Ինչպես գիտեք, Open SSH տեխնոլոգիան թույլ է տալիս հեռակա կարգով կապվել հատուկ համակարգչի եւ տվյալներ փոխանցել ընտրված պաշտպանված արձանագրության միջոցով: Սա թույլ է տալիս իրականացնել եւ լիովին վերահսկել ընտրված սարքը, ապահովելով կարեւոր տեղեկատվության եւ նույնիսկ գաղտնաբառերի անվտանգ փոխանակում: Երբեմն օգտվողները պետք է կապվեն SSH- ի միջոցով, բայց բացի այդ կոմունալ աշխատանքը տեղադրելու համար անհրաժեշտ է արտադրել եւ լրացուցիչ պարամետրեր: Մենք ուզում ենք այսօր խոսել այդ մասին, օրինակ բերելով Դեբյան բաշխումը:
Հարմարեցրեք SSH- ը Debian- ում
Մենք կազմաձեւման գործընթացը բաժանում ենք մի քանի քայլերի, քանի որ յուրաքանչյուրը պատասխանատու է հատուկ մանիպուլյացիաների իրականացման համար եւ կարող է պարզապես օգտակար լինել որոշակի օգտագործողների համար, ինչը կախված է անձնական նախասիրություններից: Սկսենք այն փաստը, որ բոլոր գործողությունները կկատարվեն վահանակում եւ պետք է հաստատեն գերադասողի իրավունքները, այնպես որ նախապես պատրաստվեք դրան:SSH- սերվերի եւ SSH հաճախորդի տեղադրում
Լռելյայն, SSH- ն ընդգրկված է Debian գործառնական համակարգի ստանդարտ համակարգում, սակայն, ցանկացած առանձնահատկությունների պատճառով, անհրաժեշտ ֆայլերը կարող են լինել վրդովմունք կամ պարզապես բացակա, օրինակ, երբ օգտագործողը ձեռքով արտադրում է տեղահանման: Եթե Ձեզ անհրաժեշտ է նախապես տեղադրել SSH սերվերը եւ SSH- հաճախորդը, հետեւեք հետեւյալ հրահանգներին.
- Բացեք Սկսել Start ընտրացանկը եւ սկսեք տերմինալը այնտեղից: Դա կարելի է անել ստանդարտ հիմնական համադրությամբ Ctrl + Alt + T.
- Այստեղ ձեզ հետաքրքրում է Sudo Apt Install Openssh-Server հրամանը, որը պատասխանատու է սերվերի մասը տեղադրելու համար: Մուտքագրեք այն եւ կտտացրեք Enter- ին `ակտիվացնելու համար:
- Ինչպես արդեն գիտեք, սուդո փաստարկով կատարված գործողությունները պետք է ակտիվացվեն `նշելով գերադասող գաղտնաբառը: Դիտարկենք, որ այս գծում մուտքագրված նիշերը չեն ցուցադրվում:
- Ձեզ կտեղեկացվի, որ փաթեթները ավելացվում կամ թարմացվում են: Եթե SSH սերվերն արդեն տեղադրված է Debian- ում, ապա հաղորդագրություն է հայտնվում նշված փաթեթի առկայության վրա:
- Հաջորդը, ձեզ հարկավոր է ավելացնել համակարգը եւ հաճախորդի մասը, քանի որ այն համակարգչին, որին կապը կապված կլինի ապագայում: Դա անելու համար օգտագործեք նման Sudo Apt-Get- ը տեղադրեք Openssh-Client հրամանը:
Լրացուցիչ լրացուցիչ բաղադրիչներ տեղադրելու համար այլեւս լրացուցիչ բաղադրիչներ չկան, այժմ կարող եք ապահով կերպով անցնել սերվերի կառավարման եւ կազմաձեւման ֆայլեր `ստեղներ ստեղծելու համար եւ պատրաստեք ամեն ինչ` հեռավոր աշխատասեղանին:
Սերվերի կառավարում եւ ստուգում նրա աշխատանքը
Հակիրճ եկեք կենտրոնանանք այն բանի վրա, թե ինչպես է կառավարվում տեղադրված սերվերը եւ դրա գործունեության ստուգումը: Այն պետք է արվի նախքան կարգավորումը անցնելը `համոզվելու համար, որ ավելացված բաղադրիչների գործառույթը ճիշտ է:
