همانطور که می دانید، تکنولوژی باز SSH به شما اجازه می دهد تا از راه دور به یک کامپیوتر خاص متصل شوید و داده ها را از طریق پروتکل محافظت شده انتخاب شده انتقال دهید. این اجازه می دهد تا شما را به پیاده سازی و به طور کامل کنترل دستگاه انتخاب شده، اطمینان از تبادل امن از اطلاعات مهم و حتی کلمه عبور. گاهی اوقات کاربران نیاز به اتصال از طریق SSH دارند، اما علاوه بر نصب ابزار خود، لازم است تنظیمات و تنظیمات اضافی لازم باشد. ما می خواهیم امروز در مورد آن صحبت کنیم، توزیع دبیان را برای مثال.
سفارشی SSH در دبیان
ما فرآیند پیکربندی را به چندین مرحله تقسیم می کنیم، زیرا هر کدام مسئول اجرای دستکاری های خاص هستند و ممکن است به سادگی مفید باشد تا کاربران خاصی که به تنظیمات شخصی بستگی دارد مفید باشد. بیایید با این واقعیت شروع کنیم که تمام اقدامات در کنسول انجام شود و باید حقوق فوق العاده را تأیید کند، بنابراین برای این پیش آماده می شود.نصب SSH-Server و SSH-Client
به طور پیش فرض، SSH در مجموعه سیستم عامل استاندارد دبیان گنجانده شده است، با این حال، به دلیل هر ویژگی، فایل های لازم می تواند خشم و یا به سادگی وجود ندارد، به عنوان مثال، زمانی که کاربر به صورت دستی تولید حذف شد. اگر شما نیاز به پیش نصب SSH-Server و SSH-Client دارید، دستورالعمل های زیر را دنبال کنید:
- منوی شروع را باز کنید و ترمینال را از آنجا شروع کنید. این را می توان از طریق ترکیب کلید استاندارد Ctrl + Alt + T انجام داد.
- در اینجا شما علاقه مند به Sudo APT نصب OpenSSH-Server هستید که مسئول نصب بخش سرور است. آن را وارد کنید و روی ENTER کلیک کنید تا فعال شود.
- همانطور که قبلا می دانید، اقدامات انجام شده با استدلال Sudo باید با مشخص کردن رمز عبور Superuser فعال شود. در نظر بگیرید که شخصیت های وارد شده در این خط نمایش داده نمی شوند.
- شما مطلع خواهید شد که بسته ها اضافه یا به روز می شوند. اگر SSH-Server قبلا در Debian نصب شده باشد، یک پیام در حضور بسته مشخص شده ظاهر می شود.
- بعد، شما باید به سیستم و بخش سرویس گیرنده اضافه کنید، زیرا رایانه ای که اتصال در آینده به آن متصل می شود. برای انجام این کار، از یک دستور OpenSSH-Client استفاده کنید.
هیچ اجزای اضافی اضافی برای نصب هر اجزای اضافی وجود ندارد، شما هم اکنون می توانید به راحتی به مدیریت سرور و فایل های پیکربندی برای ایجاد کلید ها تبدیل شوید و همه چیز را آماده کنید تا بیشتر به دسکتاپ از راه دور وصل شوید.
مدیریت سرور و بررسی کار او
به طور خلاصه بر روی چگونگی مدیریت سرور نصب شده و بررسی عملیات آن تمرکز کنید. باید قبل از تغییر به راه اندازی انجام شود تا اطمینان حاصل شود که عملکرد اجزای اضافه شده درست است.
- از SUDO SystemCTL استفاده از دستور SSHD را فعال کنید تا یک سرور را به Autoload اضافه کنید، اگر آن را به طور خودکار اتفاق نمی افتد. اگر شما نیاز به لغو راه اندازی با سیستم عامل، از SystemCTL غیر فعال کردن SSHD استفاده کنید. سپس راه اندازی دستی برای تعیین SYSTEMCTL START SSHD مورد نیاز است.
