Comme vous le savez, la technologie Open SSH vous permet de vous connecter à distance à un ordinateur spécifique et de transmettre des données via le protocole protégé sélectionné. Cela vous permet de mettre en œuvre et de contrôler complètement le périphérique sélectionné, garantissant ainsi un échange sûr d'informations importantes et même des mots de passe. Parfois, les utilisateurs ont la nécessité de se connecter via SSH, mais en plus d'installer l'utilitaire lui-même, il est nécessaire de produire et des paramètres supplémentaires. Nous voulons en parler aujourd'hui en prenant la distribution de Debian pour l'exemple.
Personnaliser Ssh à Debian
Nous divisons le processus de configuration en plusieurs étapes, car chacun est responsable de la mise en œuvre de manipulations spécifiques et peut simplement être utile à certains utilisateurs, qui dépend des préférences personnelles. Commençons par le fait que toutes les actions seront faites dans la console et devront confirmer les droits du superutilisateur, alors préparez-vous à l'avance.Installation de SSH-Server et SSH-Client
Par défaut, le SSH est inclus dans l'ensemble des utilitaires de système d'exploitation Standard Debian, en raison de toutes les fonctionnalités, les fichiers nécessaires peuvent être indignés ou simplement absents, par exemple, lorsque l'utilisateur a produit la désinstallation manuelle. Si vous devez pré-installer SSH-Server et SSH-Client, suivez les instructions suivantes:
- Ouvrez le menu Démarrer et démarrez le terminal à partir de là. Cela peut être fait via la combinaison de touches standard Ctrl + Alt + T.
- Ici, vous êtes intéressé par la commande Sudo APT Installer OpenSSH-Server responsable de l'installation de la partie serveur. Entrez-le et cliquez sur Entrée pour activer.
- Comme vous le savez déjà, les actions effectuées avec l'argument sudo devront être activées en spécifiant le mot de passe superutilisateur. Considérez que les caractères entrés dans cette ligne ne sont pas affichés.
- Vous serez averti que les packages sont ajoutés ou mis à jour. Si le serveur SSH est déjà installé dans Debian, un message apparaît sur la présence du package spécifié.
- Ensuite, vous devrez ajouter au système et à la partie du client, quant à l'ordinateur auquel la connexion sera connectée à l'avenir. Pour ce faire, utilisez une commande similaire Sudo APT-GET Install OpensSH-Client.
Il n'y a plus de composants supplémentaires pour installer des composants supplémentaires, vous pouvez désormais passer en toute sécurité aux fichiers de gestion et de configuration de serveur afin de créer des clés et de préparer tout pour vous connecter davantage au bureau distant.
Gestion du serveur et vérification de son travail
Nous nous concentrons brièvement sur la gestion du serveur installé et de la vérification de son fonctionnement. Il doit être fait avant de passer à la configuration pour vous assurer que le fonctionnement des composants ajoutés est correct.
- Utilisez la commande Sudo SystemCtL Activer SSHD pour ajouter un serveur à AutoLoad, si cela ne se produit pas automatiquement. Si vous devez annuler le lancement avec le système d'exploitation, utilisez SystemCl Disable Disable Sshd. Ensuite, le démarrage manuel sera nécessaire pour spécifier SystemCTL Start Sshd.
- Toutes ces actions doivent toujours être effectuées pour le compte du superutilisateur. Vous devez donc entrer son mot de passe.
- Entrez la commande SSH localhost pour vérifier le serveur pour la performance. Remplacez Localhost à l'adresse de l'ordinateur locale.
- Lorsque vous vous connectez pour la première fois, vous serez informé que la source n'est pas vérifiée. Cela se produit car nous n'avons pas encore défini les paramètres de sécurité. Maintenant, confirmez simplement la poursuite de la connexion en entrant oui.
Ajout d'une paire de clés RSA
Connexion du serveur au client et vice-versa via SSH est effectuée en entrant un mot de passe, il est recommandé de créer une paire de clés qui seront développées via les algorithmes RSA. Ce type de cryptage permettra de créer une protection optimale, ce qui sera difficile à contourner l'attaquant lorsque vous essayez de pirater. Pour ajouter une paire de clés seulement quelques minutes et cela ressemble à ce processus:
- Ouvrez le "terminal" et entrez SSH-KeyGen là-bas.
- Vous pouvez choisir indépendamment un endroit où vous souhaitez enregistrer le chemin de la touche. S'il n'y a aucun désir de le changer, appuyez simplement sur la touche Entrée.
- Maintenant, la clé ouverte est créée. Il peut être protégé par une phrase de code. Entrez-le dans la chaîne affichée ou laissez vide si vous ne souhaitez pas activer cette option.
- Lorsque vous entrez la phrase clé devra la spécifier à nouveau pour confirmer.
- Une notification de la création d'une clé publique apparaîtra. Comme vous pouvez le constater, il a été attribué à un ensemble de symboles aléatoires et une image a été créée sur des algorithmes aléatoires.
Grâce à l'action effectuée, une clé secrète et publique a été créée. Ils seront impliqués pour la connexion entre appareils. Maintenant, vous devez copier la clé publique sur le serveur et vous pouvez le faire par différentes méthodes.
Copier la touche Ouvrir sur le serveur
À Debian, il y a trois options avec lesquelles vous pouvez copier la clé publique du serveur. Nous vous suggérons de vous familiariser immédiatement avec tous afin de choisir l'optimal à l'avenir. Cela est pertinent dans ces situations où l'une des méthodes ne correspond pas ou ne satisfait pas aux besoins de l'utilisateur.
Méthode 1: Équipe SSH-Copy-ID
Commençons par l'option la plus simple qui implique l'utilisation de la commande SSH-Copy-ID. Par défaut, cet utilitaire est déjà intégré au système d'exploitation. Il n'a donc pas besoin de pré-installation. Sa syntaxe est également la plus simple que possible et vous devrez effectuer de telles actions:
- Dans la console, entrez la commande SSH-Copy-ID au nom d'utilisateur @ Remote_host et activez-le. Remplacez le nom d'utilisateur @ Remote_host à l'adresse de l'ordinateur cible afin que l'envoi ait été adopté avec succès.
- Lorsque vous essayez de vous connecter pour la première fois, vous verrez le message "L'authenticité de l'hôte" 203.0.113.1 (203.0.113.1) 'ne peut pas être établie. EcDSA Key Fingerprint est FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: Fe. Êtes-vous sûr de vouloir continuer à connecter (oui / non)? Oui. " Sélectionnez une réponse positive pour continuer la connexion.
- Après cela, l'utilité fonctionnera indépendamment de recherche et de copier la clé. En conséquence, si tout s'est passé avec succès, la notification "/ USR / BIN / SSH-COPY-ID" apparaîtra à l'écran: Info: Tenter de vous connecter avec la nouvelle clé (s), pour filtrer tout ce qui est alady Installé / usr / bin / ssh-copy-id-id: Info: 1 clé (s) reste à installer - si vous êtes invité maintenant, il est d'installer les nouvelles touches Nom d'[email protected]'s Mot de passe: ". Cela signifie que vous pouvez entrer le mot de passe et vous déplacer pour contrôler directement le bureau distant.
De plus, je spécifierai qu'après la première autorisation réussie de la console, le caractère suivant apparaîtra:
Nombre de touches ajoutées: 1
Essayez maintenant de vous connecter à la machine, avec: "SSH '[email protected]" "
Et vérifiez que seules les touches que vous souhaitez avoir été ajoutées.
Il dit que la clé a été ajoutée avec succès à un ordinateur distant et plus aucun problème ne se posera lorsque vous essayez de vous connecter.
Méthode 2: Touche d'exportation via SSH
Comme vous le savez, l'exportation d'une clé publique vous permettra de vous connecter au serveur spécifié sans entrer le mot de passe. Maintenant, alors que la clé n'est pas encore sur l'ordinateur cible, vous pouvez vous connecter via SSH en entrant le mot de passe afin que vous déplaciez manuellement le fichier souhaité. Pour ce faire, dans la console, vous devrez entrer dans la commande CAT ~ / .SSH / ID_RSA.PUB | Nom d'utilisateur SSH @ Remote_Host "MKDIR -P ~ / .SSH && Touch ~ / .SSH / Autorisé_keys && CHMOD -R Go = ~ / .SSH && chat >> ~ / .ssh / autorisé_keys."
Une notification doit apparaître à l'écran.
L'authenticité de l'hôte '203.0.113.1 (203.0.113.1)' ne peut être établie.
Ecdsa Key Tiredimprimer est FD: FD: D4: F9: 77: Fe: 73: 84: E1: 55: 00: AD: D6: 6D: 22: FE.
Êtes-vous sûr de vouloir continuer à connecter (oui / non) ?.
Confirmez-le pour continuer la connexion. La clé publique sera automatiquement copiée à la fin du fichier de configuration autorisée_keys. Sur cette procédure d'exportation, il est possible d'être terminé.
Méthode 3: clé de copie manuelle
Cette méthode conviendra à ces utilisateurs qui n'ont aucune possibilité de créer une connexion distante à l'ordinateur cible, mais il y a un accès physique à celui-ci. Dans ce cas, la clé devra être transférée de manière indépendante. Pour commencer, déterminez les informations à ce sujet sur le PC du serveur via Cat ~ / .SSH / ID_RSA.PUB.
La console doit apparaître la chaîne SSH-RSA + clé sous forme d'ensemble de caractères == Demo @ Test. Vous pouvez maintenant aller sur un autre ordinateur, où vous devez créer un nouveau répertoire en entrant mkdir -p ~ / .ssh. Il ajoute également un fichier texte appelé Authorized_Keys. Il reste seulement d'insérer une certaine clé antérieure via echo + rangée d'une clé publique >> ~ / .SSH / autocollant_keys. Après cela, l'authentification sera disponible sans entrée de mot de passe préalable. Ceci est fait via le nom d'utilisateur SSH @ Commande Remote_Host, où le nom d'utilisateur @ Remote_host doit être remplacé par le nom de l'hôte requis.
Considéré simplement sur les moyens de transférer une clé publique à un nouveau périphérique permettant de vous connecter sans entrer le mot de passe, mais le formulaire de l'entrée est toujours affiché. Une telle position de choses permet aux assaillants d'accéder au bureau distant, simplement des mots de passe. Ensuite, nous proposons d'assurer la sécurité en effectuant certains paramètres.
Désactiver l'authentification par mot de passe
Comme mentionné précédemment, la possibilité d'authentification par mot de passe peut devenir un lien faible dans la sécurité d'une connexion distante, car il existe des moyens de gérer de telles clés. Nous vous recommandons de désactiver cette option si vous êtes intéressé par une protection maximale de votre serveur. Vous pouvez le faire comme ceci:
- Ouvrez le fichier de configuration / etc / ssh / sshd_config via n'importe quel éditeur de texte pratique, il peut s'agir, par exemple, Gedit ou Nano.
- Dans la liste qui s'ouvre, trouvez la chaîne "PasswordAuthentication" et supprimez le signe # pour rendre cette commande active. Modifiez la valeur de YES à NO pour désactiver l'option.
- À la fin, appuyez sur Ctrl + O pour enregistrer les modifications.
- Ne modifiez pas le nom du fichier, mais appuyez simplement sur Entrée pour utiliser la configuration.
- Vous pouvez laisser l'éditeur de texte en cliquant sur Ctrl + X.
- Tous les changements ne feront effet qu'après le redémarrage du service SSH, alors faites-le immédiatement via Sudo SystemCl Redémarrez SSH.
À la suite d'actions, la possibilité d'authentification par mot de passe sera désactivée et l'entrée sera disponible uniquement après quelques clés RSA. Considérez cela lors d'une configuration similaire.
Configuration du paramètre de pare-feu
À la fin du matériel d'aujourd'hui, nous voulons parler de la configuration du pare-feu, qui sera utilisée pour les autorisations ou les prohibions des composés. Nous ne passerons que par les points principaux, en prenant le pare-feu sans compliqué (UFW).
- Tout d'abord, vérifions la liste des profils existants. Entrez la liste d'applications Sudo UFW et cliquez sur Entrée.
- Confirmez l'action en spécifiant le mot de passe superutilisateur.
- Poser ssh dans la liste. Si cette ligne est présente, cela signifie que tout fonctionne correctement.
- Permettez la connexion à travers cet utilitaire en écrivant sudo ufw autoriser OpenSSH.
- Activez le pare-feu pour mettre à jour les règles. Ceci est fait via la commande Sudo UFW Activer.
- Vous pouvez vérifier l'état actuel du pare-feu à tout moment en entrant le statut Sudo UFW.
Sur ce processus, la configuration SSH à Debian est terminée. Comme vous pouvez le constater, il existe de nombreuses nuances et règles différentes à respecter. Bien entendu, dans le cadre d'un article, il est impossible de s'adapter absolument toutes les informations, nous n'avons donc touché que des informations de base. Si vous souhaitez obtenir des données plus approfondies sur cet utilitaire, nous vous conseillons de vous familiariser avec sa documentation officielle.