, y puede hacerlo por diferentes métodos.
Copie la tecla Abrir para el servidor
En Debian, hay tres opciones con las que puede copiar la clave pública para el servidor. Sugerimos inmediatamente familiarícese con todos ellos para elegir lo óptimo en el futuro. Esto es relevante en aquellas situaciones en las que uno de los métodos no se ajusta o no satisface las necesidades del usuario.
Método 1: Equipo SSH-COPY-ID
Comencemos con la opción más sencilla que implique el uso del comando ssh-copy-id. De forma predeterminada, esta utilidad ya está incorporada en el sistema operativo, por lo que no necesita preinstalación. Su sintaxis también es la más simple posible, y deberá realizar tales acciones:
- En la consola, ingrese el comando ssh-copy-id al nombre de usuario @ remote_host y active. Reemplace el nombre de usuario @ remote_host a la dirección de la computadora de destino para que el envío haya pasado correctamente.
- Cuando intenta conectarse por primera vez, verá el mensaje "La autenticidad del host '203.0.113.1 (203.0.113.1)' no se puede establecer. La huella digital de ECDSA clave es FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: Fe. ¿Está seguro de que desea continuar conectando (sí / no)? Sí ". Seleccione una respuesta positiva para continuar la conexión.
- Después de eso, la utilidad trabajará independientemente como búsqueda y copia de la clave. Como resultado, si todo salió correctamente, la notificación "/ USR / BIN / SSH-COPY-ID" aparecerá en la pantalla: INFORMACIÓN: Intento de iniciar sesión con la (s) clave (s) nueva (s), para filtrar cualquiera que sea Alady INSTALADO / USR / BIN / SSH-COPY-ID: INFORMACIÓN: 1 La (s) clave (s) permanece para estar instalada: si se le solicita que ahora es instalar la nueva contraseña de teclas [email protected]: ". Esto significa que puede ingresar la contraseña y moverse para controlar directamente el escritorio remoto.
Además, especificaré que después de la primera autorización exitosa en la consola, aparecerá el siguiente personaje:
Número de llave (s) agregado: 1
Ahora intente iniciar sesión en la máquina, con: "ssh 'nombre de [email protected]'"
Y verifique que solo se agregue las llave (s) que desee.
Dice que la clave se agregó con éxito a una computadora remota y ya no surgirá ningún problema cuando intente conectarse.
Método 2: Clave de exportación a través de SSH
Como usted sabe, la exportación de una clave pública le permitirá conectarse al servidor especificado sin antes de ingresar la contraseña. Ahora, mientras la llave aún no está en la computadora de destino, puede conectarse a través de SSH ingresando la contraseña para que mueva manualmente el archivo deseado. Para hacer esto, en la consola tendrá que ingresar al comando cat ~ / .ssh / id_rsa.pub | Ssh username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / autorized_keys & chmod -r go = ~ / .ssh && cat >> ~ / .ssh / autorized_keys".
Una notificación debe aparecer en la pantalla.
La autenticidad del host '203.0.113.1 (203.0.113.1)' no se puede establecer.
ECDSA KEY HIRPTHIP es FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: AD: D6: 6D: 22: FE.
¿Está seguro de que desea continuar conectando (sí / no)?.
Confíralo para continuar la conexión. La clave pública se copiará automáticamente al final del archivo de configuración de Authorized_Keys. En este procedimiento de exportación, se puede terminar.
Método 3: Tecla de copia manual
Este método se adaptará a aquellos usuarios que no tienen capacidad para crear una conexión remota a la computadora de destino, pero hay acceso físico a él. En este caso, la clave deberá ser transferida de forma independiente. Para empezar, determine la información al respecto en la PC del servidor a través de CAT ~ / .ssh / id_rsa.pub.
La consola debe aparecer la tecla SSH-RSA STRY + como un conjunto de caracteres == Demo @ Prueba. Ahora puede ir a otra computadora, donde debe crear un nuevo directorio ingresando MKDIR -P ~ / .SSH. También agrega un archivo de texto llamado Authorized_Keys. Sólo sigue siendo insertar allí una clave anterior a través de ECHO + FILA de una clave pública >> ~ / .ssh / Authorized_Keys. Después de eso, la autenticación estará disponible sin entrada de contraseña previa. Esto se hace a través del comando ssh username @ remote_host, donde el nombre de usuario @ remote_host debe reemplazarse con el nombre del host requerido.
Considerado solo las formas permitidas a transferir una clave pública a un nuevo dispositivo para que sea posible conectarse sin ingresar la contraseña, pero ahora se muestra el formulario en la entrada. Dicha posición de las cosas permite a los atacantes acceder al escritorio remoto, simplemente contraseña. A continuación, ofrecemos garantizar la seguridad realizando ciertas configuraciones.
Deshabilitar la autenticación de contraseña
Como se mencionó anteriormente, la posibilidad de que la autenticación de la contraseña puede convertirse en un vínculo débil en la seguridad de una conexión remota, ya que existen medios de desactivar tales claves. Recomendamos desactivar esta opción si está interesado en la máxima protección de su servidor. Puedes hacerlo así:
- Abra el archivo de configuración / etc / ssh / sshd_config a través de cualquier editor de texto conveniente, puede ser, por ejemplo, gedit o nano.
- En la lista que se abre, encuentre la cadena "Contraseña de contraseña" y retire el signo # para hacer que este comando esté activo. Cambie el valor de Sí a NO para deshabilitar la opción.
- Al finalizar, presione CTRL + O para guardar los cambios.
- No cambie el nombre del archivo, sino simplemente presione ENTER para usar la configuración.
- Puede dejar el editor de texto haciendo clic en CTRL + X.
- Todos los cambios entrarán en vigor solo después de reiniciar el servicio SSH, también lo hará inmediatamente a través de sudo SystemCTL Reinicie SSH.
Como resultado de las acciones, la posibilidad de que la autenticación de la contraseña se desactivará, y la entrada estará disponible solo después de un par de claves RSA. Considere esto cuando una configuración similar.
Configuración del parámetro Firewall
Al final del material de hoy, queremos informar sobre la configuración del firewall, que se utilizará para permisos o prohibiciones de los compuestos. Pasaremos solo por los puntos principales, tomando el firewall no complicado (UFW).
- Primero, revisemos la lista de perfiles existentes. Ingrese la lista de aplicaciones SUDO UFW y haga clic en Entrar.
- Confirme la acción especificando la contraseña del superusuario.
- Leza SSH en la lista. Si esta línea está presente allí, significa que todo funciona correctamente.
- Permita la conexión a través de esta utilidad escribiendo sudo UFW Permitir OpenSSH.
- Encienda el firewall para actualizar las reglas. Esto se hace a través del comando Sudo UFW Habilitar.
- Puede verificar el estado actual del firewall en cualquier momento ingresando el estado de sudo ufw.
En este proceso, la configuración SSH en Debian está completa. Como puede ver, hay muchos matices y reglas diferentes que deben observarse. Por supuesto, en el marco de un artículo, es imposible que se ajuste a toda la información, por lo que solo tocamos información básica. Si está interesado en obtener datos más detallados sobre esta utilidad, le recomendamos que se familiarice con su documentación oficial.