הגדרת SSH ב דביאן

כפי שאתם יודעים, טכנולוגית SSH פתוח מאפשרת לך מרחוק להתחבר למחשב ספציפי לשדר נתונים באמצעות הפרוטוקול המוגן שנבחר. זה מאפשר לך ליישם ולשלוט התקן שנבחר באופן מלא, הבטחת שער בטוח של מידע חשוב וסיסמא אפילו. לפעמים משתמשים יש צורך להתחבר דרך SSH, אבל בנוסף התקנת השירות עצמו, יש צורך לייצר והגדרות נוספות. אנחנו רוצים לדבר על זה היום, לוקח את הפצת דביאן עבור דוגמה.

התאמה אישית SSH ב דביאן

אנו מחלקים את תהליך התצורה לכמה שלבים, שכן כול אחראים על ביצוע מניפולציות ועשוי פשוט להיות שימושי למשתמשים מסוימים, אשר תלוי בהעדפות אישיות. בואו נתחיל עם העובדה שכל הפעולות יתבצעו במסוף ויהיה צורך לאשר את זכויותיהם של superuser, כך להתכונן לכך מראש.

SSH-Server ו- SSH-לקוח התקנה

כברירת מחדל, SSH כלול בערכת כלי מערכת הפעלת Debian הסטנדרטית, אולם, בשל כול תכונות, את הקבצים דרוש יכולים להיות שערורייה או פשוט נעדר, למשל, כאשר המשתמש מיוצר באופן ידני הסרה. אם אתה צריך להתקין מראש SSH-Server ו- SSH-לקוח, עקוב אחר ההוראות הבאות:

1. פתח את תפריט התחל ולהתחיל את טרמינל משם. ניתן לעשות זאת באמצעות צירוף המקשים הסטנדרטי Ctrl + Alt + T.



2. כאן אתם מעוניינים הפקודה sudo apt התקן OpenSSH-השרת שאחראי להתקנת בחלק השרת. הזן אותו ולחץ על Enter כדי להפעיל.



3. כפי שאתם כבר יודעים, הפעולות שבוצעו עם טיעון Sudo תצטרכנה להיות מופעלות על ידי קביעת סיסמא superuser. תחשוב על זה שהוקשה בתחום הזה אינו מוצגים.



4. תקבל הודעה כי חבילות מתווספות או מעודכנות. אם SSH-השרת הוא כבר מותקן דביאן, תופיע הודעה על הנוכחות של החבילה שצוינה.



5. הבא, תצטרך להוסיף למערכת וחלק לקוח, כמו עבור המחשב שאלי הקשר יחובר בעתיד. לשם כך, יש להשתמש בפקודה sudo apt-get install openssh-לקוח דומה.

אין מרכיבים נוספים יותר להתקין שום מרכיבים נוספים, אתם יכולים כעת לעבור בבטחה להנהלת שרת קבצים בתצורה ליצור מפתחות ולהכין הכל כדי להמשיך להתחבר אל שולחן העבודה המרוחקת.

ניהול השרת בודק מלאכתו"

בקצרה בואו להתמקד כיצד השרת המותקן מנוהל ואת ההמחאה של המבצע שלה. זה חייב להיעשות לפני מעבר ההגדרה כדי לוודא כי התפקוד של רכיבים נוספים נכונה.

1. השתמש בפקודה SUDO SYSTEMCTL הפעלת SSHD כדי להוסיף שרת ל- autoload, אם זה לא יקרה באופן אוטומטי. אם אתה צריך לבטל את ההשקה עם מערכת ההפעלה, השתמש ב- SystemTL Disable SSHD. אז ההפעלה ידנית יהיה צורך לציין systemctl להתחיל sshd.



2. כל הפעולות האלה בהחלט צריך להתבצע תמיד בשם superuser, כך שאתה צריך להזין את הסיסמה שלו.



3. הזן את הפקודה LocalHost SSH כדי לבדוק את השרת לביצועים. החלף את LocalHost לכתובת המחשב המקומית.



4. כאשר אתה מתחבר לראשונה, תקבל הודעה כי המקור אינו מאומת. זה קורה כי עדיין לא הגדרנו את הגדרות האבטחה. עכשיו רק לאשר את המשך החיבור על ידי הזנת כן.

הוספת זוג מקשי RSA

חיבור מהשרת ללקוח ולהיפך באמצעות SSH מתבצעת על ידי הזנת סיסמה, עם זאת, מומלץ ליצור זוג מפתחות שיפתחו באמצעות אלגוריתמים RSA. סוג זה של הצפנה יאפשר ליצור הגנה אופטימלית, אשר יהיה קשה להסתובב בתוקף כאשר מנסים לפרוץ. כדי להוסיף זוג מפתחות רק כמה דקות, וזה נראה כמו תהליך זה:

1. פתח את "טרמינל" והזן SSH-Keygen שם.



