Wéi Dir wësst, déi oppe SSS-Technologie erlaabt Iech op e spezifesche Computer mat engem spezifesche Computer ze konnektéieren an iwwer déi gewielte geschützte Protokoll ze trëppelen. Dëst erlaabt Iech de gewielten Apparat z'entwéckelen an ze kontrolléieren, sécherzestellen, sécherzestellen fir wichteg Informatioun an och Passwierder. Heiansdo hunn d'Benotzer d'Noutwendegkeet duerch d'SSH ze verbannen, awer zousätzlech fir d'Utility selwer ze installéieren, ass et noutwendeg an zousätzlech Astellungen ze produzéieren. Mir wëllen haut doriwwer schwätzen, huelt d'Debiesch Verdeelung zum Beispill.
Personaliséiere SSH am Debian
Mir setzen de Verquissulatioun vum Biller, d'verschidde Schrëtt verdeelt eis nei fir fir d'Ëmstänn fir d'Ëmsammungen ze loossen a wat ganz ënnerschiddlech sollen einfach vu perséinleche Benotzerlungen. Loosst eis mat der Tatsage starten datt all Aktiounen am Strofraum néideg ginn a fuerdert d'Rechter vum Superkonnatatioun ze bestätegen, sou datt dës am Virausgramm konsultéieren.Installéieren SSH-Server an Ssh-Client
D'Ofkommes gëtt de Ssher am Standard Debatesche Fouverdeelungssystem abegraff ginn, wéinst all Funktiounen, wann déi néideg Dateien an ass kënnen net entstanen oder einfach sinn oder einfach Persounisen produzéieren. Wann Dir shsh-installéiere muss an ssh-Client an ssh-Client nei installéieren, verfollegen déi folgend Instruktiounen:
- Öffnen de Startmenu an starten den Terminal aus do. Dëst kann duerch den Standard Key Kombinatioun Ctrl + Alt + T. gemaach ginn
- Hei interesséiert Dir un der Sudo Apt install OpsSSSSSSH-Server Kommando deen verantwortlech ass fir de Serverdeel z'installéieren. Gitt et a klickt op Enter fir ze aktivéieren.
- Wéi Dir scho wësst, hutt d'Aktiounen mat der Sudo Argumentatioun gemaach andeems Dir aktivéiert gouf andeems Dir de Superusr Passwuert spezifizéiert gëtt. Betruecht datt d'Personnagen an dëser Linn aginn ginn ginn net ugewisen.
- Dir wäert informéiert ginn datt Packagen derbäigesat oder aktualiséiert ginn. Wann de SSH-Server scho installéiert ass, gëtt e Message op der Präsenz vum spezifizéierte Package installéiert.
- Duerno wäert Dir an de System derbäi ginn, fir de Client deen de Computer an der Zukunft verbonne gëtt. Fir dëst ze maachen, benotzt en ähnlechen Sudo apt-get install OpenSSSSSSSSSSSH-Client Kommando benotzt.
Et ginn nëmme méi zousätzlech Kompstellen op zousätzlech Komponent, op fir méiglech Komponent ze installéieren, kënnt Dir elo sécher op de Systemmagetterbagstellen a Websäit ze verbannen fir ze beméien an alles virzebréngen.
Server Management an iwwerpréift seng Aarbecht
Kuerz loosst eis kuerz op wéi de installéierte Server geréiert ginn an de Scheck seng Operatioun. Et muss gemaach ginn ier Dir op de Setup wiesselt fir sécherzestellen datt d'Funktioun vun den addéiere Komponenten richteg ass.
- Benotzt den Sudo Systemcectel aktivéiert shad Kommando fir e Server un den Autoois ze addéieren, wann et net automatesch geschitt. Wann Dir de Start vum Operatiounssystem muss annuléieren, benotzt Systemaktel SHLD deaktivéieren. Da waarden ech d'manuell Startpuoup fir systematel Start ze spezifizéieren.
- All esou Aktiounen muss absolut am Numm vum Supercuser duerchgefouert ginn, da musst Dir säi Passwuert aginn.
- Gitt de SSH Localhost Kommando fir de Server ze kontrolléieren fir Leeschtung. Ersetzen localhost op déi lokal Computeradress.
- Wann Dir fir d'éischt verbënnt, hutt Dir eventuéiert dat net verweis ess gefrot. Dëst geschitt well mir nach keng Sécherheetsastellungen hunn. Elo bestätegt just d'Fortsetzung vun der Verbindung andeems Dir jo erakënnt.
Füügt e Paart vun Rsa Schlësselen
Connectéiere vum Server beim Client a Vize versa iwwer ssh gëtt duerchgefouert, andeems Dir et recommandéiert ass fir de RSA Algorithms. Dës Zort Verschlësselung wäert et méiglech sinn optimal Schutz ze kreéieren, déi se hinne sinn, da wäert d'Attacke ronderëm sinn wann Dir probéiert ze hacken. Fir e puer Schlëssele just e puer Minutten ze addéieren, an et gesäit aus wéi dësen Prozess:
- Öffnen den "Terminal" a gitt ssh-Keygen do.
- Dir kënnt onofhängeg vun enger Plaz wielen wou Dir de Wee op de Schlëssel spuere wëllt. Wann et kee Wonsch ass et z'änneren, dréckt einfach den ENTER Schlëssel.
- Elo gëtt den oppenen Schlëssel erstallt. Et kann duerch e Code Ausdrock geschützt ginn. Gitt et an déi ugewisen String oder léisst eidel wann Dir dës Optioun net wëllt aktivéieren.
- Wann Dir an de Schlëssel Saz erakënnt muss et erëm präziséieren.
- Eng Notifikatioun vun der Schafung vun engem ëffentleche Schlëssel erschéngt. Wéi Dir kënnt gesinn, war hie eng Rei vun zoufälleg Symboler opgestallt an e Bild gouf op zoufälleg Algorithmen erstallt.
Dank der Aktioun gemaach, engem geheime an ëffentlech Schlëssel muss geschaf ginn. Si gëtt fir ëmklammen tëscht Apparater Équipe ginn. Elo muss Dir de Public Schlëssel Server Kopie, an du kanns vun verschidden Methoden dat maachen.
Kopie oppen Schlëssel Server
An Debian, ginn et dräi Méiglechkeeten mat deenen Dir de Public Schlëssel Server Kopie kann. Mir proposéiere direkt schliesslich selwer mat all hinnen fir d'optimal an Zukunft ze wielen. Dëst ass relevant an deene Situatiounen, wou ee vun de Methoden net heescht fit oder net de Besoine vun de Benotzer zefridden.
Method 1: SSH-Copy-ID Team
Loosst d'ufänken mat der Optioun einfach, datt d'Benotzung vun de Kommando SSH-COPY-ID beinhalt. Par défaut, ass dësen Déngscht schonn nees OS gebaut, also et muss net Pre-Installatioun. Seng Siwebiergen ass och déi einfach wéi méiglech, an Dir wäert esou Aktiounen Leeschtunge musst:
- Am erweidert, gitt dem Benotzernumm de SSH-Copy-ID Kommando @ remote_host an aktivéieren. Schounen der Benotzernumm @ remote_host op d'Adress vun der Zil- Computer sou datt SMS'en erfollegräich batter huet.
- Wann Dir éischt ze konnektéieren probéieren, Iech de Message "D'Authentizitéit vun QAbstractSocket" 203.0.113.1 (203.0.113.1) "gesinn kann net installéiert ECDSA KEY Fangerofdrock ASS FD:. FD: D4: F9: 77: virgezunnen: 73 84:: E1: 55: 00: AD: D6: 6D: 22:. géréiert Sidd Dir sécher, dass Dir Vernetzung a weidergespillt (JO / nEE) JO "?. Wielt eng positiv Äntwert op d'Verbindung weidergespillt.
- Duerno, wäert de Déngscht onofhängeg wéi Sich Aarbecht a Kopie de Schlëssel. Als Resultat, wann alles erfollegräich ass, der Meldung "/ USR / bin / SSH-Copy-ID" wäert op Écran schéngen: Infoen: Versuch an mat den neie Schlëssel (s) zu aloggen, wat, datt Sidd Alady zu Filter installéiert / USR / Bin / SSH-Copy-ID: Infoen: 1 Key (s) Bleift ze installéiert Be - wann Dir eng Suite sinn lo ass et déi nei Schlësselen [email protected]'s Passwuert ze installéieren: ". Dat heescht, datt Dir d'Passwuert aginn kann an Plënneren an direkt d'Erfindungen Desktop kontroléieren.
Zousätzlech, wäert ech dass no der éischter Erfolleg Autorisatioun am erweidert uginn, wäerten déi nächst Charakter erschéngen:
Zuel vun Key (S) gesot: 1
Elo probéieren nees Maschinn Logged, MAT: "SSH" [email protected] ""
A kontrolléieren sëcher ze maachen, datt nëmmen de Key (s) Dir bäigebaut Wanted.
Si seet, datt de Schlëssel erfollegräich zu engem Erfindungen Computer dobäi war a net méi all Problemer wäert sech, wann dir fir d 'Verbindung probéieren.
Method 2: Export Key duerch SSH
Wéi Dir wësst, gëtt d'Exportatioun vun enger öffentlecher Schlëssel erlaben Iech op der spezifizéierter Server ouni prealabel ze konnektéieren der Passwuert ze gitt. Elo, iwwerdeems de Schlëssel nach net op der Zil- Computer ass, kënnt Dir via SSH Verbindung vun der Passwuert Begoe sou datt dir manuell de gewënschte Fichier plënneren. Fir dëst ze maachen, an der erweidert da muss de Kommando Cat gitt ~ / .ssh / id_rsa.pub | SSH Benotzernumm @ Remote_Host "mkdir -P ~ / .ssh && upaken ~ / .ssh / authorized_keys && chmod -r goen = ~ / .ssh && Cat >> ~ / .ssh / authorized_keys."
Eng Matdeelung muss op Écran erschéngen.
D'Authentizitéit vum Host '203.11.1,1 (203.0.11.1)' kann net etabléiert ginn.
Ecddsa Schlëssel Fangerofdrock ass fd: D4: F9: 77: 7: 73: e1: e1: 5,00: 2: 2D:
Sidd Dir sécher, datt Dir weider maache wëllt (Jo / Neen)?
Confirméiert et fir d'Verbindung weider ze maachen. De Public Schlëssel gëtt automatesch op d'Enn vun der Autoriséierter_keys Konfiguratiounsdatei kopéiert. Op dësem Export Prozedur ass et méiglech fäerdeg ze sinn.
Method 3: manuell Kopie Schlëssel
Dës Method kritt déi Konsulatiounen déi keng Fäegkeet hunn eng Fernsabonnement zum Zilprojicce ze kreéieren, awer et gëtt kierperlechen Zougang. An dësem Fall muss de Fall onofhängegen en onwertbar ginn. Fir unzefänken, bestëmmen d'Informatioun iwwer et um Server PC iwwer Kaz ~ / .ssh / id_RSA.pub.
D'Konsol soll den SSH-RSA String + Schlëssel als e Set vu Personnagen maachen == Demo säin Test. Elo kënnt Dir op engem aneren Computer géi, wou Dir en neien Anddeg Zuch zielt andeems Dir mCDir -p ~ /8 ze erstellen. Et füügt och en Textdatei, deen autoriséierten_keys genannt. Et bleift nëmmen fir do e bestëmmte freedeg Schlëssel iwwer EOO + Row vun engem ëffentleche Schlëssel >> ~ / .ssh / autoriséierten_key / Autorisatiounen. Duerno gëtt Authentificatioun verfügbar ouni virdrun Passwuertentrée. Dëst gëtt duerch den SSH Benotzernumm gemaach @ Remote_host Kommando, wou de Benotzernumm @ Reme_host_host ersat gëtt, sollt de Numm vum erfuerderlechen Host ersat ginn.
WEE betruecht ëmmer wann ofstellt den ëffentlechen Tastoppe bei en neit Apparat iwwerdoen, fir ze leiden ouni de Formulaire unzeginn; ech ass nach ëmmer an der Entrée weiderzemaachen, awer de Formulatioun nach ëmmer an der Entrée weideriwwerlësche. Esou eng Positioun vun de Saachen erlaabt Ugräifer fir Zougang zum Remote Desktop ze kréien, einfach Passwuert. Nächst bidden mir fir d'Sécherheet ze garantéieren andeems Dir bestëmmte Astellunge maacht.
Desaktivéiere Passwuert Authentifikatioun
Wéi virdrun ernimmt ass, d'Méiglechkeet fir d'Authentifikatioun kann e schwaache Link an der Sécherheet vun enger Fernverbindung ginn, well et gëtt sou datt et e Schlësselen vermëttelt. Mir recommandéieren dës Optioun behënnert wann Dir am maximalen Schutz vun Ärem Server interesséiert sidd. Dir kënnt et esou maachen:
- Opluedstéieren den / etc / ssh / sshd_conFig Configurationsystemer via je komeschen Text Editeur, dat kann zum Beispill zum Beispill, GEDA oder NANO.
- An der Lëscht déi opstinn, fënnt de "Passwordartikder" Sait an läscht d'NA Sign fir dëse Kommando aktiv ze maachen. Verännert de Wäert vun Jo zu Nee fir d'Optioun auszeschalten.
- No der Fäerdegstellung, dréckt op Ctrl + o fir d'Ännerungen ze späicheren.
- Verännert net den Numm vun der Datei, awer dréckt einfach Press AGE fir de Sortau ze benotzen.
- Dir kënnt den Text Editeur verloossen andeems Dir op Ctrl + X klickt.
- All Ännerungen akzeptéieren nëmme nodeems de Ssh-Service un der Säit opgeratz hues Also also direkt iwwer USdo Sortiment ssh.
Als Resultat vun Aktiounen, wäert d'Méiglechkeet vun Passwuert Authentifikatioun behënnert sinn, an der Input ginn nëmmen no e puer vun RSA Schlësselen sinn ginn. Betruecht dëst wann eng ähnlech Konfiguratioun.
De Firewall Parameter konfiguréieren
Um Enn vum haalen vun haut, mir wëllen d'Kontroll iwwer d'Feindung zielen, wat vun Permfound ugräifen, déi Permfatioune vun de Verbriechen. Mir ginn nëmmen duerch d'Haaptpunkte laanscht, huelt den onkomplizéierte Firewall (UFW).
- Als éischt, da kuckt eis d'Lëscht vun existéierend Profiler un. Gitt d'Sudo uFW App Lëscht a klickt op Enter.
- Confirméiert d'Aktioun andeems Dir de Superuser Passwuert uginn.
- Leien ssh op der Lëscht. Wann dës Linn do präsent ass, heescht et, datt alles Funktiounen richteg.
- Erlaabt d'Verbindung duerch dëst Utility andeems Dir Sudo schreift Erlaabt Operesh.
- Maacht d'Firewall un fir d'Regelen ze aktualiséieren. Dëst gëtt duerch de Sudo UFW gemaach.
- Dir kënnt den aktuellen Zoustand vum Firewall zu all Moment iwwerpréiwen andeems Dir Sudo UFW Status aginn.
Op dësem Prozess steet d'Ssh-d'Nekolfra am Bekann komplett. Wéi Dir gesitt kann, ginn et vill verschiddenen Nuancen an Regelen, gin observéiert brauchen. Am Joer, am Kader mat deene Artikel dat kann et net absolut Internet mat Situatiounen unzefänken, also hu mir nëmmen op Basisinformatioun. Wann een deel Moment interesséiert sidd méi priwient Daten iwwer dës Appsatelen ze kréien, mir bewefferen Iech mat senger offiziell Datatite ze begleegen.