- همه چنین اقداماتی کاملا باید از طرف Superuser انجام شود، بنابراین شما باید رمز عبور خود را وارد کنید.
- دستور SSH LocalHost را وارد کنید تا سرور را برای عملکرد بررسی کنید. جایگزین localhost به آدرس کامپیوتر محلی.
- هنگامی که شما برای اولین بار اتصال، شما مطلع خواهید شد که منبع تایید نشده است. این اتفاق می افتد، زیرا ما هنوز تنظیمات امنیتی را تنظیم نکرده ایم. در حال حاضر فقط ادامه ادامه اتصال را با وارد کردن بله تایید کنید.
اضافه کردن یک جفت کلیدهای RSA
اتصال از سرور به مشتری و بالعکس از طریق SSH با وارد کردن رمز عبور انجام می شود، با این حال، توصیه می شود که یک جفت کلیه ایجاد شود که از طریق الگوریتم های RSA توسعه می یابد. این نوع رمزگذاری باعث می شود که حفاظت بهینه ایجاد شود، که در هنگام تلاش برای هک شدن در اطراف مهاجم دشوار خواهد بود. برای اضافه کردن یک جفت کلید فقط چند دقیقه، و به نظر می رسد این روند:
- "ترمینال" را باز کنید و SSH-Keygen را وارد کنید.
- شما می توانید به طور مستقل یک مکان را انتخاب کنید که میخواهید مسیر را به کلید ذخیره کنید. اگر تمایل به تغییر آن وجود ندارد، به سادگی کلید Enter را فشار دهید.
- در حال حاضر کلید باز ایجاد شده است. این را می توان با یک عبارت کد محافظت کرد. اگر نمی خواهید این گزینه را فعال کنید، آن را در رشته نمایش داده شده وارد کنید یا خالی بگذارید.
- هنگام وارد کردن عبارت کلیدی باید دوباره آن را تأیید کنید تا تأیید شود.
- اطلاع رسانی از ایجاد یک کلید عمومی ظاهر خواهد شد. همانطور که می بینید، او مجموعه ای از نمادهای تصادفی را تعیین کرد و یک تصویر بر روی الگوریتم های تصادفی ایجاد شد.
با تشکر از اقدام انجام شده، یک کلید مخفی و عمومی ایجاد شده است. آنها برای اتصال بین دستگاه ها شرکت خواهند کرد. حالا شما باید کلید عمومی را به سرور کپی کنید و می توانید این کار را با روش های مختلف انجام دهید.
کپی کلید باز به سرور
در دبیان، سه گزینه وجود دارد که می توانید کلید عمومی را به سرور کپی کنید. ما پیشنهاد می کنیم بلافاصله خود را با همه آنها آشنا کنیم تا انتخاب مطلوب در آینده را انتخاب کنیم. این مربوط به آن شرایطی است که یکی از روش ها مناسب نیست یا نیازهای کاربر را برآورده نمی کند.
روش 1: تیم SSH-Copy-ID
بیایید با ساده ترین گزینه شروع کنیم که از دستور SSH-Copy-ID استفاده می کند. به طور پیش فرض، این ابزار قبلا در سیستم عامل ساخته شده است، بنابراین از پیش نصب نیازی نیست. نحو آن نیز ساده ترین است و شما باید چنین اقداماتی را انجام دهید:
- در کنسول، دستور ssh-copy-id را به نام کاربری @ remote_host وارد کنید و آن را فعال کنید. جایگزین نام کاربری @ Remote_Host به آدرس کامپیوتر هدف، به طوری که ارسال با موفقیت گذشت.
- هنگامی که شما ابتدا سعی می کنید اتصال برقرار کنید، پیام "اعتبار میزبان" 203.0.113.1 (203.0.113.1) را مشاهده خواهید کرد. اثر انگشت کلید ECDSA FD: FD: D4: F9: 77: Fe: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: Fe. آیا مطمئن هستید که می خواهید اتصال را ادامه دهید (بله / خیر)؟ بله. " یک پاسخ مثبت برای ادامه اتصال را انتخاب کنید.
