Kuten tiedätte, Avoin SSH-tekniikalla voit muuntaa etäyhteyden tiettyyn tietokoneeseen ja lähettää tietoja valitun suojatun protokollan kautta. Näin voit toteuttaa ja ohjata valittuja laitteita täysin varmistamalla tärkeiden tietojen ja jopa salasanojen turvallisen vaihdon. Joskus käyttäjillä on tarvetta muodostaa yhteyden SSH: n kautta, mutta myös apuohjelman asentamisen lisäksi on tarpeen tuottaa ja lisäasetuksia. Haluamme puhua siitä tänään, ottaa esimerkki Debianin jakelusta.
Mukauta SSH Debianissa
Jaamme kokoonpanoprosessin useisiin vaiheisiin, koska jokainen on vastuussa tiettyjen manipulaatioiden toteuttamisesta ja voi yksinkertaisesti olla hyödyllistä tietyille käyttäjille, mikä riippuu henkilökohtaisista mieltymyksistä. Aloitamme, että kaikki toimet tehdään konsolissa ja on vahvistettava Superuerin oikeudet, joten valmistaudu tähän etukäteen.SSH-palvelimen ja SSH-Clientin asentaminen
Oletuksena SSH sisällytetään tavalliseen Debianin käyttöjärjestelmän apuohjelmaan, mutta minkä tahansa ominaisuuden vuoksi tarvittavat tiedostot voivat olla ärsyttäviä tai yksinkertaisesti poissa esimerkiksi, kun käyttäjä valmistetaan manuaalisesti. Jos haluat asentaa SSH-Server- ja SSH-Clientin esiasennuksen, seuraa seuraavia ohjeita:
- Avaa Käynnistä-valikko ja käynnistä pääte sieltä. Tämä voidaan tehdä vakionäppäimen yhdistelmällä Ctrl + Alt + T.
- Täällä olet kiinnostunut sudo apt asentaa OpenSSH-Server -komentoa, joka vastaa palvelinosan asentamisesta. Syötä se ja napsauta Enter-painiketta aktivoidaksesi.
- Kuten jo tiedätte, sudo-argumentin kanssa suoritetut toimet on aktivoitava määrittämällä Superuer-salasana. Katso, että tähän riviin syötetyt merkit eivät näy.
- Sinulle ilmoitetaan, että paketit lisätään tai päivitetään. Jos SSH-Server on jo asennettu Debianiin, ilmestyy määritetyn paketin läsnäolo.
- Seuraavaksi sinun on lisättävä järjestelmään ja asiakasosaan, kuten tietokoneeseen, johon yhteys liitetään tulevaisuudessa. Voit tehdä tämän käyttämällä samanlaista sudo apt-Get Install OpenSSH-Client -komentoa.
Muita lisäkomponentteja ei ole enää muita komponentteja, voit nyt vaihtaa palvelimen hallinta- ja konfigurointitiedostoihin, jotta voit luoda näppäimiä ja valmistaa kaiken edelleen etätyöpöydälle.
Palvelimen hallinta ja hänen työnsä tarkistaminen
Keskitymme lyhyesti siihen, miten asennettu palvelin hallinnoi ja sen toiminnan tarkistus. Se on tehtävä ennen asennuksen siirtymistä varmistaaksesi, että lisäosien toiminta on oikea.
- Käytä sudo Systemctl -ohjelmaa SSHD-komentoa lisätäksesi palvelimen AutoLoadiksi, jos se ei tapahdu automaattisesti. Jos haluat peruuttaa käynnistyksen käyttöjärjestelmällä, käytä SystemCTl-käytöstä SSHD-järjestelmää. Sitten manuaalinen käynnistys tarvitaan määrittämään SystemCTl Start SSHD.
- Kaikki tällaiset toimet ehdottomasti on aina tehtävä sopivan puolesta, joten sinun täytyy syöttää salasanansa.
- Syötä SSH LocalHost -komento tarkistaaksesi palvelimen suorituskykyyn. Vaihda LocalHost paikalliseen tietokoneen osoitteeseen.
- Kun olet ensin yhdistetty, sinulle ilmoitetaan, että lähde ei ole vahvistettu. Tämä tapahtuu, koska emme ole vielä asettaneet suojausasetuksia. Nyt vain vahvista yhteyden jatkaminen kirjoittamalla Kyllä.
RSA-näppäinparin lisääminen
Liittäminen palvelimelta asiakkaalle ja päinvastoin SSH: n kautta suoritetaan syöttämällä salasanan, mutta on suositeltavaa luoda näppäimiä, jotka kehitetään RSA-algoritmien kautta. Tämäntyyppinen salaus mahdollistaa optimaalisen suojan luomisen, jota on vaikea päästä hyökkääjän ympärille, kun yrität hakata. Voit lisätä näppäimiä vain muutaman minuutin ja näyttää siltä, että tämä prosessi:
- Avaa "terminaali" ja anna SSH-Keygen siellä.
