Seperti yang Anda ketahui, teknologi Open SSH memungkinkan Anda untuk terhubung dengan jarak jauh ke komputer tertentu dan mengirimkan data melalui protokol yang dipilih. Ini memungkinkan Anda untuk mengimplementasikan dan mengendalikan sepenuhnya perangkat yang dipilih, memastikan pertukaran informasi penting yang aman dan bahkan kata sandi. Terkadang pengguna memiliki kebutuhan untuk terhubung melalui SSH, tetapi selain memasang utilitas itu sendiri, perlu untuk menghasilkan dan pengaturan tambahan. Kami ingin membicarakannya hari ini, mengambil distribusi Debian untuk contoh.
Kustomisasi SSH di Debian
Kami membagi proses konfigurasi menjadi beberapa langkah, karena masing-masing bertanggung jawab atas implementasi manipulasi spesifik dan mungkin berguna bagi pengguna tertentu, yang tergantung pada preferensi pribadi. Mari kita mulai dengan fakta bahwa semua tindakan akan dibuat di konsol dan perlu mengkonfirmasi hak-hak superuser, jadi bersiaplah untuk ini sebelumnya.Menginstal SSH-Server dan SSH-Client
Secara default, SSH termasuk dalam set utilitas sistem operasi Debian standar, namun, karena fitur apa pun, file yang diperlukan dapat menjadi kemarahan atau tidak ada, misalnya, ketika pengguna menghasilkan penghapusan secara manual. Jika Anda perlu mengatur pra-server SSH dan SSH-CLIEST, ikuti instruksi berikut:
- Buka menu Start dan mulai terminal dari sana. Ini dapat dilakukan melalui kombinasi tombol standar Ctrl + Alt + T.
- Di sini Anda tertarik pada sudo apt install perintah openssh-server yang bertanggung jawab untuk menginstal bagian server. Masukkan dan klik Enter untuk mengaktifkan.
- Seperti yang sudah Anda ketahui, tindakan yang dilakukan dengan argumen sudo perlu diaktifkan dengan menentukan kata sandi superuser. Pertimbangkan bahwa karakter yang dimasukkan dalam baris ini tidak ditampilkan.
- Anda akan diberi tahu bahwa paket ditambahkan atau diperbarui. Jika SSH-server sudah diinstal pada Debian, sebuah pesan muncul di hadapan paket yang ditentukan.
- Selanjutnya, Anda harus menambahkan ke sistem dan bagian klien, seperti untuk komputer yang koneksi akan terhubung di masa depan. Untuk melakukan ini, gunakan perintah Sudo Apt-get serupa instal openssh-client.
Tidak ada komponen tambahan untuk menginstal komponen tambahan apa pun, Anda sekarang dapat dengan aman beralih ke file manajemen dan file konfigurasi untuk membuat kunci dan menyiapkan semuanya untuk menghubungkan lebih lanjut ke desktop jarak jauh.
Manajemen server dan memeriksa pekerjaannya
Secara singkat mari kita fokus pada bagaimana server yang diinstal dikelola dan pemeriksaan operasinya. Itu harus dilakukan sebelum beralih ke pengaturan untuk memastikan bahwa fungsi komponen yang ditambahkan sudah benar.
- Gunakan SUDO SystemCTL Aktifkan perintah SSHD untuk menambahkan server ke autoload, jika itu tidak terjadi secara otomatis. Jika Anda perlu membatalkan peluncuran dengan sistem operasi, gunakan SystemCTL menonaktifkan SSHD. Kemudian startup manual akan diperlukan untuk menentukan SystemCTL Start SSHD.
- Semua tindakan seperti itu sama sekali harus selalu dilakukan atas nama superuser, jadi Anda perlu memasukkan kata sandinya.
- Masukkan perintah ssh localhost untuk memeriksa server untuk kinerja. Ganti localhost ke alamat komputer lokal.
- Ketika Anda pertama kali menghubungkan, Anda akan diberitahu bahwa sumber tidak diverifikasi. Ini terjadi karena kami belum menetapkan pengaturan keamanan. Sekarang cukup konfirmasikan kelanjutan koneksi dengan memasukkan ya.
Menambahkan sepasang kunci RSA
Menghubungkan dari server ke klien dan sebaliknya melalui SSH dilakukan dengan memasukkan kata sandi, namun, disarankan untuk membuat sepasang kunci yang akan dikembangkan melalui algoritma RSA. Jenis enkripsi ini akan memungkinkan untuk membuat perlindungan optimal, yang akan sulit untuk berkeliling penyerang ketika mencoba meretas. Untuk menambahkan sepasang kunci hanya beberapa menit, dan sepertinya proses ini:
- Buka "terminal" dan masukkan ssh-keygen di sana.