2. אתה יכול לבחור באופן עצמאי במקום שבו ברצונך לשמור את הנתיב למפתח. אם אין רצון לשנות אותו, פשוט לחץ על מקש Enter.



3. עכשיו נוצר המפתח הפתוח. זה יכול להיות מוגן על ידי ביטוי קוד. הזן אותו במחרוזת מוצגת או להשאיר ריק אם אינך רוצה להפעיל אפשרות זו.



4. בעת הזנת ביטוי המפתח יצטרך לציין אותו שוב כדי לאשר.



5. הודעה על יצירת מפתח ציבורי תופיע. כפי שניתן לראות, הוא הוקצה קבוצה של סמלים אקראיים, ותמונה נוצרה באלגוריתמים אקראיים.

בזכות הפעולה נעשה, סוד ומפתח ציבורי נוצר. הם יהיו מעורבים לחיבור בין מכשירים. עכשיו אתה צריך להעתיק את המפתח הציבורי לשרת, ואתה יכול לעשות זאת על ידי שיטות שונות.

העתק מפתח פתוח לשרת

בדביאן, ישנן שלוש אפשרויות שבהן תוכל להעתיק את המפתח הציבורי לשרת. אנו מציעים מיד להכיר את כל אותם כדי לבחור את האופטימלי בעתיד. זה רלוונטי במצבים שבהם אחת השיטות אינה מתאימה או אינה מספקת את הצרכים של המשתמש.

שיטה 1: SSH-Copy-id צוות

נתחיל עם האפשרות הפשוטה ביותר שמשמעותן את השימוש בפקודה SSH-Copy-ID. כברירת מחדל, תוכנית זו כבר מובנית לתוך מערכת ההפעלה, כך שהוא לא צריך להתקין מראש. התחביר שלה הוא גם הכי פשוט ככל האפשר, ואתה צריך לבצע פעולות כאלה:

1. במסוף, הזן את הפקודה SSH-Copy-ID לשם המשתמש @ Remote_Host ולהפעיל אותו. החלף את שם המשתמש @ מרחוק לכתובת של מחשב היעד, כך שהשליחה חלפה בהצלחה.



2. כאשר תנסה תחילה להתחבר, תראה את ההודעה "האותנטיות של המארח" 203.113.1 (203.0.113.1) 'לא ניתן לקבוע. ECDSA טביעת אצבע היא FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: Fe. האם אתה בטוח שברצונך להמשיך לחיבור (כן / לא)? כן. " בחר תשובה חיובית כדי להמשיך את החיבור.



3. לאחר מכן, כלי השירות יעבוד באופן עצמאי כחיפוש ולהעתיק את המפתח. כתוצאה מכך, אם הכל הלך בהצלחה, ההודעה "/ usr / bin / ssh-copy-id" יופיע על המסך: מידע: מנסה להיכנס עם המפתח החדש (ים), כדי לסנן את כל אלה הם אלדי מותקן / USR / BIN / SSH-Copy-ID: מידע: 1 מפתח (ים) להישאר להיות מותקן - אם תתבקש עכשיו זה כדי להתקין את המפתחות החדשים [email protected]'s סיסמה: "# :. משמעות הדבר היא שתוכל להזין את הסיסמה ולעבור לשליטה ישירה בשולחן העבודה המרוחק.

בנוסף, אני אציין כי לאחר ההרשאה הראשונה המוצלחת במסוף, התו הבא יופיע:

מספר מפתח (ים) נוסף: 1

עכשיו נסה להיכנס למכונה, עם: "SSH '[email protected]'"

ולבדוק כדי לוודא כי רק את המפתח (ים) שרצית נוספו.

כתוב כי המפתח נוסף בהצלחה למחשב מרוחק ולא עוד בעיות תתעורר כאשר תנסה להתחבר.

שיטה 2: ייצוא מפתח דרך SSH

כפי שאתה יודע, הייצוא של מפתח ציבורי יאפשר לך להתחבר לשרת שצוין מבלי לפני הזן את הסיסמה. עכשיו, בעוד שהמפתח עדיין לא נמצא במחשב היעד, תוכל להתחבר באמצעות SSH על ידי הזנת הסיסמה, כך שתעביר את הקובץ הרצוי באופן ידני. כדי לעשות זאת, במסוף תצטרך להזין את הפקודה חתול ~ / .ssh / id_rsa.pub SSH USERNAME @ wind_host "mkdir -p ~ / ssh && מגע ~ / .ssh / authorized_keys && chmod -r go = ~ / .ssh && col >> ~ / .ssh / authorized_keys."

הודעה חייבת להופיע על המסך.

האותנטיות של המארח "203.0.113.1 (203.0.113.1)" לא ניתן ליצור קשר.

ECDSA קוד טביעת האצבע הוא FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: AD: D6: 6D: 22: FE.

האם אתה בטוח שברצונך להמשיך להתחבר (כן / לא) ?.

אשר אותו להמשיך את הקשר. המפתח הציבורי יועתק באופן אוטומטי לסוף של קובץ תצורת authorized_keys. על הליך הייצוא הזה, אפשר יהיה גמור.

שיטה 3: מפתח העתקה ידנית

שיטה זו תתאים משתמשים אלה שאין להם היכולת ליצור חיבור מרחוק למחשב היעד, אך יש גישה פיזית אליו. במקרה זה, המפתח יצטרך להיות מועבר באופן עצמאי. ראשית, לקבוע את המידע על זה במחשב השרת באמצעות חתול ~ / .ssh / id_rsa.pub.

הקונסולה אמורה להופיע המפתח SSH-RSA מחרוזת + כמערכת של תווים == DEMO @ TEST. עכשיו אתה יכול ללכת למחשב אחר, שבו אתה צריך ליצור ספרייה חדשה על ידי הזנת mkdir -p ~ / .ssh. זה גם מוסיף קובץ טקסט שנקרא authorized_keys. נותר רק להכניס שם מפתח מסוים קודם לכן באמצעות אקו + שורה של מפתח ציבורי >> \ / .ssh / authorized_keys. לאחר מכן, אימות תהיה זמינה ללא הזנת סיסמא לפני. הדבר נעשה באמצעות הפקודה SSH משתמש @ REMOTE_HOST, שבו username @ REMOTE_HOST יש להחליף את שם המארח נדרש.

רק נחשבים הדרכים מותרות להעביר מפתח ציבורי במכשיר חדש כדי שיהיו אפשר להתחבר מבלי להזין את הסיסמא, אבל עכשיו את הטופס על הכניסה עדיין מוצג. ממקומה בכמה כזה של דברים מאפשרת לתוקפים גישה לשולחן העבודה המרוחק, פשוט passwording. הבא אנו מציעים להבטיח ביטחון ידי ביצוע הגדרות מסוימות.

אימות סיסמא שבת

כפי שהוזכר קודם לכן, האפשרות של אימות סיסמא יכולה להיות חוליה חלשה הבטיחות של חיבור מרחוק, שכן יש אמצעי misracting מפתחות כאלה. אנו ממליצים ביטל אפשרות זו אם אתה מעוניין הגנה מקסימלית של השרת שלך. אתה יכול לעשות את זה ככה:

1. פתח את / etc / ssh / sshd_config תצורת הקובץ באמצעות עורך טקסט נוח, זה עשוי להיות, למשל, gedit או ננו.



2. ברשימה שתיפתח, למצוא את המחרוזת "passwordauthentication" ולהסיר את הסימן # כדי להפוך פקודה זו פעילה. שנה את הערך של YES ל NO להשבית את האפשרות.



3. בסיום, לחץ על Ctrl + O כדי לשמור את השינויים.



4. אין לשנות את שמו של הקובץ, אלא פשוט הקש ENTER כדי להשתמש ההתקנה.



5. אתה יכול להשאיר את עורך הטקסט על ידי לחיצה על Ctrl + X.



6. כל השינויים ייכנסו לתוקף רק לאחר הפעלה מחדש של שירות SSH, כך לעשות את זה מיד באמצעות sudo systemctl להפעיל מחדש את ssh.

כתוצאה מפעולות, האפשרות של אימות סיסמה תושבת, והקלט יהיה זמין רק לאחר כמה מפתחות RSA. שקול את זה כאשר תצורה דומה.

הגדרת פרמטר חומת האש

בסוף החומר של היום, אנחנו רוצים לספר על התצורה של חומת האש, אשר ישמש הרשאות או אפלוגציות של תרכובות. אנו עובר רק על ידי נקודות עיקריות, לקחת את חומת האש מסובכת (UFW).

1. ראשית, בואו נבדוק את רשימת הפרופילים הקיימים. הזן את רשימת App Sudo UFW ולחץ על Enter.



2. אשר את הפעולה על ידי ציון סיסמת Superuser.



3. שכב ssh ברשימה. אם קו זה נמצא שם, זה אומר שהכל פונקציות כראוי.



4. אפשר את החיבור באמצעות כלי זה על ידי כתיבת UFW Sudo לאפשר OpenSSH.



5. הפעל את חומת האש כדי לעדכן את הכללים. זה נעשה באמצעות הפקודה UFW sudo.



6. באפשרותך לבדוק את המצב הנוכחי של חומת האש בכל עת על ידי הזנת מצב UFW של Sudo.

בתהליך זה, התצורה SSH בדביאן הושלמה. כפי שאתה יכול לראות, יש הרבה ניואנסים שונים וכללים שיש לציין. כמובן, במסגרת מאמר אחד, אי אפשר להתאים לחלוטין לכל המידע, ולכן נגענו רק במידע בסיסי. אם אתה מעוניין להשיג נתונים מעמיקים יותר על כלי זה, אנו מייעצים לך להכיר את התיעוד הרשמי שלה.