- Voit valita itsenäisesti paikan, jossa haluat tallentaa polun avaimeen. Jos ei halua muuttaa sitä, paina Enter-näppäintä.
- Nyt avoin näppäin luodaan. Se voidaan suojata koodilauseella. Syötä se näytetylle merkkijonolle tai jätä tyhjäksi, jos et halua aktivoida tätä vaihtoehtoa.
- Kun kirjoitat avaimen lauseeseen, on määritettävä se uudelleen vahvistaaksesi.
- Ilmoitus julkisen avaimen luomisesta tulee näkyviin. Kuten näette, hänelle annettiin joukko satunnaisia symboleja, ja satunnaisalgoritmeilla luotiin kuva.
Tehtyjen toiminnan ansiosta on luotu salainen ja julkinen avain. Ne osallistuvat laitteiden yhdistämiseen. Nyt sinun on kopioitava julkinen avain palvelimeen, ja voit tehdä tämän eri menetelmillä.
Kopioi avoimen avaimen palvelimelle
Debianissa on kolme vaihtoehtoa, joiden avulla voit kopioida julkisen avaimen palvelimelle. Ehdotamme välittömästi tutustumaan kaikkiin niihin, jotta voit valita optimaalisen tulevaisuudessa. Tämä on merkityksellisiä näissä tilanteissa, joissa yksi menetelmistä ei sovi tai täytä käyttäjän tarpeita.
Menetelmä 1: SSH-COPY-ID-tiimi
Aloitetaan yksinkertaisimmalla vaihtoehdoilla, joka merkitsee SSH-COPY-ID-komennon käyttöä. Oletusarvoisesti tämä apuohjelma on jo rakennettu käyttöjärjestelmään, joten se ei tarvitse ennen asennusta. Sen syntaksi on myös mahdollisimman yksinkertainen, ja sinun on suoritettava tällaiset toimet:
- Syötä konsolissa SSH-COPY-ID-komento Käyttäjätunnukseen @ Remote_host ja aktivoi se. Korvaa käyttäjätunnus @ Remote_host kohdetietokoneen osoitteeseen niin, että lähetys on läpäissyt onnistuneesti.
- Kun yrität ensin muodostaa yhteyden, näet viestin "isäntän aitous" 203.0.113.1 (203.0.113.1) ". ECDSA-avain sormenjälki on FD: FD: D4: F9: 77: Fe: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: Fe. Haluatko varmasti jatkaa yhdistämistä (kyllä / ei)? Kyllä. " Valitse positiivinen vastaus, jos haluat jatkaa yhteyden.
- Tämän jälkeen apuohjelma toimii itsenäisesti etsimänä ja kopioida avaimen. Tämän seurauksena, jos kaikki meni onnistuneesti, ilmoitus "/ usr / bin / ssh-copy-id" näkyy näytöllä: Info: Yritetään kirjautua sisään uudella avaimella, suodattaa kaikki Alady Asennettu / USR / BIN / SSH-COPY-ID: Info: 1 avain (t) on asennettu - jos sinua kehotetaan nyt, on asennettava uudet avaimet [email protected]: n salasana: ". Tämä tarkoittaa, että voit syöttää salasanan ja siirtyä suoraan ohjaamaan etätyöpöytää.
Lisäksi määrittelen, että ensimmäisen kerran konsolin ensimmäisen onnistuneen valtuutuksen jälkeen seuraava merkki tulee näkyviin:
Lisättyjen avainten määrä: 1
Yritä nyt kirjautua koneeseen: "ssh '[email protected]'"
Ja tarkista, että vain haluamasi avaimet lisättiin.
Siinä sanotaan, että avain lisättiin onnistuneesti etätietokoneeseen eikä enää ole ongelmia, kun yrität muodostaa yhteyden.
Tapa 2: Vienti avain SSH: n kautta
Kuten tiedätte, julkisen avaimen vienti antaa sinulle mahdollisuuden muodostaa yhteyden määritettyyn palvelimeen ilman salasanan antamista. Nyt, kun avain ei ole vielä kohdetietokoneessa, voit muodostaa yhteyden SSH: n kautta syöttämällä salasanan niin, että siirrät haluamasi tiedoston manuaalisesti. Tehdä tämä, konsolissa sinun täytyy syöttää komento kissa ~ / .ssh / id_rsa.pub | SSH-käyttäjätunnus @ Remote_host "MKDIR -P ~ / .SSH && Touch ~ / .SSH / valtuutettu_SSH && Cat >> ~ / .ssh / valtuutettu."
Ilmoitus on näytettävä näytöllä.
Isännän aitoutta "203.0.113.1 (203.0.113.1)" ei voida perustaa.
Ecdsan avain sormenjälki on fd: fd: D4: F9: 77: Fe: 73: 84: E1: 55: 00: AD: D6: 6D: 22: FE.
Haluatko varmasti jatkaa yhdistämistä (kyllä / ei)?.
