SSH Setup- ը Debian- ում

Ինչպես գիտեք, Open SSH տեխնոլոգիան թույլ է տալիս հեռակա կարգով կապվել հատուկ համակարգչի եւ տվյալներ փոխանցել ընտրված պաշտպանված արձանագրության միջոցով: Սա թույլ է տալիս իրականացնել եւ լիովին վերահսկել ընտրված սարքը, ապահովելով կարեւոր տեղեկատվության եւ նույնիսկ գաղտնաբառերի անվտանգ փոխանակում: Երբեմն օգտվողները պետք է կապվեն SSH- ի միջոցով, բայց բացի այդ կոմունալ աշխատանքը տեղադրելու համար անհրաժեշտ է արտադրել եւ լրացուցիչ պարամետրեր: Մենք ուզում ենք այսօր խոսել այդ մասին, օրինակ բերելով Դեբյան բաշխումը:

Հարմարեցրեք SSH- ը Debian- ում

Մենք կազմաձեւման գործընթացը բաժանում ենք մի քանի քայլերի, քանի որ յուրաքանչյուրը պատասխանատու է հատուկ մանիպուլյացիաների իրականացման համար եւ կարող է պարզապես օգտակար լինել որոշակի օգտագործողների համար, ինչը կախված է անձնական նախասիրություններից: Սկսենք այն փաստը, որ բոլոր գործողությունները կկատարվեն վահանակում եւ պետք է հաստատեն գերադասողի իրավունքները, այնպես որ նախապես պատրաստվեք դրան:

SSH- սերվերի եւ SSH հաճախորդի տեղադրում

Լռելյայն, SSH- ն ընդգրկված է Debian գործառնական համակարգի ստանդարտ համակարգում, սակայն, ցանկացած առանձնահատկությունների պատճառով, անհրաժեշտ ֆայլերը կարող են լինել վրդովմունք կամ պարզապես բացակա, օրինակ, երբ օգտագործողը ձեռքով արտադրում է տեղահանման: Եթե ​​Ձեզ անհրաժեշտ է նախապես տեղադրել SSH սերվերը եւ SSH- հաճախորդը, հետեւեք հետեւյալ հրահանգներին.

1. Բացեք Սկսել Start ընտրացանկը եւ սկսեք տերմինալը այնտեղից: Դա կարելի է անել ստանդարտ հիմնական համադրությամբ Ctrl + Alt + T.



2. Այստեղ ձեզ հետաքրքրում է Sudo Apt Install Openssh-Server հրամանը, որը պատասխանատու է սերվերի մասը տեղադրելու համար: Մուտքագրեք այն եւ կտտացրեք Enter- ին `ակտիվացնելու համար:



3. Ինչպես արդեն գիտեք, սուդո փաստարկով կատարված գործողությունները պետք է ակտիվացվեն `նշելով գերադասող գաղտնաբառը: Դիտարկենք, որ այս գծում մուտքագրված նիշերը չեն ցուցադրվում:



4. Ձեզ կտեղեկացվի, որ փաթեթները ավելացվում կամ թարմացվում են: Եթե ​​SSH սերվերն արդեն տեղադրված է Debian- ում, ապա հաղորդագրություն է հայտնվում նշված փաթեթի առկայության վրա:



5. Հաջորդը, ձեզ հարկավոր է ավելացնել համակարգը եւ հաճախորդի մասը, քանի որ այն համակարգչին, որին կապը կապված կլինի ապագայում: Դա անելու համար օգտագործեք նման Sudo Apt-Get- ը տեղադրեք Openssh-Client հրամանը:

Լրացուցիչ լրացուցիչ բաղադրիչներ տեղադրելու համար այլեւս լրացուցիչ բաղադրիչներ չկան, այժմ կարող եք ապահով կերպով անցնել սերվերի կառավարման եւ կազմաձեւման ֆայլեր `ստեղներ ստեղծելու համար եւ պատրաստեք ամեն ինչ` հեռավոր աշխատասեղանին:

Սերվերի կառավարում եւ ստուգում նրա աշխատանքը

Հակիրճ եկեք կենտրոնանանք այն բանի վրա, թե ինչպես է կառավարվում տեղադրված սերվերը եւ դրա գործունեության ստուգումը: Այն պետք է արվի նախքան կարգավորումը անցնելը `համոզվելու համար, որ ավելացված բաղադրիչների գործառույթը ճիշտ է:

1. Օգտագործեք Sudo Systemctl Միացնել SSHD հրամանը `սերվերը ինքնաբուխ ավելացնելու համար, եթե այն ինքնաբերաբար տեղի չի ունենում: Եթե ​​Ձեզ անհրաժեշտ է չեղարկել գործարկումը գործառնական համակարգով, օգտագործեք SystemCTL անջատված SSHD- ը: Այնուհետեւ անհրաժեշտ կլինի ձեռնարկի գործարկման համար `Systemctl START SSHD- ն նշելու համար:



2. Բոլոր այդպիսի գործողությունները, որոնք բացարձակապես պետք է իրականացվեն գերտերության անունից, այնպես որ դուք պետք է մուտքագրեք նրա գաղտնաբառը:



3. Մուտքագրեք SSH Localhost հրամանը `սերվերը ստուգելու համար: Localhost- ը փոխարինեք տեղական համակարգչային հասցեով:



4. Երբ առաջին անգամ կապվեք, ձեզ կտեղեկացվի, որ աղբյուրը հաստատված չէ: Դա տեղի է ունենում, քանի որ մենք դեռ չենք սահմանել անվտանգության պարամետրերը: Այժմ պարզապես հաստատեք կապի շարունակությունը `այո մուտք գործելով:

RSA ստեղների զույգ ավելացնելով

Սերվերից հաճախորդին միացնելը եւ SSH- ի միջոցով հակառակը, իրականացվում է գաղտնաբառ մուտքագրելով, այնուամենայնիվ, առաջարկվում է ստեղծել մի զույգ ստեղներ, որոնք կմշակվեն RSA Algorithms- ի միջոցով: Գաղտնագրման այս տեսակը հնարավոր կդարձնի օպտիմալ պաշտպանություն ստեղծել, ինչը դժվար կլինի թալանել հարձակվողը, երբ փորձում է թալանել: Մի քանի րոպե ավելացնելու զույգ բանալին, եւ այս գործընթացը նման է.

1. Բացեք «տերմինալը» եւ այնտեղ մուտքագրեք SSH-Keygen:



2. Դուք կարող եք ինքնուրույն ընտրել մի տեղ, որտեղ ցանկանում եք խնայել բանալին: Եթե ​​դա փոխելու ցանկություն չկա, պարզապես սեղմեք Enter ստեղնը:



3. Այժմ ստեղծվում է բաց բանալին: Այն կարող է պաշտպանվել կոդով արտահայտությամբ: Մուտքագրեք այն ցուցադրված տողի մեջ կամ դատարկեք դատարկ, եթե չեք ցանկանում ակտիվացնել այս տարբերակը:



4. Հիմնական արտահայտությունը մուտքագրելիս ստիպված կլինի նորից նշել այն, հաստատելու համար:



5. Կհայտնվի հանրային բանալու ստեղծման մասին ծանուցում: Ինչպես տեսնում եք, նրան նշանակվել են պատահական խորհրդանիշների մի շարք, իսկ պատահական ալգորիթմների վրա ստեղծվել է պատկեր:

Կատարված գործողությունների շնորհիվ ստեղծվել է գաղտնի եւ հանրային բանալին: Դրանք ներգրավվելու են սարքերի միջեւ կապվելու համար: Այժմ դուք պետք է պատճենեք հանրային բանալին սերվերին, եւ դուք դա կարող եք անել տարբեր մեթոդներով:

Պատճենեք բանալին սերվերի համար

Debian- ում կա երեք տարբերակ, որոնց միջոցով դուք կարող եք պատճենել հանրային բանալին սերվերին: Մենք առաջարկում ենք անմիջապես ծանոթանալ բոլոր նրանց հետ, որպեսզի ապագայում օպտիմալ ընտրեն: Սա տեղին է այն իրավիճակներում, երբ մեթոդներից մեկը չի տեղավորվում կամ չի բավարարում օգտագործողի կարիքները:

Մեթոդ 1. SSH-Copy-ID թիմ

Սկսենք ամենապարզ տարբերակից, որը ենթադրում է SSH-Copy-ID հրամանի օգտագործումը: Լռելյայն, այս ծրագիրը արդեն ներկառուցված է OS- ի մեջ, ուստի անհրաժեշտ չէ նախապես տեղադրման կարիք: Դրա շարահյուսությունն է նաեւ հնարավորինս պարզ, եւ ձեզ հարկավոր է կատարել նման գործողություններ.

1. Վահանակում մուտքագրեք SSH-Copy-ID հրամանը օգտվողի անունը @ remote_host եւ ակտիվացրեք այն: Փոխեք օգտվողի անունը @ remote_host- ը նպատակային համակարգչի հասցեին, որպեսզի ուղարկումը հաջողությամբ անցավ:



2. Երբ առաջին անգամ փորձեք կապվել, կտեսնեք «Հաղորդագրության վավերականությունը» 203.0.113.1 (203.0.113.1): ECDSA ստեղնաշարի մատնահետք է FD: FD: D4: 77: 73 84: E1: 55: 55: 00: Հայտարար. D6: 6D: 22: Համոզված եք, որ ցանկանում եք շարունակել կապը (այո / ոչ): Այո »: Կապը շարունակելու համար ընտրեք դրական պատասխան:



3. Դրանից հետո կոմունալը ինքնուրույն կաշխատի որպես որոնում եւ պատճենում է բանալին: Արդյունքում, եթե ամեն ինչ հաջողությամբ անցավ, «/ usr / bin / ssh ssh-id id» - ը կհայտնվի էկրանին. Տեղեկատվություն. Նոր բանալին (ներ) ի հետ մուտք գործելու համար Տեղադրված / USR / BIN / SSH-Copy-ID: Տեղեկատվություն. 1 ստեղն (ներ) ը տեղադրվելու է. Եթե հիմա հուշում եք, ապա դա նոր ստեղների անուններ տեղադրելն է. « Սա նշանակում է, որ դուք կարող եք մուտքագրել գաղտնաբառ եւ տեղափոխվել ուղղակիորեն վերահսկելու հեռավոր աշխատասեղանը:

Բացի այդ, ես նշելու եմ, որ վահանակում առաջին հաջող թույլտվությունից հետո հաջորդ հերոսը կհայտնվի.

Հիմնական (ներ) ի քանակը `1

Այժմ փորձեք մուտք գործել մեքենա, որի միջոցով. «SSH» [email protected] »:

Եվ ստուգեք, համոզվելու համար, որ միայն ձեր ուզած բանալին (ներ) է ավելացվել:

Այն ասում է, որ բանալին հաջողությամբ ավելացվել է հեռավոր համակարգչին եւ այլեւս որեւէ խնդիր չի առաջանա, երբ փորձեք կապվել:

Մեթոդ 2. Արտահանեք ստեղնը SSH- ի միջոցով

Ինչպես գիտեք, հանրային բանալու արտահանումը թույլ կտա ձեզ միանալ նշված սերվերին, առանց գաղտնաբառ մուտքագրելու: Այժմ, մինչդեռ բանալին դեռ նպատակային համակարգչում չէ, կարող եք կապվել SSH- ի միջոցով `մուտքագրելով գաղտնաբառ, որպեսզի ձեռքով տեղափոխեք ցանկալի ֆայլը: Դա անելու համար, մխիթարում դուք պետք է մուտքագրեք հրամանի կատու ~ / .ssh / id_rsa.pub | SSH Մականուն @ Remote_Host "Mkdir -p

Հաղորդագրությունը պետք է հայտնվի էկրանին:

Հաղորդավարների իսկությունը 203.0.113.1 (203.0.113.1) չի կարող հաստատվել:

ECDSA Key Finnprint- ը FD է. FD: D4: F9: 77: 84: 84: E1: 55: 8: Ex:

Համոզված եք, որ ցանկանում եք շարունակել կապը (այո / ոչ):

Հաստատեք, որ շարունակեք կապը: Հանրային բանալին ինքնաբերաբար պատճենվելու է լիազորվածագրերի կազմաձեւման ֆայլի ավարտին: Այս արտահանման կարգով հնարավոր է ավարտվել:

Մեթոդ 3. Ձեռնարկի պատճեն

Այս մեթոդը կհամապատասխանի այն օգտագործողներին, ովքեր նպատակային համակարգչին հեռավոր կապ ստեղծելու ունակություն չունեն, բայց դրանից ֆիզիկական մուտք կա: Այս դեպքում բանալին պետք է ինքնուրույն փոխանցվի: Սկսելու համար որոշեք դրա մասին տեղեկությունները սերվերի համակարգչում CAT- ի միջոցով ~ / .ssh / id_rsa.pub:

Վահանակը պետք է հայտնվի SSH-RSA լար + բանալին, որպես նիշերի շարք == Demo @ թեստ: Այժմ դուք կարող եք գնալ մեկ այլ համակարգիչ, որտեղ դուք պետք է ստեղծեք նոր գրացուցակ, մուտքագրելով MKDIR -P ~ / .ssh: Այն նաեւ ավելացնում է տեքստային ֆայլ, որը կոչվում է լիազորված_Keys: Մնում է միայն այնտեղ տեղադրել որոշակի ավելի վաղ առանցքային հանրային բանալու ռուքի միջոցով >> ~ / .ssh / լիազորված_Keys: Դրանից հետո վավերացումը հասանելի կլինի առանց նախնական գաղտնաբառի մուտքի: Դա արվում է SSH օգտվողի անունը @ remote_host հրամանի միջոցով, որտեղ օգտագործողի անունը պետք է փոխարինվի պահանջվող հյուրընկալողի անունով:

