Nagu te teate, siis avatud SSH-tehnoloogia võimaldab teil kaugjuhtida konkreetse arvuti ja edastab andmeid valitud kaitstud protokolli kaudu. See võimaldab teil valitud seadet rakendada ja täielikult juhtida, tagades olulise teabe ja isegi paroolide turvalise vahetuse. Mõnikord on kasutajad vajadust ühendada SSH-ga, kuid lisaks kasuliku paigaldamisele on vaja toota ja täiendavaid seadeid. Me tahame täna sellest rääkida, võttes debianijaotus näite.
Kohanda ssh Debian
Me jagame konfiguratsiooniprotsessi mitmeks sammuks, kuna igaüks vastutab konkreetsete manipulatsioonide rakendamise eest ja võib olla lihtsalt kasulik teatud kasutajatele, mis sõltuvad isiklikest eelistustest. Alustame asjaoluga, et kõik tegevused tehakse konsoolis ja peavad kinnitama superuseri õigusi, nii ette valmistama ette ette.SSH-serveri ja SSH-kliendi installimine
Vaikimisi SSH sisaldub standardse debiani operatsioonisüsteemi utiliit, kuid mis tahes funktsioonide tõttu võivad vajalikud failid olla pahameelt või lihtsalt puuduvad, näiteks kui kasutaja käsitsi eemaldas desinstallimist. Kui teil on vaja paigaldada SSH-server ja SSH-Client, järgige järgmisi juhiseid:
- Avage menüü Start ja alustage terminali sealt. Seda saab teha standardse võtme kombinatsiooni kaudu Ctrl + Alt + T.
- Siin olete huvitatud sudo apt install OpenSsh-server käsk, mis vastutab installimise server osa. Sisestage see ja klõpsake aktiveerimiseks ENTER.
- Nagu te juba teate, tuleb sudo argumentiga läbi viidud toiminguid aktiveerida, täpsustades superuseri parooli. Mõtle, et sellesse joont sisestatud märke ei kuvata.
- Teile teatatakse, et pakette lisatakse või uuendatakse. Kui SSH-server on juba Debiaanisse installitud, ilmub märgitud pakendi olemasolule teade.
- Järgmisena peate lisama süsteemi ja kliendi osa, mis on arvuti jaoks, millele ühendus on tulevikus ühendatud. Selleks kasutage sarnast sudo apt-Get install OpenSSH-Client Command.
Täiendavate komponentide paigaldamiseks ei ole enam lisakomponente, saate klahvide loomiseks turvaliselt sisse lülitada serveri haldamise ja konfiguratsioonifaile ja valmistada kõik kaugtöölaua täiendavaks ühendamiseks.
Serveri haldamine ja tema töö kontrollimine
Lühidalt keskendume, kuidas installitud serverit hallatakse ja selle toimimise kontrollimine. See tuleb teha enne seadistuse sisselülitamist veenduda, et lisatud komponentide toimimine on õige.
- Kasutage SUDO SYSTEMCTL Luba SSHD käsu serveri lisamiseks autoloadisse, kui see ei juhtu automaatselt. Kui teil on vaja tühistada käivitamise operatsioonisüsteemiga, kasutage SystemeCTL-i SSHD-d. Seejärel on SystemCT-alustamise SSHD määramiseks vajalikku käsitsi käivitamist.
- Kõik sellised tegevused peavad alati olema superuseri nimel alati läbi viidud, nii et peate sisestama oma parooli.
- Sisestage SSH localhost käsk, et kontrollida serveri jõudlust. Vahetage localhost kohaliku arvuti aadressi juurde.
- Kui te esimest ühendust, siis teatatakse, et allikas ei ole kontrollitud. See juhtub, sest me ei ole veel turvaseadeid seadnud. Nüüd kinnitage lihtsalt ühenduse jätkamine, sisestades jah.
RSA võtmete paari lisamine
Serveri ühendamine kliendile ja vastupidi SSH kaudu viiakse läbi parooli sisestamisega, kuid soovitatakse luua RSA algoritmide kaudu välja töötatud võtmed. Seda tüüpi krüpteerimist võimaldavad luua optimaalse kaitse, mis on raske ründaja ümber pääseda. Et lisada paari võtmeid vaid mõne minuti ja see näeb välja selline protsess:
- Avage "terminal" ja sisestage ssh-keygen.
