SSH (Secure Shell) הטכנולוגיה מאפשרת לך בבטחה לנהל את המחשב שלך באמצעות חיבור מאובטח. SSH מייצרת מוצפנים כל הקבצים המועברים, כולל סיסמאות, וגם מעביר לחלוטין כל פרוטוקול רשת. כדי לעבוד כראוי, לא רק להיות מותקן, אלא גם מוגדר. זה יהיה על המוצר של התצורה העיקרית שאנחנו רוצים לדבר תחת מאמר זה, לוקח את הגירסה העדכנית ביותר של מערכת ההפעלה Ubuntu עבור דוגמה, אשר יהיה ממוקם השרת.
הגדרת SSH באובונטו
אם עדיין לא סיימת את ההתקנה לשרת ולוח המחשב, זה צריך להיעשות בתחילה, היתרון של ההליך כולו הוא די פשוט ולא ייקח הרבה זמן. עם מדריך מפורט בנושא זה לפגוש מאמר נוסף בקישור הבא. זה גם מראה את ההליך לעריכת קובץ התצורה ובדיקת SSH, אז היום נתמקד קצת על משימות אחרות.קרא עוד: התקנת SSH-Server ב Ubuntu
יצירת זוג מקשי RSA
ב SSH החדש מותקן, אין מפתחות מוגדרים יותר להתחבר מהשרת ללקוח ולהיפך. כל הפרמטרים האלה צריכים להיות מוגדר באופן ידני מיד לאחר הוספת כל רכיבי הפרוטוקול. זוג מפתחות עובדת באמצעות אלגוריתם RSA (הפחתת שמות הרבונים, שמיר ומפתחי אדלמן). בזכות Cryptosystem זה, המפתחות מוצפנים באמצעות אלגוריתמים מיוחדים. כדי ליצור זוג מפתחות פתוחים, אתה רק צריך להזין את הפקודות המתאימות במונסולה ובצע את ההוראות המופיעות.
- עבור לעבודה עם "טרמינל" בכל שיטה נוחה, לדוגמה, על ידי פתיחת אותו דרך התפריט או את שילוב המפתח CTRL + Alt + T.
- הזן את הפקודה SSH-KeyGen ולאחר מכן לחץ על מקש Enter.
- זה יהיה מוצע ליצור קובץ שבו המפתחות יישמרו. אם ברצונך להשאיר אותם במיקום שנבחר כברירת מחדל, לחץ על Enter.
- המפתח הציבורי יכול להיות מוגן על ידי ביטוי קוד. אם ברצונך להשתמש באפשרות זו, כתוב סיסמה במחרוזת מופיעה. תווי ההכנסה לא יוצגו. בקו החדש יצטרך לחזור על זה.
- לאחר מכן, תראה הודעה כי המפתח ניצל, ואתה יכול גם להכיר את התמונה הגרפית האקראית שלה.
עכשיו יש זוג לקוחות - סוד ופתוח לשמש כדי להתחבר עוד בין מחשבים. אתה רק צריך לשים את המפתח לשרת, כך האימות SSH הוא מוצלח.
העתק מפתח פתוח לשרת
ישנם שלושה שיטות העתקה מפתח. כל אחד מהם יהיה האופטימלי ביותר במצבים שונים כאשר, למשל, אחת הדרכים אינה פועלת או אינה מתאימה למשתמש מסוים. אנו מציעים לשקול את כל שלוש האפשרויות על ידי החל מן הפשוטה ויעילה.
אפשרות 1: פקודת SSH-Copy-ID
הפקודה SSH-Copy-ID מובנית במערכת ההפעלה, ולכן היא אינה צריכה להתקין כל רכיבים נוספים לביצועו. שים לב תחביר פשוט כדי להעתיק את המפתח. בטרמינל, עליך להזין את ה- SSH-Copy-ID UserName @ Remote_host, שם @ Remote_Host הוא שם המחשב המרוחק.
כאשר אתה מתחבר לראשונה, תקבל הודעה עם הטקסט:
האותנטיות של המארח 203.0.113.1 (203.0.113.1) 'לא ניתן להקים.
ECDSA מפתח טביעת אצבע הוא FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: AD: D6: 6D: 22: Fe.
האם אתה בטוח שברצונך להמשיך לחיבור (כן / לא)? כן
עליך לציין את האפשרות כן כדי להמשיך את החיבור. לאחר מכן, כלי השירות יהיה באופן עצמאי לחפש את המפתח כמו ID_RSA.Pub קובץ, אשר נוצר בעבר. במהלך גילוי מוצלח, תוצאה זו יוצג:
USR / BIN / SSH-Copy-ID: מידע: ניסיון להיכנס עם המפתח החדש (ים), כדי לסנן את כל שאינו מותקן
/ USR / BIN / SSH-Copy-ID: מידע: 1 מפתח (ים) להישאר להיות מותקן - אם תתבקש עכשיו זה כדי להתקין את המפתחות החדשים
[email protected]'S סיסמה:
ציין את הסיסמה מהארח המרוחק, כך שהתועלת יכולה להזין אותו. הכלי יהיה להעתיק את הנתונים מקובץ המפתח הציבורי ~ / .ssh / id_rsa.pub ולאחר מכן הודעה תופיע על המסך:
מספר מפתח (ים) נוסף: 1
עכשיו נסה להיכנס למכונה, עם: "SSH '[email protected]'"
ולבדוק כדי לוודא כי רק את המפתח (ים) שרצית נוספו.
המראה של טקסט כזה פירושו שהמפתח נטען בהצלחה במחשב מרוחק, ואינו עוד בעיות עם החיבור תתעורר.
אפשרות 2: העתקת מפתח פתוח דרך SSH
אם אתה לא יכול להשתמש בכלי השירות הנ"ל, אבל יש סיסמה כדי להזין את שרת SSH מרחוק, אתה יכול להעלות את מפתח המשתמש באופן ידני, ובכך לספק אימות יציב נוסף כאשר מחובר. הוא משמש לפקודת חתול זו שיקרא את הנתונים מהקובץ, ולאחר מכן הם יישלחו לשרת. במסוף, יהיה עליך להזין מחרוזת.
חתול ~ / .ssh / id_rsa.pub SSH USERNAME @ wind_host "mkdir -p ~ / ssh && מגע ~ / .ssh / authorized_keys && chmod -r go = ~ / .ssh && col >> ~ / .ssh / authorized_keys."
כאשר ההודעה מופיעה
האותנטיות של המארח 203.0.113.1 (203.0.113.1) 'לא ניתן להקים.
ECDSA מפתח טביעת אצבע הוא FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: AD: D6: 6D: 22: Fe.
האם אתה בטוח שברצונך להמשיך לחיבור (כן / לא)? כן
המשך את החיבור והזן את הסיסמה כדי להזין את השרת. לאחר מכן, המפתח הציבורי יועתק אוטומטית לסוף קובץ התצורה של הרשאה.
אפשרות 3: ידני העתקת מפתח פתוח
בהעדר גישה למחשב מרוחק באמצעות שרת SSH, כל הפעולות המתוארות לעיל מבוצעות באופן ידני. לשם כך, לראשונה למצוא מידע על המפתח במחשב השרת באמצעות הפקודה CAT ~ / .ssh / id_rsa.pub.
המסך יוצג בערך מחרוזת כזו: SSH-RSA + מפתח כנקודת תווים == הדגמה @ מבחן. לאחר מכן, עבור לעבודה על מכשיר מרוחק שבו אתה יוצר ספרייה חדשה באמצעות mkdir -p ~ / .ssh. הוא גם יוצר את הקובץ הרשומה. לאחר מכן, הכנס את המפתח שם שלמדת קודם לכן באמצעות ECHO + שורה של מפתח ציבורי >> ~ / .ssh / authorized_keys. לאחר מכן, תוכל לנסות לבצע אימות עם השרת ללא שימוש בסיסמאות.
אימות בשרת באמצעות המקש שנוצר
בסעיף הקודם, למדת על שלוש שיטות להעתקת מפתח מחשב מרוחק לשרת. פעולות כאלה תאפשר לך להתחבר ללא הסיסמה. הליך זה מתבצע באמצעות שורת הפקודה על ידי הזנת SSH SSH שם משתמש @ מרחוק, שבו שם המשתמש @ rack_host הוא שם המשתמש ואת שם המחשב המארח. כאשר אתה מתחבר לראשונה, תקבל הודעה על חיבור לא מוכר ואתה יכול להמשיך על ידי בחירה באפשרות כן.
החיבור יתרחש באופן אוטומטי אם ביטוי המפתח (ביטוי סיסמה) לא צוין במהלך יצירתם של זוג מקשים. אחרת, תחילה עליך להציג את זה להמשיך לעבוד עם SSH.
השבת אימות סיסמה
ההתקנה מוצלחת העתקת מפתח נחשבת במצב זה כאשר תוכל להזין את השרת ללא שימוש בסיסמה. עם זאת, היכולת לאמת ובכך מאפשרת לתוקפים להשתמש בכלים לבחירת סיסמה ו לפצח את החיבור המוגן. כדי לאפשר את עצמך ממקרים כאלה יאפשר קלט סיסמה מלא בקובץ תצורת SSH. זה ידרוש:
- בטרמינל, פתח את קובץ התצורה באמצעות העורך באמצעות פקודת SUDO GEGDIT / ETC / SSH / SSHD_CONFIG.
- מצא את קו ההסברה והסרה את # סימן ההתחלה לתחת הפרמטר.
- שנה את הערך לא ושמור את התצורה הנוכחית.
- סגור את העורך והפעל מחדש את SUDO SYSTEMCTL RESTART SSH SSH.
אימות הסיסמה יכבה, והזן את השרת יכול לשמש רק באמצעות המקשים שנוצרו במיוחד עבור זה עם אלגוריתם RSA.
הגדרת חומת אש סטנדרטית
ב- אובונטו, חומת האש המוגדרת כברירת מחדל היא חומת האש לא מסובכת (UFW). זה מאפשר לך לפתור חיבורים עבור שירותים נבחרים. כל יישום יוצר פרופיל משלו בכלי זה, ו- UFW שולט בהם, ומאפשר או מטריד את החיבור. הגדרת פרופיל SSH על ידי הוספתו לרשימה מתבצעת כך:
- פתח את רשימת הפרופיל של חומת האש באמצעות פקודת רשימת ה- Sudo UFW App.
- הזן את הסיסמה מהחשבון כדי להציג מידע.
- תוכלו לראות גיליון של יישומים זמינים, חייב להיות openssh ביניהם.
- עכשיו אתה צריך לפתור קשרים באמצעות SSH. לשם כך, הוסף אותו לרשימת הפרופילים המותרים באמצעות UFW Sudo לאפשר OpenSSH.
- הפעל את חומת האש על ידי עדכון הכללים, Sudo UFW הפעל.
- עבור אמונות הן כי החיבורים מותרים, מצב UFW Sudo צריך להיות prescribed, ולאחר מכן תראה את הסטטוס של הרשת.
על זה, הוראות התצורה שלנו SSH באובונטו הושלמו. הגדרות נוספות עבור קובץ התצורה ופרמטרים אחרים מתבצעים באופן אישי על ידי כל משתמש תחת בקשותיו. אתה יכול להכיר את הפעולה של כל מרכיבי SSH בתיעוד הרשמי של הפרוטוקול.