- Օգտագործեք Sudo Systemctl Միացնել SSHD հրամանը `սերվերը ինքնաբուխ ավելացնելու համար, եթե այն ինքնաբերաբար տեղի չի ունենում: Եթե Ձեզ անհրաժեշտ է չեղարկել գործարկումը գործառնական համակարգով, օգտագործեք SystemCTL անջատված SSHD- ը: Այնուհետեւ անհրաժեշտ կլինի ձեռնարկի գործարկման համար `Systemctl START SSHD- ն նշելու համար:
- Բոլոր այդպիսի գործողությունները, որոնք բացարձակապես պետք է իրականացվեն գերտերության անունից, այնպես որ դուք պետք է մուտքագրեք նրա գաղտնաբառը:
- Մուտքագրեք SSH Localhost հրամանը `սերվերը ստուգելու համար: Localhost- ը փոխարինեք տեղական համակարգչային հասցեով:
- Երբ առաջին անգամ կապվեք, ձեզ կտեղեկացվի, որ աղբյուրը հաստատված չէ: Դա տեղի է ունենում, քանի որ մենք դեռ չենք սահմանել անվտանգության պարամետրերը: Այժմ պարզապես հաստատեք կապի շարունակությունը `այո մուտք գործելով:
RSA ստեղների զույգ ավելացնելով
Սերվերից հաճախորդին միացնելը եւ SSH- ի միջոցով հակառակը, իրականացվում է գաղտնաբառ մուտքագրելով, այնուամենայնիվ, առաջարկվում է ստեղծել մի զույգ ստեղներ, որոնք կմշակվեն RSA Algorithms- ի միջոցով: Գաղտնագրման այս տեսակը հնարավոր կդարձնի օպտիմալ պաշտպանություն ստեղծել, ինչը դժվար կլինի թալանել հարձակվողը, երբ փորձում է թալանել: Մի քանի րոպե ավելացնելու զույգ բանալին, եւ այս գործընթացը նման է.
- Բացեք «տերմինալը» եւ այնտեղ մուտքագրեք SSH-Keygen:
- Դուք կարող եք ինքնուրույն ընտրել մի տեղ, որտեղ ցանկանում եք խնայել բանալին: Եթե դա փոխելու ցանկություն չկա, պարզապես սեղմեք Enter ստեղնը:
- Այժմ ստեղծվում է բաց բանալին: Այն կարող է պաշտպանվել կոդով արտահայտությամբ: Մուտքագրեք այն ցուցադրված տողի մեջ կամ դատարկեք դատարկ, եթե չեք ցանկանում ակտիվացնել այս տարբերակը:
- Հիմնական արտահայտությունը մուտքագրելիս ստիպված կլինի նորից նշել այն, հաստատելու համար:
- Կհայտնվի հանրային բանալու ստեղծման մասին ծանուցում: Ինչպես տեսնում եք, նրան նշանակվել են պատահական խորհրդանիշների մի շարք, իսկ պատահական ալգորիթմների վրա ստեղծվել է պատկեր:
Կատարված գործողությունների շնորհիվ ստեղծվել է գաղտնի եւ հանրային բանալին: Դրանք ներգրավվելու են սարքերի միջեւ կապվելու համար: Այժմ դուք պետք է պատճենեք հանրային բանալին սերվերին, եւ դուք դա կարող եք անել տարբեր մեթոդներով:
Պատճենեք բանալին սերվերի համար
Debian- ում կա երեք տարբերակ, որոնց միջոցով դուք կարող եք պատճենել հանրային բանալին սերվերին: Մենք առաջարկում ենք անմիջապես ծանոթանալ բոլոր նրանց հետ, որպեսզի ապագայում օպտիմալ ընտրեն: Սա տեղին է այն իրավիճակներում, երբ մեթոդներից մեկը չի տեղավորվում կամ չի բավարարում օգտագործողի կարիքները:
Մեթոդ 1. SSH-Copy-ID թիմ
Սկսենք ամենապարզ տարբերակից, որը ենթադրում է SSH-Copy-ID հրամանի օգտագործումը: Լռելյայն, այս ծրագիրը արդեն ներկառուցված է OS- ի մեջ, ուստի անհրաժեշտ չէ նախապես տեղադրման կարիք: Դրա շարահյուսությունն է նաեւ հնարավորինս պարզ, եւ ձեզ հարկավոր է կատարել նման գործողություններ.