Vahvista se jatkamaan yhteyden. Julkinen avain kopioidaan automaattisesti valtuutetun_Keys-määritystiedoston loppuun. Tällä vientiprosessissa on mahdollista saada valmis.
Tapa 3: Manuaalinen kopiointinäppäin
Tämä menetelmä sopii niille käyttäjille, joilla ei ole kykyä luoda etäyhteyttä kohdetietokoneeseen, mutta siihen on fyysinen pääsy. Tällöin avain on siirrettävä itsenäisesti. Aluksi määrittää tiedot tietokoneen tietokoneen kautta Cat ~ / .SSH / ID_RSA.pub.
Konsolin tulee näkyä SSH-RSA-merkkijonolla + -näppäimellä merkkiä merkkiä == demo @ testi. Nyt voit mennä toiseen tietokoneeseen, jossa sinun pitäisi luoda uusi hakemisto kirjoittamalla mkdir -p ~ / .sh. Se lisää myös tekstitiedoston nimeltään valtuutettu_keys. Se on vain lisättävä siellä tietty aiempi avain julkisen avaimen ECHO +-rivin kautta >> ~ / .ssh / valtuutettu. Tämän jälkeen todennus on saatavilla ilman etukäteen salasanaa. Tämä tapahtuu SSH-käyttäjätunnuksen kautta @ Remote_host -komennolla, jossa käyttäjätunnus @ Remote_host on korvattava vaaditun isännän nimellä.
Tarkastellaan vain keinoja, joilla voi siirtää julkisen avaimen uudelle laitteelle, jotta voit muodostaa yhteyden salasanan syöttämättä, mutta nyt merkinnän lomake näkyy edelleen. Tällainen asioiden asema mahdollistaa hyökkääjien pääsyn etätyöpöydälle, yksinkertaisesti salasanaa. Seuraavaksi tarjoamme turvallisuuden varmistamiseksi suorittamalla tiettyjä asetuksia.
Poista salasanan todennus käytöstä
Kuten aiemmin mainittiin, salasanan todennuksen mahdollisuus voi olla heikko yhteys etäyhteyden turvallisuuteen, koska tällaisia avaimia on väärinkäyttöä. Suosittelemme tämän vaihtoehdon käytöstä, jos olet kiinnostunut palvelimesi suurimman suojan. Voit tehdä sen näin:
- Avaa / etc / ssh / sshd_config-kokoonpanotiedosto mihin tahansa kätevän tekstieditorin kautta, se voi olla esimerkiksi Gedit tai nano.
- Listalla avautuu luetteloon "Salasana-äänitys" -merkkijono ja poista # -merkki, jotta tämä komento on aktiivinen. Muuta YES-arvon arvoa, jos haluat poistaa käytöstä.
- Kun olet valmis, paina Ctrl + O, jos haluat tallentaa muutokset.
- Älä muuta tiedoston nimeä, vaan yksinkertaisesti paina ENTER-painiketta, jos haluat käyttää asetuksia.
- Voit jättää tekstieditorin napsauttamalla Ctrl + X.
- Kaikki muutokset tulevat voimaan vasta SSH-palvelun uudelleenkäynnistyksen jälkeen, joten tee se heti Sudo SystemCTl Restart SSH: n kautta.
Toimien seurauksena salasanan todentamisen mahdollisuus on poistettu käytöstä, ja panos on käytettävissä vain muutaman RSA-näppäimen jälkeen. Harkitse tätä samanlaista kokoonpanoa.
Palomuurin parametrin määrittäminen
Tämän päivän materiaalin lopussa haluamme kertoa palomuurin kokoonpanosta, jota käytetään yhdisteiden käyttöoikeuksiin tai kielteisiin. Päätämme vain pääkohdat, ottamalla yksinkertaisen palomuurin (UFW).
- Ensinnäkin tarkista olemassa olevien profiilien luettelo. Syötä suDO UFW-sovellusluettelo ja napsauta Enter.
- Vahvista toiminta määrittämällä Superuer-salasana.
- Aseta SSH luettelossa. Jos tämä rivi on läsnä, se tarkoittaa, että kaikki toimii oikein.
- Anna yhteyden kautta tämän apuohjelman kirjoittamalla Sudo UFW Salli OpenSSH.
- Käynnistä palomuuri käytöstä sääntöjen päivittämiseksi. Tämä tehdään Sudo UFW -toiminnon kautta.
- Voit tarkistaa palomuurin nykyisen tilan milloin tahansa syöttämällä sudo UFW -tilaan.
Tässä prosessissa Debianin SSH-kokoonpano on valmis. Kuten näette, on olemassa monia erilaisia vivahteita ja sääntöjä, joita on noudatettava. Tietenkin yhden artikkelin puitteissa on mahdotonta sovi ehdottomasti kaikki tiedot, joten kosketa vain perustietoja. Jos olet kiinnostunut saamaan perusteellisempia tietoja tästä apuohjelmasta, suosittelemme sinua tutustumaan virallisiin asiakirjoihinsa.