- Võite iseseisvalt valida koht, kuhu soovite tee salvestada. Kui soov ei soovi seda muuta, vajutage lihtsalt sisestusklahvi.
- Nüüd luuakse avatud klahv. Seda saab kaitsta koodlaasiga. Sisestage see kuvatud stringisse või jätke tühi, kui te seda võimalust aktiveerida.
- Võtmelause sisenemisel peab selle kinnitamiseks selle uuesti täpsustama.
- Kuvatakse teate avaliku võtme loomisest. Nagu näete, määrati ta juhuslike sümbolite komplekt ja pildi loodi juhuslikel algoritmidel.
Tänu tegevusele on loodud salajane ja avalik võti. Need osalevad seadmete ühendamiseks. Nüüd peate serverisse avaliku võtme kopeerima ja seda teha saate teha erinevate meetoditega.
Kopeeri avatud klahvi serverisse
Debianis on kolm võimalust, millega saate serverisse avalikku võtme kopeerida. Soovitame koheselt tutvuda kõigi nendega, et valida optimaalne tulevikus. See on asjakohane nendes olukordades, kus üks meetodeid ei sobi või ei vasta kasutaja vajadustele.
Meetod 1: SSH-Copy-ID meeskond
Alustame kõige lihtsama võimalusega, mis tähendab SSH-Copy-ID-käsku kasutamist. Vaikimisi on see utiliit juba OS-i sisse ehitatud, nii et see ei vaja eelnevalt paigaldamist. Selle süntaks on ka võimalikult kõige lihtsam ja te peate selliseid toiminguid täitma:
- Konsoolis sisestage SSH-Copy-ID käsk kasutajanimi @ comed_Host ja aktiveerige see. Vahetage kasutajanimi @ Remote_Host sihtarvuti aadressile, et saates oleks edukalt läbinud.
- Kui te esimest korda ühendada, näete sõnumit "Hosti autentsus" 203.0.113,1 (203.0.113.1) " : 84: E1: 55: 00: AD: D6: 6D: 22: FE. Kas olete kindel, et soovite jätkata ühendamist (jah / ei)? Jah. " Ühenduse jätkamiseks valige positiivne vastus.
- Pärast seda töötab kasulikkus iseseisvalt otsinguna ja klahvi kopeerimisena. Selle tulemusena, kui kõik läks edukalt, ilmub ekraanile teate "/ usr / bin / ssh-copy-id" Installitud / usr / bin / ssh-copy-id: info: 1 klahvi (id) jääb paigaldamiseks - kui teil palutakse nüüd installida uusi klahve [email protected]'s Parool: ". See tähendab, et saate sisestada parool ja liigub kaugtöölaua vahetult juhtimiseks.
Lisaks määran, et pärast esimest edukat loa konsoolis ilmub järgmine märk:
Klahvi (de) arv lisatud: 1
Nüüd proovige masinasse sisselogimist: "SSH '[email protected]' '' '
Ja kontrollige veenduda, et ainult soovitud võti (id) lisati.
Ta ütleb, et võti lisati kaugarvutisse edukalt ja ei teki enam probleeme, kui proovite ühendada.
2. meetod: ekspordi võti SSH kaudu
Nagu te teate, võimaldab avaliku võtme eksport teil ühendada määratud serveriga ilma parooli sisestamata. Nüüd, kuigi võti ei ole sihtarvuti veel, saate ühendada SSH kaudu, sisestades parooli, et te soovitud faili käsitsi liigutaksite. Selleks on konsoolis sisestada käsu kass ~ / .sh / id_rsa.pub | SSH kasutajanimi @ comed_Host "mkdir -p ~ / .sh && touch ~ / .sh / volitatud_keys && chmod -r go = ~ / .sh && kass >> ~ / .sh / volitatud_keys."
Ekraanile peab ilmuma teade.
Host '203.0.113.1 (203.0.113,1) autentsust "ei saa luua.
ECDSA võti sõrmejälg on FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: AD: D6: 6D: 22: FE.
Kas olete kindel, et soovite jätkata ühendamist (jah / ei)?.
Kinnitage see ühenduse jätkamiseks. Avalik võti kopeeritakse automaatselt volitatud_Keys konfiguratsioonifaili lõpuni. Selle ekspordi menetluse kohta on võimalik lõpetada.