- Anda dapat secara mandiri memilih tempat di mana Anda ingin menyimpan jalur ke kunci. Jika tidak ada keinginan untuk mengubahnya, cukup tekan tombol Enter.
- Sekarang kunci terbuka dibuat. Ini dapat dilindungi oleh frasa kode. Masukkan dalam string yang ditampilkan atau biarkan kosong jika Anda tidak ingin mengaktifkan opsi ini.
- Saat memasukkan frasa kunci harus menentukan lagi untuk mengonfirmasi.
- Pemberitahuan penciptaan kunci publik akan muncul. Seperti yang Anda lihat, ia ditugaskan satu set simbol acak, dan gambar dibuat pada algoritma acak.
Berkat tindakan yang dilakukan, kunci rahasia dan publik telah dibuat. Mereka akan terlibat untuk menghubungkan antar perangkat. Sekarang Anda harus menyalin kunci publik ke server, dan Anda dapat melakukan ini dengan metode yang berbeda.
Salin kunci terbuka ke server
Di Debian, ada tiga opsi yang dengannya Anda dapat menyalin kunci publik ke server. Kami sarankan segera membiasakan diri dengan semua mereka untuk memilih yang optimal di masa depan. Ini relevan dalam situasi di mana salah satu metode tidak cocok atau tidak memenuhi kebutuhan pengguna.
Metode 1: Tim SSH-Copy-ID
Mari kita mulai dengan opsi paling sederhana yang menyiratkan penggunaan perintah SSH-Copy-ID. Secara default, utilitas ini sudah dibangun ke dalam OS, sehingga tidak perlu pra-instalasi. Sintaksnya juga yang paling sederhana mungkin, dan Anda perlu melakukan tindakan seperti itu:
- Di konsol, masukkan perintah SSH-Copy-ID ke nama pengguna @ remote_host dan aktifkan. Ganti nama pengguna @ remote_host ke alamat komputer target sehingga pengiriman telah berhasil berlalu.
- Ketika Anda pertama kali mencoba untuk terhubung, Anda akan melihat pesan "Keaslian host '203.0.113.1 (203.0.113.1)' tidak dapat dibuat. ECDSA kunci sidik jari adalah FD: FD: D4: FE: 77: FE: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: Fe. Apakah Anda yakin ingin terus menghubungkan (ya / tidak)? " Pilih jawaban positif untuk melanjutkan koneksi.
- Setelah itu, utilitas akan secara independen bekerja sebagai pencarian dan menyalin kunci. Akibatnya, jika semuanya berhasil, notifikasi "/ usr / bin / ssh-copy-id" akan muncul di layar: Info: Mencoba masuk dengan kunci baru, untuk menyaring apa pun yang Alady Diinstal / usr / bin / ssh-copy-id: Info: 1 Key (s) tetap diinstal - jika Anda diminta sekarang akan menginstal kunci baru [email protected]'s kata sandi: ". Ini berarti Anda dapat memasukkan kata sandi dan pindah ke langsung mengendalikan desktop jarak jauh.
Selain itu, saya akan menentukan bahwa setelah otorisasi pertama yang berhasil di konsol, karakter berikutnya akan muncul:
Jumlah Kunci Ditambahkan: 1
Sekarang coba masuk ke mesin, dengan: "ssh '[email protected]'"
Dan periksa untuk memastikan bahwa hanya kunci yang Anda inginkan ditambahkan.
Dikatakan bahwa kuncinya berhasil ditambahkan ke komputer jarak jauh dan tidak lagi masalah yang akan muncul ketika Anda mencoba untuk terhubung.
Metode 2: Kunci Ekspor melalui SSH
Seperti yang Anda ketahui, ekspor kunci publik akan memungkinkan Anda untuk terhubung ke server yang ditentukan tanpa sebelum memasukkan kata sandi. Sekarang, sedangkan kuncinya belum pada komputer target, Anda dapat terhubung melalui SSH dengan memasukkan kata sandi sehingga Anda memindahkan file yang diinginkan secara manual. Untuk melakukan ini, di konsol Anda harus memasukkan perintah kucing ~ / .ssh / id_rsa.pub | Ssh username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / otorikan_keys && chmod -r go = ~ / .ssh && cat> ~ /
Pemberitahuan harus muncul di layar.
Keaslian host '203.0.113.1 (203.0.113.1)' tidak dapat ditetapkan.
ECDSA key fingerprint adalah FD: FD: D4: F9: F9: F9: 77: FE: 73: 84: E1: 55: 00: AD: 6D: 22: Fe.
Apakah Anda yakin ingin terus menghubungkan (ya / tidak)?
Konfirmasikan untuk melanjutkan koneksi. Kunci publik akan secara otomatis disalin ke akhir file konfigurasi otorisasi_Keys. Pada prosedur ekspor ini, dimungkinkan untuk selesai.
Metode 3: Kunci salinan manual
Metode ini akan sesuai dengan pengguna yang tidak memiliki kemampuan untuk membuat koneksi jarak jauh ke komputer target, tetapi ada akses fisik ke sana. Dalam hal ini, kuncinya harus ditransfer secara independen. Untuk memulainya, tentukan informasi tentang hal itu di server PC melalui Cat ~ / .ssh / id_rsa.pub.
Konsol harus muncul tombol SSH-RSA string + sebagai satu set karakter == demo @ test. Sekarang Anda dapat pergi ke komputer lain, di mana Anda harus membuat direktori baru dengan memasukkan mkdir -p ~ / .ssh. Ini juga menambahkan file teks yang disebut otorisasi_Keys. Tetap hanya untuk memasukkan ke sana kunci sebelumnya melalui ECHO + baris kunci publik >> ~ / .ssh / otorisasi_Keys. Setelah itu, otentikasi akan tersedia tanpa entri kata sandi sebelumnya. Ini dilakukan melalui perintah SSH Username @ remote_host, di mana nama pengguna @ remote_host harus diganti dengan nama host yang diperlukan.
Dianggap saja cara-cara yang diizinkan untuk mentransfer kunci publik ke perangkat baru untuk memungkinkan terhubung tanpa memasukkan kata sandi, tetapi sekarang formulir pada entri masih ditampilkan. Posisi hal-hal tersebut memungkinkan penyerang untuk mengakses desktop jarak jauh, cukup kata sandi. Selanjutnya kami menawarkan untuk memastikan keamanan dengan melakukan pengaturan tertentu.
Nonaktifkan otentikasi kata sandi
Seperti disebutkan sebelumnya, kemungkinan otentikasi kata sandi dapat menjadi tautan yang lemah dalam keamanan koneksi jarak jauh, karena ada cara untuk menyalahgunakan kunci tersebut. Kami merekomendasikan menonaktifkan opsi ini jika Anda tertarik dengan perlindungan maksimal server Anda. Anda dapat melakukannya seperti ini:
- Buka file konfigurasi / etc / sshd_config via editor teks yang nyaman, mungkin, misalnya, gedit atau nano.
- Dalam daftar yang terbuka, temukan string "passwordAuthentication" dan hapus tanda # untuk membuat perintah ini aktif. Ubah nilai ya untuk tidak menonaktifkan opsi.
- Setelah selesai, tekan Ctrl + O untuk menyimpan perubahan.
- Jangan mengubah nama file, tetapi cukup tekan Enter untuk menggunakan pengaturan.
- Anda dapat meninggalkan editor teks dengan mengklik Ctrl + X.
- Semua perubahan akan berlaku hanya setelah memulai kembali layanan SSH, jadi lakukan segera melalui sudo systemCTL restart ssh.
Sebagai akibat dari tindakan, kemungkinan otentikasi kata sandi akan dinonaktifkan, dan input hanya akan tersedia setelah beberapa tombol RSA. Pertimbangkan ini ketika konfigurasi serupa.
Mengkonfigurasi parameter firewall
Pada akhir materi saat ini, kami ingin mengetahui konfigurasi firewall, yang akan digunakan untuk izin atau pelaporan senyawa. Kami hanya akan lewat dengan poin utama, mengambil firewall yang tidak rumit (UFW).
- Pertama, mari kita periksa daftar profil yang ada. Masukkan daftar aplikasi Sudo UFW dan klik Enter.
- Konfirmasikan tindakan dengan menentukan kata sandi superuser.
- Lay SSH dalam daftar. Jika garis ini ada di sana, itu berarti semuanya berfungsi dengan benar.
- Biarkan koneksi melalui utilitas ini dengan menulis sudo ufw memungkinkan openssh.
- Nyalakan firewall untuk memperbarui aturan. Ini dilakukan melalui perintah sudo UFW.
- Anda dapat memeriksa status firewall saat ini kapan saja dengan memasukkan status sudo UFW.
Pada proses ini, konfigurasi SSH di Debian selesai. Seperti yang Anda lihat, ada banyak nuansa dan aturan berbeda yang perlu diperhatikan. Tentu saja, dalam kerangka satu artikel, tidak mungkin agar sesuai dengan semua informasi, jadi kami hanya menyentuh informasi dasar. Jika Anda tertarik untuk memperoleh lebih banyak data secara mendalam tentang utilitas ini, kami menyarankan Anda untuk membiasakan diri dengan dokumentasi resminya.