- پس از آن، ابزار به طور مستقل به عنوان جستجو و کپی کلید کار می کند. به عنوان یک نتیجه، اگر همه چیز با موفقیت انجام شد، اعلان "/ usr / bin / ssh-copy-id" بر روی صفحه نمایش ظاهر می شود: info: تلاش برای ورود به سیستم جدید (ها)، برای فیلتر کردن هر کدام از آنها ulady نصب شده / USR / BIN / SSH-Copy-ID: اطلاعات: 1 کلید (ها) نصب شده باید نصب شود - اگر شما از شما خواسته شده است نصب کلید های جدید [email protected]'s رمز عبور: ". این به این معنی است که شما می توانید رمز عبور را وارد کنید و به طور مستقیم کنترل دسکتاپ از راه دور را کنترل کنید.
علاوه بر این، من مشخص می کنم که پس از اولین مجوز موفقیت آمیز در کنسول، شخصیت بعدی ظاهر خواهد شد:
تعداد کلید (ها) اضافه شده: 1
در حال حاضر سعی کنید وارد ماشین شوید، با: "SSH '[email protected]'"
و بررسی کنید تا مطمئن شوید که تنها کلید (ها) شما می خواستید اضافه شد.
این می گوید که کلید با موفقیت به یک کامپیوتر از راه دور اضافه شد و زمانی که سعی می کنید اتصال را انجام دهید، هیچ مشکلی وجود نخواهد داشت.
روش 2: کلید صادرات از طریق SSH
همانطور که می دانید، صادرات یک کلید عمومی به شما این امکان را می دهد که بدون قبل از ورود به رمز عبور به سرور مشخص شده متصل شوید. در حال حاضر، در حالی که کلید هنوز در کامپیوتر هدف نیست، شما می توانید از طریق SSH با وارد کردن رمز عبور، به طوری که شما به صورت دستی فایل مورد نظر را حرکت دهید. برای انجام این کار، در کنسول شما باید وارد فرمان cat ~ / .ssh / id_rsa.pub | ssh username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / authorized_keys && chmod -r go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys."
اعلان باید بر روی صفحه نمایش ظاهر شود.
اعتبار میزبان '203.0.113.1 (203.0.1113.1) نمی تواند ایجاد شود.
اثر انگشت کلید ECDSA FD: FD: D4: F9: 77: Fe: 73: 84: E1: 55: 00: AD: D6: 6D: 22: Fe.
آیا مطمئن هستید که میخواهید اتصال را ادامه دهید (بله / خیر)؟
تأیید آن را برای ادامه اتصال. کلید عمومی به طور خودکار به پایان فایل پیکربندی authorized_keys کپی می شود. در این روش صادرات، ممکن است به پایان برسد.
روش 3: کلید کپی دستی
این روش برای کسانی که توانایی ایجاد یک اتصال از راه دور به کامپیوتر هدف ندارند، مناسب است، اما دسترسی فیزیکی به آن وجود ندارد. در این مورد، کلید باید به طور مستقل منتقل شود. برای شروع، اطلاعات مربوط به آن را بر روی کامپیوتر سرور از طریق گربه ~ / .ssh / id_rsa.pub تعیین کنید.
کنسول باید SSH-RSA رشته + کلید به عنوان مجموعه ای از کاراکترها == DEMO @ TEST. حالا شما می توانید به یک کامپیوتر دیگر بروید، جایی که باید یک دایرکتوری جدید را با وارد کردن MKDIR -P ~ / .Ssh ایجاد کنید. همچنین یک فایل متنی به نام authorized_keys اضافه می کند. این تنها برای قرار دادن یک کلید پیشین خاص از طریق echo + ردیف یک کلید عمومی است >> ~ / .ssh / authorized_keys. پس از آن، احراز هویت بدون ورود رمز عبور قبلی در دسترس خواهد بود. این کار از طریق SSH نام کاربری @ Remote_Host انجام می شود، جایی که نام کاربری @ Remote_Host باید با نام میزبان مورد نیاز جایگزین شود.
فقط راه های مجاز به انتقال یک کلید عمومی به یک دستگاه جدید در نظر گرفته شده است تا بتواند بدون ورود به رمز عبور ارتباط برقرار کند، اما اکنون فرم ورود هنوز نمایش داده می شود. چنین موقعیتی چیزها اجازه می دهد تا مهاجمان به دسترسی به دسکتاپ از راه دور دسترسی داشته باشند، به سادگی رمز عبور. بعد ما پیشنهاد می کنیم تا امنیت را با انجام تنظیمات خاص تضمین کنیم.
غیرفعال کردن احراز هویت رمز عبور
همانطور که قبلا ذکر شد، امکان احراز هویت رمز عبور می تواند یک پیوند ضعیف در ایمنی یک اتصال از راه دور باشد، زیرا وسیله ای برای رفع چنین کلیدها وجود دارد. ما توصیه می کنیم این گزینه را غیرفعال کنید اگر شما علاقه مند به حداکثر حفاظت از سرور خود هستید. شما می توانید این کار را انجام دهید:
- فایل پیکربندی / ETC / SSH / SSHD_CONFIG را از طریق هر ویرایشگر متن مناسب باز کنید، ممکن است، به عنوان مثال، Gedit یا Nano.
- در لیست که باز می شود، رشته "PasswordAuthentication" را پیدا کرده و علامت # را حذف کنید تا این دستور را فعال کنید. ارزش بله را تغییر دهید تا گزینه را غیرفعال کنید.
- پس از اتمام، Ctrl + O را فشار دهید تا تغییرات را ذخیره کنید.
- نام فایل را تغییر ندهید، اما به سادگی ENTER را فشار دهید تا از راه اندازی استفاده کنید.
- شما می توانید ویرایشگر متن را با کلیک روی Ctrl + X ترک کنید.
- تمام تغییرات تنها پس از راه اندازی مجدد سرویس SSH اثر می گذارد، بنابراین بلافاصله از طریق Sudo SystemCTL راه اندازی مجدد SSH را انجام دهید.
به عنوان یک نتیجه از اقدامات، امکان احراز هویت رمز عبور غیرفعال خواهد شد، و ورودی تنها پس از چند کلید RSA در دسترس خواهد بود. این را زمانی که یک پیکربندی مشابه را در نظر بگیرید، در نظر بگیرید.
پیکربندی پارامتر فایروال
در پایان مواد امروز، ما می خواهیم در مورد پیکربندی فایروال، که برای مجوزها یا ممنوعیت ترکیبات استفاده می شود، بگویید. ما تنها با نقاط اصلی عبور می کنیم، فایروال بدون عارضه را دریافت می کنیم (UFW).
- اول، بیایید لیست پروفایل های موجود را بررسی کنیم. لیست برنامه Sudo UFW را وارد کنید و روی Enter کلیک کنید.
- با مشخص کردن رمز عبور Superuser اقدام را تأیید کنید.
- SSH را در لیست قرار دهید. اگر این خط وجود دارد وجود دارد، به این معنی است که همه چیز به درستی عمل می کند.
- اجازه اتصال از طریق این ابزار را با نوشتن sudo UFW اجازه می دهد openssh.
- برای به روز رسانی قوانین، فایروال را روشن کنید. این کار از طریق فرمان Sudo UFW انجام می شود.
- شما می توانید وضعیت فعلی فایروال را در هر زمان با وارد کردن وضعیت Sudo UFW بررسی کنید.
در این فرایند، پیکربندی SSH در دبیان کامل است. همانطور که می بینید، تفاوت های زیادی وجود دارد و قوانین مختلفی وجود دارد که باید مشاهده شود. البته، در چارچوب یک مقاله، غیرممکن است که به طور کامل تمام اطلاعات را بفهمم، بنابراین ما فقط در اطلاعات پایه لمس کردیم. اگر شما علاقه مند به دریافت اطلاعات عمیق تر در مورد این ابزار هستید، ما به شما توصیه می کنیم خود را با اسناد رسمی خود آشنا کنید.