3. meetod: käsitsi kopeerimisvõtme
See meetod sobib nendele kasutajatele, kellel ei ole võime luua siht-arvutiga kaugühendus, kuid sellele on füüsiline juurdepääs. Sellisel juhul tuleb võti üle kanda iseseisvalt. Kõigepealt määrake selle kohta teave serveris arvuti kaudu kassi ~ / .sh / id_rsa.pub abil.
Konsool peaks ilmuma SSH-RSA string + võti tähemärkide komplekti == demo @ test. Nüüd saate minna teise arvutisse, kus peaksite looma uue kataloogi, sisestades MKDIR -P ~ / .sh. Samuti lisab see tekstifaili, mida nimetatakse volitatud_keys. See jääb ainult sisestada sinna teatud varasema võti kaudu Echo + Rida avaliku võtme >> ~ / .sh / volitatud_KEYS. Pärast seda on autentimine kättesaadav ilma eelneva parooli sisestamiseta. Seda tehakse SSH-i kasutajanime @ comed_host-käsu kaudu, kus kasutajanimi @ comed_host tuleks asendada nõutava vastuvõtva nimega.
Arvestades avaliku võtme üleandmise võimalusi uue seadmega, et võimaldada ühendada ilma parooli sisestamata, kuid nüüd kuvatakse kirje vorm. Selline asjade seisukoht võimaldab ründajatel juurdepääsu kaugtöölauale, lihtsalt paroolile. Järgmisena pakume turvalisuse tagamiseks teatud seadete täitmisel.
Keela parooli autentimine
Nagu varem mainitud, võib parooli autentimise võimalus muutuda kaugühenduse ohutuse nõrgaks seoseks, kuna selliseid võtmeid on olemas vahendid. Soovitame seda võimalust keelata, kui olete huvitatud teie serveri maksimaalsest kaitsest. Seda saab teha sellisena:
- Avage / etc / ssh / ssh / sshd_config konfiguratsioonifail mis tahes mugava tekstiredaktori kaudu, võib see olla näiteks gedi või nano.
- Loendis, mis avaneb, leidke stringi "Paroolhaateri" ja eemaldage # märk selle käsu tegemiseks. Muutke valiku keelamise väärtust jah, et mitte keelata.
- Pärast lõpetamist vajutage muudatuste salvestamiseks Ctrl + O.
- Ärge muutke faili nime, vaid vajutage lihtsalt Seadistamiseks Enter.
- Tekstiredaktorit saate jätta Ctrl + X klõpsates
- Kõik muudatused jõustuvad alles pärast SSH-teenuse taaskäivitamist, nii et tehke seda kohe sudo SystemCTL-i restart SSH kaudu.
Meetmete tulemusena keelatakse parooli autentimise võimalus ja sisend on saadaval alles pärast paar RSA võtit. Mõtle sellele, kui sarnane konfiguratsioon.
Tulemüüri parameetri konfigureerimine
Tänapäeva materjali lõpus tahame rääkida tulemüüri konfiguratsioonist, mida kasutatakse ühendite load või keelata. Me edastame ainult peamised punktid, võttes keerulise tulemüüri (UFW).
- Esiteks kontrollime olemasolevate profiilide loendit. Sisestage Sudo UFW rakenduse loend ja klõpsake Enter.
- Kinnitage tegevus, täpsustades superuseri parooli.
- Lase ssh nimekirjas. Kui see rida on olemas, tähendab see, et kõik toimib õigesti.
- Luba ühendus selle utiliidi kaudu, kirjutades sudo UFW OpenSSH-le.
- Reeglite värskendamiseks lülitage tulemüür sisse. Seda tehakse läbi Sudo UFW Luba käsk.
- Saate kontrollida tulemüüri praegust olekut igal ajal Sudo UFW staatuse sisestamisega.
Sellel protsessis on debiase SSH-konfiguratsioon täielik. Nagu näete, on palju erinevaid nüansse ja eeskirju, mida tuleb järgida. Muidugi, ühe artikli raames on võimatu sobitada absoluutselt kogu teabele, nii et me puudutame ainult põhiteavet. Kui olete huvitatud selle kasulikkuse põhjalikumate andmete saamisest, soovitame teil tutvuda oma ametliku dokumentatsiooniga.