- Վահանակում մուտքագրեք SSH-Copy-ID հրամանը օգտվողի անունը @ remote_host եւ ակտիվացրեք այն: Փոխեք օգտվողի անունը @ remote_host- ը նպատակային համակարգչի հասցեին, որպեսզի ուղարկումը հաջողությամբ անցավ:
- Երբ առաջին անգամ փորձեք կապվել, կտեսնեք «Հաղորդագրության վավերականությունը» 203.0.113.1 (203.0.113.1): ECDSA ստեղնաշարի մատնահետք է FD: FD: D4: 77: 73 84: E1: 55: 55: 00: Հայտարար. D6: 6D: 22: Համոզված եք, որ ցանկանում եք շարունակել կապը (այո / ոչ): Այո »: Կապը շարունակելու համար ընտրեք դրական պատասխան:
- Դրանից հետո կոմունալը ինքնուրույն կաշխատի որպես որոնում եւ պատճենում է բանալին: Արդյունքում, եթե ամեն ինչ հաջողությամբ անցավ, «/ usr / bin / ssh ssh-id id» - ը կհայտնվի էկրանին. Տեղեկատվություն. Նոր բանալին (ներ) ի հետ մուտք գործելու համար Տեղադրված / USR / BIN / SSH-Copy-ID: Տեղեկատվություն. 1 ստեղն (ներ) ը տեղադրվելու է. Եթե հիմա հուշում եք, ապա դա նոր ստեղների անուններ տեղադրելն է. « Սա նշանակում է, որ դուք կարող եք մուտքագրել գաղտնաբառ եւ տեղափոխվել ուղղակիորեն վերահսկելու հեռավոր աշխատասեղանը:
Բացի այդ, ես նշելու եմ, որ վահանակում առաջին հաջող թույլտվությունից հետո հաջորդ հերոսը կհայտնվի.
Հիմնական (ներ) ի քանակը `1
Այժմ փորձեք մուտք գործել մեքենա, որի միջոցով. «SSH» [email protected] »:
Եվ ստուգեք, համոզվելու համար, որ միայն ձեր ուզած բանալին (ներ) է ավելացվել:
Այն ասում է, որ բանալին հաջողությամբ ավելացվել է հեռավոր համակարգչին եւ այլեւս որեւէ խնդիր չի առաջանա, երբ փորձեք կապվել:
Մեթոդ 2. Արտահանեք ստեղնը SSH- ի միջոցով
Ինչպես գիտեք, հանրային բանալու արտահանումը թույլ կտա ձեզ միանալ նշված սերվերին, առանց գաղտնաբառ մուտքագրելու: Այժմ, մինչդեռ բանալին դեռ նպատակային համակարգչում չէ, կարող եք կապվել SSH- ի միջոցով `մուտքագրելով գաղտնաբառ, որպեսզի ձեռքով տեղափոխեք ցանկալի ֆայլը: Դա անելու համար, մխիթարում դուք պետք է մուտքագրեք հրամանի կատու ~ / .ssh / id_rsa.pub | SSH Մականուն @ Remote_Host "Mkdir -p
Հաղորդագրությունը պետք է հայտնվի էկրանին:
Հաղորդավարների իսկությունը 203.0.113.1 (203.0.113.1) չի կարող հաստատվել:
ECDSA Key Finnprint- ը FD է. FD: D4: F9: 77: 84: 84: E1: 55: 8: Ex:
Համոզված եք, որ ցանկանում եք շարունակել կապը (այո / ոչ):
Հաստատեք, որ շարունակեք կապը: Հանրային բանալին ինքնաբերաբար պատճենվելու է լիազորվածագրերի կազմաձեւման ֆայլի ավարտին: Այս արտահանման կարգով հնարավոր է ավարտվել:
Մեթոդ 3. Ձեռնարկի պատճեն
Այս մեթոդը կհամապատասխանի այն օգտագործողներին, ովքեր նպատակային համակարգչին հեռավոր կապ ստեղծելու ունակություն չունեն, բայց դրանից ֆիզիկական մուտք կա: Այս դեպքում բանալին պետք է ինքնուրույն փոխանցվի: Սկսելու համար որոշեք դրա մասին տեղեկությունները սերվերի համակարգչում CAT- ի միջոցով ~ / .ssh / id_rsa.pub:
Վահանակը պետք է հայտնվի SSH-RSA լար + բանալին, որպես նիշերի շարք == Demo @ թեստ: Այժմ դուք կարող եք գնալ մեկ այլ համակարգիչ, որտեղ դուք պետք է ստեղծեք նոր գրացուցակ, մուտքագրելով MKDIR -P ~ / .ssh: Այն նաեւ ավելացնում է տեքստային ֆայլ, որը կոչվում է լիազորված_Keys: Մնում է միայն այնտեղ տեղադրել որոշակի ավելի վաղ առանցքային հանրային բանալու ռուքի միջոցով >> ~ / .ssh / լիազորված_Keys: Դրանից հետո վավերացումը հասանելի կլինի առանց նախնական գաղտնաբառի մուտքի: Դա արվում է SSH օգտվողի անունը @ remote_host հրամանի միջոցով, որտեղ օգտագործողի անունը պետք է փոխարինվի պահանջվող հյուրընկալողի անունով:
Համարվել է հենց նոր միջոցների նոր սարքի փոխանցման ուղիները `հնարավոր դարձնելու համար միանալ առանց գաղտնաբառ մուտք գործելու, բայց այժմ մուտքի ձեւը դեռ ցուցադրվում է: Իրերի այդպիսի դիրքը հարձակվողներին թույլ է տալիս մուտք գործել հեռավոր աշխատասեղան, պարզապես գաղտնաբառով: Հաջորդը առաջարկում ենք ապահովել անվտանգություն `կատարելով որոշակի պարամետրեր:
Անջատեք գաղտնաբառի վավերացումը
Ինչպես ավելի վաղ նշվեց, գաղտնաբառի վավերացման հնարավորությունը կարող է թույլ օղակ դառնալ հեռավոր կապի անվտանգության մեջ, քանի որ կան նման բանալիների սխալ գործելու միջոցներ: Մենք առաջարկում ենք անջատել այս տարբերակը, եթե ձեզ հետաքրքրում է ձեր սերվերի առավելագույն պաշտպանությունը: Դուք կարող եք դա անել այսպես.