Համարվել է հենց նոր միջոցների նոր սարքի փոխանցման ուղիները `հնարավոր դարձնելու համար միանալ առանց գաղտնաբառ մուտք գործելու, բայց այժմ մուտքի ձեւը դեռ ցուցադրվում է: Իրերի այդպիսի դիրքը հարձակվողներին թույլ է տալիս մուտք գործել հեռավոր աշխատասեղան, պարզապես գաղտնաբառով: Հաջորդը առաջարկում ենք ապահովել անվտանգություն `կատարելով որոշակի պարամետրեր:

Անջատեք գաղտնաբառի վավերացումը

Ինչպես ավելի վաղ նշվեց, գաղտնաբառի վավերացման հնարավորությունը կարող է թույլ օղակ դառնալ հեռավոր կապի անվտանգության մեջ, քանի որ կան նման բանալիների սխալ գործելու միջոցներ: Մենք առաջարկում ենք անջատել այս տարբերակը, եթե ձեզ հետաքրքրում է ձեր սերվերի առավելագույն պաշտպանությունը: Դուք կարող եք դա անել այսպես.

1. Բացեք / եւ այլն / SSH / SSHD_CONFIG կազմաձեւման ֆայլը ցանկացած հարմար տեքստի խմբագրիչի միջոցով, կարող է լինել, օրինակ, Gedit կամ Nano:



2. Բացված ցանկում գտեք «գաղտնաբառիութիւնը» լարը եւ հեռացրեք # նշանը `այս հրամանը ակտիվացնելու համար: Փոխեք այո արժեքը `տարբերակը անջատելու համար:



3. Ավարտելուց հետո սեղմեք Ctrl + O, փոփոխությունները պահպանելու համար:



4. Մի փոխեք ֆայլի անվանումը, բայց պարզապես սեղմեք Enter, տեղադրումը օգտագործելու համար:



5. Կարող եք թողնել տեքստի խմբագիրը `կտտացնելով Ctrl + X- ին:



6. Բոլոր փոփոխությունները ուժի մեջ կմտնեն միայն SSH ծառայությունը վերագործարկելուց հետո, այնպես որ դա անմիջապես արեք Sudo Systemctl- ի վերագործարկման SSH- ի միջոցով:

Գործողությունների արդյունքում գաղտնաբառի վավերացման հնարավորությունը կասեցվելու է, եւ մուտքագրումը հասանելի կլինի միայն RSA- ի մի քանի ստեղներից հետո: Դիտարկենք սա, երբ նման կազմաձեւում:

Կարգավորելով Firewall- ի պարամետրը

Այսօրվա նյութի ավարտին մենք ուզում ենք պատմել firewall- ի կազմաձեւման մասին, որոնք կօգտագործվեն միացությունների թույլտվությունների կամ արգելումների համար: Մենք կանցնենք միայն հիմնական կետերով, վերցնելով ոչ բարդ Firewall (UFW):

1. Նախ, եկեք ստուգենք առկա պրոֆիլների ցանկը: Մուտքագրեք SUDO UFW հավելվածների ցուցակը եւ կտտացրեք Enter- ին:



2. Հաստատեք ակցիան `նշելով գերհզոր գաղտնաբառը:



3. SSH- ն ցուցակի մեջ դնել: Եթե ​​այս տողը ներկա է այնտեղ, նշանակում է, որ ամեն ինչ ճիշտ է գործում:



4. Թույլ տվեք կապը այս կոմունալ ցանցի միջոցով, գրելով sudo ufw թույլ տալ, որ բացեք:



5. Միացրեք Firewall- ը `կանոնները թարմացնելու համար: Դա արվում է Sudo UFW- ի միջոցով, միացնել հրամանը:



6. Կարող եք ցանկացած պահի ստուգել Firewall- ի ներկայիս կարգավիճակը `մուտքագրելով SUDO UFW կարգավիճակը:

Այս գործընթացի վերաբերյալ, Debian- ի SSH կոնֆիգուրացիան ավարտված է: Ինչպես տեսնում եք, կան շատ տարբեր նրբություններ եւ կանոններ, որոնք պետք է դիտարկել: Իհարկե, մեկ հոդվածի շրջանակներում անհնար է տեղավորել բացարձակապես բոլոր տեղեկությունները, ուստի մենք միայն անդրադարձանք հիմնական տեղեկություններին: Եթե ​​դուք հետաքրքրված եք այս կոմունալ ծառայությունների վերաբերյալ ավելի խորը տվյալներ ձեռք բերելով, խորհուրդ ենք տալիս ծանոթանալ դրա պաշտոնական փաստաթղթերին: