Come sapete, la tecnologia Apri SSH consente di connettersi in remoto a un computer specifico e trasmettere dati tramite il protocollo protetto selezionato. Ciò consente di implementare e controllare completamente il dispositivo selezionato, garantendo lo scambio sicuro di informazioni importanti e persino le password. A volte gli utenti hanno la necessità di connettersi tramite SSH, ma oltre a installare l'utilità stessa, è necessario produrre e ulteriori impostazioni. Oggi vogliamo parlarne oggi, prendendo la distribuzione Debian per l'esempio.
Personalizza SSH in Debian
Dividiamo il processo di configurazione in diversi passaggi, poiché ciascuno è responsabile per l'implementazione di specifiche manipolazioni e potrebbe essere semplicemente utile a determinati utenti, che dipende dalle preferenze personali. Iniziamo con il fatto che tutte le azioni saranno effettuate nella console e dovranno confermare i diritti del superutente, quindi preparati in anticipo.Installazione di SSH-Server e SSH-Client
Per impostazione predefinita, la SSH è inclusa nel set di utilità del sistema operativo Debian standard, tuttavia, a causa di qualsiasi funzione, i file necessari possono essere oltraggi o semplicemente assenti, ad esempio, quando l'utente ha prodotto manualmente la disinstallazione. Se è necessario pre-installare SSH-Server e SSH-Client, seguire le seguenti istruzioni:
- Aprire il menu Start e avvia il terminale da lì. Questo può essere fatto attraverso la combinazione di tasti standard Ctrl + Alt + T.
- Qui sei interessato al comando Sudo Apt Installa il comando OpenSSH-Server che è responsabile dell'installazione della parte del server. Inseriscilo e fai clic su Invio per attivare.
- Come già sai, le azioni eseguite con l'argomento sudo dovranno essere attivate specificando la password del superutente. Considera che i caratteri inseriti in questa linea non vengono visualizzati.
- Sarai avvisato che i pacchetti vengono aggiunti o aggiornati. Se il server SSH è già installato in Debian, viene visualizzato un messaggio sulla presenza del pacchetto specificato.
- Successivamente, è necessario aggiungere al sistema e la parte client, come per il computer a cui la connessione sarà collegata in futuro. Per fare ciò, utilizzare un simile comando APT-Ottieni installazione di APT-Ottieni un comando client.
Non ci sono altri componenti aggiuntivi per installare eventuali componenti aggiuntivi, è ora possibile passare in modo sicuro ai file di gestione e configurazione del server per creare tasti e preparare tutto per connettersi ulteriormente al desktop remoto.
Gestione del server e controllo del suo lavoro
In breve, concentriamo su come è gestito il server installato e il controllo del suo funzionamento. Deve essere fatto prima di passare alla configurazione per assicurarsi che il funzionamento dei componenti aggiunti sia corretto.
- Utilizzare il comando sshd sshd systemctl abilita per aggiungere un server a Autoload, se non si verifica automaticamente. Se è necessario annullare il lancio con il sistema operativo, utilizzare Systemctl Disabilita SSHD. Quindi sarà necessario l'avvio manuale per specificare Systemctl Start SSHD.
- Tutte queste azioni devono assolutamente essere sempre eseguite per conto del superutente, quindi è necessario inserire la sua password.
- Immettere il comando localhost SSH per verificare il server per le prestazioni. Sostituire localhost sull'indirizzo del computer locale.
- Quando ti connetti per la prima volta, riceverai una notifica che la fonte non è verificata. Questo succede perché non abbiamo ancora impostato le impostazioni di sicurezza. Ora confermare la continuazione della connessione inserendo Sì.
Aggiunta di una coppia di tasti RSA
Connessione dal server al client e viceversa VIA VIA VIA viene eseguita immettendo una password, tuttavia, si consiglia di creare una coppia di chiavi che verranno sviluppati attraverso gli algoritmi RSA. Questo tipo di crittografia consentirà di creare una protezione ottimale, che sarà difficile spostarsi attorno all'attaccante quando si cerca di hackerare. Per aggiungere un paio di chiavi solo pochi minuti, e sembra questo processo:
- Apri il "Terminale" e inserisci SSH-Keygen lì.
- È possibile scegliere in modo indipendente un luogo in cui si desidera salvare il percorso verso la chiave. Se non c'è alcun desiderio di cambiarlo, basta premere il tasto INVIO.
- Ora viene creata la chiave aperta. Può essere protetto da una frase di codice. Inseriscilo nella stringa visualizzata o lascia vuoto se non si desidera attivare questa opzione.
- Quando si immette la frase chiave dovrà specificarlo di nuovo per confermare.
- Apparirà una notifica della creazione di una chiave pubblica. Come puoi vedere, è stato assegnato un set di simboli casuali e un'immagine è stata creata su algoritmi casuali.
Grazie all'azione fatta, è stata creata una chiave segreta e pubblica. Saranno coinvolti per il collegamento tra i dispositivi. Ora devi copiare la chiave pubblica sul server e puoi farlo con metodi diversi.
Copia il tasto Apri per il server
In Debian, ci sono tre opzioni con cui è possibile copiare la chiave pubblica sul server. Suggeriamo immediatamente familiarizzare con tutte le loro per scegliere il punto ottimale in futuro. Questo è rilevante in quelle situazioni in cui uno dei metodi non si adatta o non soddisfano le esigenze dell'utente.
Metodo 1: squadra SSH-Copia-ID
Iniziamo con l'opzione più semplice che implica l'uso del comando SSH-Copia-ID. Per impostazione predefinita, questa utility è già integrata nel sistema operativo, quindi non ha bisogno di pre-installazione. La sua sintassi è anche il più semplice possibile, e dovrai eseguire tali azioni:
- Nella console, inserire il comando SSH-Copia-ID sul nome utente @ remote_host e attivarlo. Sostituire il nome utente @ remoto_host all'indirizzo del computer di destinazione in modo che l'invio sia passato correttamente.
- Quando provi a connetterti, vedrai il messaggio "L'autenticità dell'host '203.0.113.1 (203.0.113.1)' non può essere stabilito. ECDSA Key Fingerprint è FD: FD: D4: F9: 77: Fe: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: FE. Sei sicuro di voler continuare a connettersi (sì / no)? "Sì." Seleziona una risposta positiva per continuare la connessione.
- Successivamente, l'utilità funziona in modo indipendente come ricerca e copia la chiave. Di conseguenza, se tutto è andato correttamente, la notifica "/ usr / bin / ssh-id-id apparirà sullo schermo: Info: Tentativo di accedere con le nuove chiave (s), per filtrare qualsiasi Alady INSTALLATO / USR / BIN / SSH-COPY-ID: INFO: 1 chiave (s) rimangono da installare - Se viene richiesto ora è installare i nuovi tasti [email protected] ". Ciò significa che è possibile inserire la password e spostarsi per controllare direttamente il desktop remoto.
Inoltre, specificherò che dopo la prima autorizzazione di successo nella console, apparirà il prossimo carattere:
Numero di tasti aggiunti: 1
Ora prova ad accedere alla macchina, con: "ssh '[email protected]'"
E controlla per assicurarti che solo le chiavi che desideri siano state aggiunte.
Dice che la chiave è stata aggiunta con successo a un computer remoto e non si verificherà più problemi quando si tenta di connettersi.
Metodo 2: chiave di esportazione tramite SSH
Come sapete, l'esportazione di una chiave pubblica ti consentirà di connettersi al server specificato senza inserire la password. Ora, mentre la chiave non è ancora nel computer di destinazione, è possibile connettersi tramite SSH immettendo la password in modo da spostare manualmente il file desiderato. Per fare questo, nella console dovrai inserire il comando gatto ~ / .sssh / id_rsa.pub | USERNAME SSH @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / autorizzato_Keys && chmod -r go = ~ / .ssh && cat >> ~ / .ssh / autorizzato_Keys."
Una notifica deve apparire sullo schermo.
L'autenticità dell'host '203.0.113.1 (203.0.113.1)' non può essere stabilita.
ECDSA Key Fingerprint è FD: FD: D4: F9: 77: Fe: 73: 84: E1: 55: 00: AD: D6: 6D: 22: Fe.
Sei sicuro di voler continuare a connetterti (sì / no)?.
Confermare per continuare la connessione. La chiave pubblica verrà automaticamente copiata fino alla fine del file di configurazione autorizzato_Keys. Su questa procedura di esportazione, è possibile finire.
Metodo 3: chiave di copia manuale
Questo metodo si adatta a tali utenti che non hanno la capacità di creare una connessione remota al computer di destinazione, ma c'è l'accesso fisico ad esso. In questo caso, la chiave dovrà essere trasferita in modo indipendente. Per cominciare, determinare le informazioni su questo sul PC del server tramite cat ~ / .sssh / id_rsa.pub.
La console dovrebbe apparire il tasto SSH-RSA String + come un set di caratteri == DEMO @ Test. Ora puoi andare in un altro computer, dove dovresti creare una nuova directory inserendo MKDIR -P ~ / .ssh. Aggiunge anche un file di testo chiamato autorizzato_Keys. Rimane solo per inserire lì una certa chiave precedente tramite echo + riga di una chiave pubblica >> ~ / .ssh / autorizzato_keys. Successivamente, l'autenticazione sarà disponibile senza una precedente voce della password. Questo viene fatto attraverso il comando ssh username @ remote_host, dove il nome utente @ remote_host deve essere sostituito con il nome dell'host richiesto.
Considerato solo i modi consentiti di trasferire una chiave pubblica su un nuovo dispositivo per consentire la connessione senza inserire la password, ma ora il modulo sulla voce è ancora visualizzato. Tale posizione di cose consente agli attaccanti di accedere al desktop remoto, semplicemente la password. Successivamente offriamo di garantire la sicurezza eseguendo determinate impostazioni.
Disabilita l'autenticazione della password
Come accennato in precedenza, la possibilità di un'autenticazione della password può diventare un collegamento debole nella sicurezza di una connessione remota, poiché ci sono mezzi di chiavi errata di tali tali. Si consiglia di disabilitare questa opzione se siete interessati alla massima protezione del tuo server. Puoi farlo come questo:
- Aprire il file di configurazione / etc / ssh / sshd_config tramite qualsiasi comodo editor di testo, potrebbe essere, ad esempio, GEDIT o NANO.
- Nell'elenco che apre, trova la stringa "PasswordAuthentication" e rimuovi il segno # per rendere questo comando attivo. Modificare il valore di Sì a No per disabilitare l'opzione.
- Al termine, premere Ctrl + O per salvare le modifiche.
- Non modificare il nome del file, ma semplicemente premere INVIO per utilizzare l'installazione.
- Puoi lasciare l'editor di testo facendo clic su Ctrl + X.
- Tutte le modifiche avranno effetto solo dopo aver riavviato il servizio SSH, quindi fallo immediatamente tramite Sudo Systemctl riavvio SSH.
Come risultato delle azioni, la possibilità di un'autenticazione della password sarà disabilitata e l'input sarà disponibile solo dopo un paio di chiavi RSA. Considera questo quando una configurazione simile.
Configurazione del parametro firewall
Alla fine del materiale di oggi, vogliamo raccontare la configurazione del firewall, che verrà utilizzato per autorizzazioni o proibiti dei composti. Passeremo solo dai punti principali, prendendo il firewall senza complicazioni (UFW).
- Innanzitutto, controlliamo l'elenco dei profili esistenti. Inserisci l'elenco App sudo UFW e fai clic su Invio.
- Confermare l'azione specificando la password del superutente.
- Laici SSH nella lista. Se questa linea è presente lì, significa che tutto funziona correttamente.
- Lasciare che la connessione attraverso questa utilità scrivendo sudo ufw consente a openssh.
- Accendi il firewall per aggiornare le regole. Questo viene fatto tramite il comando di abilitazione Sudo UFW.
- È possibile controllare lo stato corrente del firewall in qualsiasi momento inserendo lo stato sudo UFW.
Su questo processo, la configurazione SSH in Debian è completa. Come puoi vedere, ci sono molte sfumature e regole diverse che devono essere osservate. Naturalmente, nel quadro di un articolo, è impossibile adattare assolutamente tutte le informazioni, quindi abbiamo toccato solo le informazioni di base. Se sei interessato ad ottenere dati più approfonditi su questa utilità, ti consigliamo di familiarizzare con la sua documentazione ufficiale.