SSH Opstelling yn Debian

Sa't jo wite, lit de iepen SSH-technology jo op ôfstân ferbine mei in spesifike kompjûter en trochstjoere gegevens fia it selekteare beskerme protokol. Hjirmei kinne jo it selektearjen fan it selekteare apparaat befestigje en feilich kontrolearje, soargje foar feilige útwikseling fan wichtige ynformaasje en sels wachtwurden. Soms hawwe brûkers de needsaak om te ferbinen mei SSH, mar neist it ynstallearjen fan it nutt sels, is it needsaaklik om te produsearjen en ekstra ynstellings. Wy wolle hjoed der oer prate, it debian distribúsje nimme foar it foarbyld.

Oanpasse SSH yn Debian

Wy ferdiele it konfiguraasjekroses yn ferskate stappen, om't elk ferantwurdelik is foar de ymplemintaasje fan spesifike manipulaasjes en kin gewoan nuttich wêze foar bepaalde brûkers, wat hinget ôf fan persoanlike foarkar. Litte wy begjinne mei it feit dat alle aksjes sille wurde makke yn 'e konsole en sille de rjochten fan' e Superuser moatte befêstigje, dus tariede op dit foarôf.

SSH-Server ynstallearje en SSH-Client

Standert is de SSH opnommen yn 'e Standert Debian Triemsynprogramma ynsteld fanwegen elke funksjes, kinne de nedige bestannen wêze as gewoan ôfwêzich, as de brûker fan' e brûkersde uninstallaasje produsearre. As jo ​​SSH-Server en SSH-Client moatte ynstallearje, folgje dan de folgjende ynstruksjes:

1. Iepenje it startmenu en begjin de terminal dêrwei. Dit kin wurde dien fia de standert wichtige kombinaasje Ctrl + Alt + T.



2. Hjir binne jo ynteressearre yn 'e sudo apt ynstalleare opsetsk-server-kommando is ferantwurdelik foar it ynstallearjen fan it serverdiel. Fier it yn en klikje op Enter om te aktivearjen.



3. Lykas jo al witte, útfierd de aksjes mei it sudo-argumint moatte wurde aktivearre troch it superuser-wachtwurd te spesifisearjen. Tink oan dat tekens ynfierd hawwe yn dizze rigel binne net werjûn.



4. Jo sille wurde ynformearre dat pakketten wurde tafoege of bywurke. As de SSH-server al ynstalleare is yn Debian, ferskynt in berjocht op 'e oanwêzigens fan it oantsjutte pakket.



5. Folgjende, jo moatte tafoegje oan it systeem en it kliïntendiel, lykas foar de kompjûter wêr't de ferbining yn 'e takomst wurdt ferbûn. Om dit te dwaan, brûk in ferlykbere sudo-apt-get-ynstalleare kommando-ynstallearje.

D'r binne gjin ekstra komponinten om ekstra komponinten te ynstallearjen, kinne jo no feilich oerskeakelje nei de serverbehear- en konfiguraasjetaarten om kaaien te meitsjen en tariede alles om te betinken om it buroblêd fierder te meitsjen.

Serverbehear en syn wurk kontrolearje

Litte wy ús rjochtsje op hoe't de ynstalleare server wurdt beheard en de kontrôle fan har operaasje. It moat dien wurde foardat jo oerskeakelje nei de opset om te soargjen dat it funksjonearjen fan 'e tafoege komponinten korrekt is.

1. Brûk it Sudo Systemctl SSHD-kommando ynskeakelje om in server ta te foegjen oan Autolo-lade, as it net automatysk bart. As jo ​​de lansearring moatte annulearje mei it bestjoeringssysteem, brûk Systemctl SYSCD útskeakelje SSHD. Dan sil de hânmjittige opstart nedich wêze om systemctl te spesifisearjen, begjin te sisterearjen.



2. Al sokke aksjes moatte absoluut altyd wurde útfierd út namme fan 'e superuser, dat jo moatte ynfiere syn wachtwurd ynfiere.



3. Fier it SSS LocialHOst-kommando yn om de server te kontrolearjen foar prestaasjes. Ferfange localhost nei it lokale kompjûteradres.



4. As jo ​​earst ferbine, sille jo wurde ynformearre dat de boarne net ferifieare is. Dit bart om't wy de befeiligingsynstellingen noch net ynsteld hawwe. Befêstigje no gewoan de fuortsetting fan 'e ferbining troch te fieren.

In pear RSA-toetsen tafoegje

Ferbine fan 'e server nei de kliïnt en oarsom wurdt fia SSH wurdt útfierd troch it ynfieren fan in wachtwurd ynfierd, it wurdt oanrikkemandearre om in pear kaaien te meitsjen dat troch de RSA-algoritmen sil wurde ûntwikkele. Dit soarte fan fersifering sil it mooglik meitsje om optimale beskerming te meitsjen, wat lestich sil wêze om de oanfaller te krijen by it besykjen om te hacken. Om mar in pear minuten in pear minuten ta te foegjen, en it liket dit proses op:

1. Iepenje de "Terminal" en fier dêr ssh-keygen yn.



2. Jo kinne selsstannich in plak kieze wêr't jo it paad wolle opslaan nei de kaai. As d'r gjin winsk is om it te feroarjen, druk dan gewoan op de Enter-toets.



3. No is de iepen toets oanmakke. It kin wurde beskerme troch in koade-sin. Fier it yn 'e werjûn tekenrige of lit leech litte as jo dizze opsje net wolle aktivearje.



4. By it yngean fan 'e wichtige frase moat it opnij oanjaan om te befêstigjen.



5. In notifikaasje fan 'e skepping fan in iepenbiere kaai sil ferskine. Sa't jo kinne sjen, waard hy in set willekeurige symboalen tawiisd, en in ôfbylding waard makke oer willekeurige algoritmen.

Mei tank oan de aksje dien is in geheime en iepenbiere kaai oanmakke. Se sille belutsen wêze by it ferbinen tusken apparaten. No moatte jo de iepenbiere kaai kopiearje nei de server, en jo kinne dit dwaan troch ferskate metoaden.

Kopiearje iepen toets nei server

Yn Debian binne d'r trije opsjes wêr't jo de iepenbiere kaai kinne kopiearje oan 'e server. Wy stelle foarstelle jo direkt fertroud te meitsjen mei allegearre om it optimale yn 'e takomst te kiezen. Dit is relevant yn dy situaasjes wêr't ien fan 'e metoaden net past of net de behoeften fan' e brede foldocht.

Metoade 1: SSH-Copy-ID-team

Litte wy begjinne mei de ienfâldichste opsje dy't it gebrûk fan it kommando fan SSH-Copy-ID ympliseart. Standert is dit nut al ynboud yn it OS, dus it hat gjin foar-ynstallaasje nedich. De syntaks is ek it meast ienfâldich mooglik, en jo sille sokke aksjes moatte útfiere:

1. Yn 'e konsole ynfiere it kommando SSH-Copy-ID yn nei de brûkersnamme @ remote_host en aktivearje it. Ferfange de brûkersnamme @ remote_host nei it adres fan 'e doelcomputer, sadat it ferstjoeren mei súkses is trochjûn.



2. As jo ​​earst besykje te ferbinen, sille jo it berjocht sjen "de autentisiteit fan 'e gasthear' 203.0.1.1) 'Kin net fêststeld wurde. ECDSA-toets Fingerprint is FD: FD: D4: F9: 77: F9: 77: FE: 73 : 84: E1: 55: 00: AD: D6: 6: 6D: 22: 22: 22: 22: Binne jo wis dat jo trochgean wolle ferbine (ja / nee)? Ja. " Selektearje in posityf antwurd om de ferbining troch te gean.



3. Hjirnei sil it hulpprogramma ûnôfhinklik wurkje as sykjen en kopiearje de kaai. As resultaat, as alles mei súkses gie, sil de meidieling "/ USR / Bak-kopy-ID ferskine" op it skerm: Info: Besykje om oan te melden mei de nije kaai (s), om te filterjen Ynstalleare / USR / Bin / SSH-Copy-ID: 1 Key (s) bliuwe om ynstalleare te wêzen - as jo frege is om de nije toetsen brû[email protected] te ynstallearjen: ". Dit betsjut dat jo it wachtwurd kinne ynfiere en ferpleatse om direkt it buroblêd te kontrolearjen.

Derneist sil ik opjaan dat nei de earste suksesfolle autorisaasje yn 'e konsole, sil it folgjende karakter ferskine:

Oantal kaai (s) tafoege: 1

Besykje no yn 'e masine te loggen, mei: "SSH' [email protected] '

En kontrolearje om te soargjen dat allinich de kaai (s) dy't jo woenen wurde tafoege.

It seit dat de kaai mei súkses is tafoege oan in komputer op ôfstân en net mear problemen oerein komme as jo besykje te ferbinen.

Metoade 2: Toets eksportearje fia SSH

Sa't jo witte, lit de eksport fan in iepenbiere kaai tastean jo ferbining te meitsjen mei de opjûne server sûnder foarôf yn te fieren om it wachtwurd yn te gean. No, wylst de kaai noch net op 'e doelpakket is, kinne jo fia SSH fia SSH ferbine troch it wachtwurd yn te fieren, sadat jo it winske bestân manuell ferpleatse. Om dit te dwaan, yn 'e konsole sille jo de kommando-katten moatte ynfiere ~ / .sSh / id_rsa.pub | SSH-brûkersnamme @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / autorisearre_keys && chmod -r go = ~ / .ssh &ssh &ssh / autorisearre_keys."

In notifikaasje moat ferskine op it skerm.

De echtheid fan host '203.0.113.1 (203.0.113.1)' kin net oprjochte wurde.

ECDSA-kaai fingerprint is FD: FD: D4: D9: 77: 77: 73: 73: 74: E1: 55: 00: AD: D6: 6D: 22: FE.

Binne jo wis dat jo trochgean wolle trochgean (ja / nee)?

Befêstigje dat it trochgean mei de ferbining troch te gean. De iepenbiere kaai sil automatysk wurde kopieare nei it ein fan it konfiguraasjetriem-konfiguraasjetriem. Op dizze eksportproseduere is it mooglik om klear te wêzen.

Metoade 3: hânlieding Kopy-toets

Dizze metoade sil passe by dy brûkers dy't gjin fermogen hawwe om in ôfstânferbining te meitsjen mei de doelcomputer, mar d'r is fysike tagong ta it. Yn dit gefal sil de kaai ûnôfhinklik wurde oerdroegen. Om mei te begjinnen, bepale de ynformaasje oer it op 'e server PC fia Cat ~ / .SSH / ID_RSA.pub.

De konsole moat ferskine de SSH-RSA-string + kaai as in set tekens == Demo @ test. No kinne jo nei in oare kompjûter gean, wêr't jo in nije map moatte oanmeitsje troch mkdir -p ~ / .ssh te gean. It foeget ek in tekstbestân ta mei de namme autorisearre_key's. It bliuwt allinich om dêr in bepaalde eardere toets te foegjen fia Echo + Row of a Public Key >> ~ / .ssh / autorisearre_keys. Hjirnei sil ferifikaasje beskikber wêze sûnder foarôfgeande wachtwurd yngong. Dit wurdt dien troch de SSH-brûkersnamme @ remote_host-kommando, wêr't de brûkersnamme @ ôfstân_host moat wurde ferfongen troch de namme fan 'e fereaske host.

Doe't de manier beskôge as de manieren in iepenbiere kaai oerdrage oan in nij apparaat om it mooglik te meitsjen sûnder te ferbinen sûnder it wachtwurd yn te fieren, mar no is it formulier yn 'e yngong noch werjûn. Sa'n posysje fan dingen lit oanfallers tagong krije ta it buroblêd op ôfstân, gewoan wachtwurden. Folgjende oanbiede wy om feiligens te garandearjen troch bepaalde ynstellings te meitsjen.

Wachtwurd ferifikaasje útskeakelje

Lykas earder neamd, kin de mooglikheid fan wachtwurdtrekwinsje in swakke keppeling wurde yn 'e feiligens fan in ôfstânferbining, om't d'r middelen binne om sokke kaaien te misdragjen. Wy riede oan om dizze opsje útskeakele te meitsjen as jo ynteressearre binne yn maksimale beskerming fan jo server. Jo kinne it sa dwaan:

1. Iepenje de / etc / ssh / sshd / sshd_config-konfiguraasjebestân fia elke handige tekstbewurker, it kin wêze, bygelyks gedit as nano.



2. Yn 'e list dy't iepenet, fyn de string "WordsAuthentication" String en ferwiderje it # teken om dit kommando aktyf te meitsjen. Feroarje de wearde fan Ja oant nee om de opsje út te skeakeljen.



3. By it foltôgjen op Ctrl + O om de wizigingen op te slaan.



4. Feroarje de namme fan it bestân net, mar druk gewoan op Enter om de opset te brûken.



5. Jo kinne de tekstbewurker ferlitte troch te klikken op Ctrl + X.



6. Alle wizigingen sille allinich yn wurking nimme nei it opnij starte fan 'e SSH-tsjinst, dus doch it direkt fia Sudo SystemctL Restart Ssh.

As gefolch fan aksjes sille de mooglikheid fan wachtwurdferifikaasje wurde útskeakele, en de ynfier sil allinich beskikber wêze nei in pear RSA-toetsen. Beskôgje dit as in ferlykbere konfiguraasje.

It konfigurearjen fan de Firewall Parameter

Oan 'e ein fan it materiaal fan hjoed, wolle wy fertelle oer de konfiguraasje fan' e Firewall, dy't sil wurde brûkt foar tagongsrjochten of ferbod fan 'e ferbiningen. Wy sille allinich trochjaan troch de haadpunten, nimt it yngewikkelde Firewall (UFW).

1. Litte wy earst de list mei besteande profilen kontrolearje. Fier de Sudo UFW-app yn en klikje op Enter.



2. Befêstigje de aksje troch it oan te jaan fan it superuser-wachtwurd.



3. Lay SSH yn 'e list. As dizze rigel dêr oanwêzich is, betsjuttet it dat alles korrekt funksjoneart.



4. Tastean de ferbining troch dit nut troch te skriuwen sudo ufw tastean openssh.



5. Skeakelje de Firewall yn om de regels te aktualisearjen. Dit wurdt dien troch it sudo UFW ynskeakelje kommando.



6. Jo kinne de hjoeddeistige status fan 'e firewall kontrolearje op elk momint troch Sudo UFW-status yn te gean.

Op dit proses is de SSH-konfiguraasje yn Debian folslein. Sa't jo kinne sjen, binne d'r in protte ferskillende nuânses en regels dy't moatte wurde waarnommen. Fansels is it yn it ramt fan ien artikel yn it iene artikel om te passen om absoluut alle ynformaasje te passen, dus wy hawwe allinich oanrekke op basisynformaasje. As jo ​​ynteressearre binne by it krijen fan mear yngeande gegevens oer dit nut, advisearje wy jo om josels te fertrouwen om te fertrouwen mei syn offisjele dokumintaasje.