- Բացեք / եւ այլն / SSH / SSHD_CONFIG կազմաձեւման ֆայլը ցանկացած հարմար տեքստի խմբագրիչի միջոցով, կարող է լինել, օրինակ, Gedit կամ Nano:
- Բացված ցանկում գտեք «գաղտնաբառիութիւնը» լարը եւ հեռացրեք # նշանը `այս հրամանը ակտիվացնելու համար: Փոխեք այո արժեքը `տարբերակը անջատելու համար:
- Ավարտելուց հետո սեղմեք Ctrl + O, փոփոխությունները պահպանելու համար:
- Մի փոխեք ֆայլի անվանումը, բայց պարզապես սեղմեք Enter, տեղադրումը օգտագործելու համար:
- Կարող եք թողնել տեքստի խմբագիրը `կտտացնելով Ctrl + X- ին:
- Բոլոր փոփոխությունները ուժի մեջ կմտնեն միայն SSH ծառայությունը վերագործարկելուց հետո, այնպես որ դա անմիջապես արեք Sudo Systemctl- ի վերագործարկման SSH- ի միջոցով:
Գործողությունների արդյունքում գաղտնաբառի վավերացման հնարավորությունը կասեցվելու է, եւ մուտքագրումը հասանելի կլինի միայն RSA- ի մի քանի ստեղներից հետո: Դիտարկենք սա, երբ նման կազմաձեւում:
Կարգավորելով Firewall- ի պարամետրը
Այսօրվա նյութի ավարտին մենք ուզում ենք պատմել firewall- ի կազմաձեւման մասին, որոնք կօգտագործվեն միացությունների թույլտվությունների կամ արգելումների համար: Մենք կանցնենք միայն հիմնական կետերով, վերցնելով ոչ բարդ Firewall (UFW):
- Նախ, եկեք ստուգենք առկա պրոֆիլների ցանկը: Մուտքագրեք SUDO UFW հավելվածների ցուցակը եւ կտտացրեք Enter- ին:
- Հաստատեք ակցիան `նշելով գերհզոր գաղտնաբառը:
- SSH- ն ցուցակի մեջ դնել: Եթե այս տողը ներկա է այնտեղ, նշանակում է, որ ամեն ինչ ճիշտ է գործում:
- Թույլ տվեք կապը այս կոմունալ ցանցի միջոցով, գրելով sudo ufw թույլ տալ, որ բացեք:
- Միացրեք Firewall- ը `կանոնները թարմացնելու համար: Դա արվում է Sudo UFW- ի միջոցով, միացնել հրամանը:
- Կարող եք ցանկացած պահի ստուգել Firewall- ի ներկայիս կարգավիճակը `մուտքագրելով SUDO UFW կարգավիճակը:
Այս գործընթացի վերաբերյալ, Debian- ի SSH կոնֆիգուրացիան ավարտված է: Ինչպես տեսնում եք, կան շատ տարբեր նրբություններ եւ կանոններ, որոնք պետք է դիտարկել: Իհարկե, մեկ հոդվածի շրջանակներում անհնար է տեղավորել բացարձակապես բոլոր տեղեկությունները, ուստի մենք միայն անդրադարձանք հիմնական տեղեկություններին: Եթե դուք հետաքրքրված եք այս կոմունալ ծառայությունների վերաբերյալ ավելի խորը տվյալներ ձեռք բերելով, խորհուրդ ենք տալիս ծանոթանալ դրա պաշտոնական փաստաթղթերին: