Kā jūs zināt, Open SSH tehnoloģija ļauj attālināti izveidot savienojumu ar konkrētu datoru un nosūtīt datus, izmantojot izvēlēto aizsargāto protokolu. Tas ļauj jums īstenot un pilnībā kontrolēt izvēlēto ierīci, nodrošinot drošu svarīgas informācijas apmaiņu un pat paroles. Dažreiz lietotājiem ir nepieciešams izveidot savienojumu ar SSH, bet papildus instalēšanai lietderība pati, tas ir nepieciešams, lai ražotu un papildu iestatījumus. Mēs vēlamies runāt par to šodien, ņemot Debian izplatīšanu piemēru.
Pielāgojiet ssh debianc
Mēs sadalām konfigurācijas procesu vairākos posmos, jo katrs ir atbildīgs par konkrētu manipulāciju īstenošanu, un tas vienkārši var būt noderīgs dažiem lietotājiem, kas ir atkarīgi no personīgām vēlmēm. Sāksim ar to, ka visas darbības tiks veiktas konsolē un būs jāapstiprina superusera tiesības, tāpēc to sagatavojieties iepriekš.SSH-servera un SSH-Client instalēšana
Pēc noklusējuma SSH ir iekļauta standarta debian operētājsistēmas lietderības komplektā, tomēr, pateicoties visām funkcijām, nepieciešamie faili var būt sašutums vai vienkārši klāt, piemēram, ja lietotājs manuāli ražo atinstalēšanu. Ja jums ir nepieciešams iepriekš instalēt SSH-Server un SSH-Client, izpildiet šādus norādījumus:
- Atveriet izvēlni Sākt un sākt termināli no turienes. To var izdarīt, izmantojot standarta taustiņu kombināciju Ctrl + Alt + T.
- Šeit jūs interesē Sudo Apt instalēt openssh-servera komandu, kas ir atbildīga par uzstādīšanu servera daļu. Ievadiet to un noklikšķiniet uz Enter, lai aktivizētu.
- Kā jūs jau zināt, darbības, kas veiktas ar sudo argumentu, būs jāaktivizē, norādot superUser paroli. Apsveriet, ka šajā rindā ievadītās rakstzīmes netiek rādītas.
- Jums tiks paziņots, ka iepakojumi tiek pievienoti vai atjaunināti. Ja SSH-serveris jau ir instalēts debianc, ziņojums parādās uz norādītā iepakojuma klātbūtnē.
- Tālāk jums būs jāpievieno sistēmai un klienta daļai, jo datoram, kuram būs pievienots savienojums nākotnē. Lai to izdarītu, izmantojiet līdzīgu sudo apt-Get Install Openssh-Client komandu.
Nav vairāk papildu komponentu, lai instalētu jebkuru papildu komponentus, jūs varat droši pārslēgties uz servera pārvaldību un konfigurācijas failus, lai izveidotu taustiņus un sagatavotu visu, lai vēl vairāk savienotu ar attālo darbvirsmu.
Servera pārvaldība un viņa darba pārbaude
Īsi pieņemsim koncentrēties uz to, kā instalētais serveris ir pārvaldīts un pārbaudi tās darbību. Tas jādara, pirms pārslēgšanās uz iestatīšanu, lai pārliecinātos, ka pievienoto komponentu darbība ir pareiza.
- Izmantojiet sudo systemctl iespējojiet SSSD komandu, lai pievienotu serveri automātiskai automašīnai, ja tas nenotiek automātiski. Ja jums ir nepieciešams atcelt palaišanu ar operētājsistēmu, izmantojiet SystemcTl Atspējot SSHD. Tad manuālā starta būs nepieciešama, lai norādītu Systemctl Start SSHD.
- Visas šādas darbības ir absolūti jāveic superusera vārdā, tāpēc jums ir jāievada viņa parole.
- Ievadiet SSH localHost komandu, lai pārbaudītu serveri veiktspēju. Nomainiet lokālo vietējo datora adresi.
- Kad pirmo reizi izveidojat savienojumu, jums tiks paziņots, ka avots nav pārbaudīts. Tas notiek tāpēc, ka mēs vēl neesam iestatījuši drošības iestatījumus. Tagad vienkārši apstipriniet savienojuma turpināšanu, ievadot Jā.
Pievienojot pāris RSA atslēgas
Savienojums no servera uz klientu un otrādi caur SSH tiek veikta, ievadot paroli, tomēr ir ieteicams izveidot pāris taustiņus, kas tiks izstrādāti, izmantojot RSA algoritmus. Šāda veida šifrēšana ļaus radīt optimālu aizsardzību, kas būs grūti nokļūt ap uzbrucēju, mēģinot kapāt. Lai pievienotu pāris taustiņus tikai dažas minūtes, un izskatās šāds process:
- Atveriet "termināli" un tur ievadiet SSH-Keygen.
- Jūs varat patstāvīgi izvēlēties vietu, kur vēlaties saglabāt ceļu uz atslēgu. Ja nav vēlēšanās to mainīt, vienkārši nospiediet taustiņu Enter.
- Tagad tiek izveidota atvērta atslēga. To var aizsargāt ar koda frāzi. Ievadiet to parādītajā virknē vai atstājiet tukšu, ja nevēlaties aktivizēt šo iespēju.
- Ievadot atslēgas frāzi, tas vēlreiz jānorāda, lai apstiprinātu.
- Paziņojums par publiskas atslēgas izveidi parādīsies. Kā jūs redzat, viņam tika piešķirts izlases simbolu kopums, un attēls tika izveidots nejaušā algoritmos.
Pateicoties darījumam, ir izveidota slepena un publiska atslēga. Tie būs iesaistīti savieno starp ierīcēm. Tagad jums ir kopēt publisko atslēgu uz serveri, un jūs varat to izdarīt ar dažādām metodēm.
Kopēt atvērtu taustiņu uz serveri
Debian, ir trīs iespējas, ar kurām jūs varat kopēt publisko atslēgu uz serveri. Mēs iesakām nekavējoties iepazīties ar visiem viņiem, lai nākotnē izvēlētos optimālu. Tas attiecas uz tām situācijām, kad viena no metodēm neatbilst vai neatbilst lietotāja vajadzībām.
1. metode: SSH-Copy-ID komanda
Sāksim ar vienkāršāko iespēju, kas nozīmē izmantot SSH-Copy-ID komandu. Pēc noklusējuma šī lietderība jau ir iebūvēta OS, tāpēc tai nav nepieciešama iepriekšēja uzstādīšana. Tās sintakse ir visvienkāršākā, cik vien iespējams, un jums būs nepieciešams veikt šādas darbības:
- Konsolē ievadiet SSH-Copy-ID komandu lietotājvārdam @ Remote_Host un aktivizējiet to. Nomainiet lietotājvārdu @ Remote_host uz mērķa datora adresi, lai nosūtīšana ir veiksmīgi nodota.
- Kad jūs vispirms mēģināt izveidot savienojumu, jūs redzēsiet ziņu "saimnieka autentiskums" 203.0.113.1 (203.0.113.1) "nevar izveidot. ECDDSA atslēgu pirkstu nospiedums ir FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: FE. Vai esat pārliecināts, ka vēlaties turpināt savienojumu (jā / nē)? Jā. " Lai turpinātu savienojumu, izvēlieties pozitīvu atbildi.
- Pēc tam lietderība patstāvīgi darbosies kā atslēgas meklēšanu un kopēšanu. Tā rezultātā, ja viss gāja veiksmīgi, ekrānā parādīsies paziņojums "/ usr / bin / ssh-copy-id" Instalēts / usr / bin / ssh-Copy-ID: Info: 1 Atslēga (-i) paliek instalēta - ja jums tiek piedāvāts tagad tas ir instalēt jaunus taustiņus [email protected]'s paroli: ". Tas nozīmē, ka jūs varat ievadīt paroli un pārvietot tieši kontrolēt attālo darbvirsmu.
Turklāt es precizēšu, ka pēc pirmā veiksmīgā atļauja konsolē parādīsies nākamais raksturs:
Pievienots atslēgas (-u) skaits: 1
Tagad mēģiniet pieteikties mašīnā, ar: "ssh" [email protected] ""
Un pārbaudiet, vai tika pievienots tikai vēlamais taustiņš (-i).
Tajā teikts, ka atslēga tika veiksmīgi pievienota attālajam datoram un vairs nav nekādas problēmas radīsies, kad mēģināt izveidot savienojumu.
2. metode: Eksporta atslēga caur SSH
Kā jūs zināt, publiskās atslēgas eksports ļaus jums izveidot savienojumu ar norādīto serveri bez iepriekšējas paroles ievadīšanas. Tagad, kamēr atslēga vēl nav uz mērķa datora, varat izveidot savienojumu ar SSH, ievadot paroli, lai manuāli pārvietotu vajadzīgo failu. Lai to izdarītu, konsolē jums būs jāievada komandu kaķis ~ / .ssh / id_rsa.pub | SSH lietotājvārds @ Remote_host "MKDIR -P ~ / .ssh && Touch ~ / .ssh / autorizēti_keys && chmod -r go = ~ /
Ekrānā jāparādās paziņojums.
Nevar noteikt saimnieka autentiskumu "203.0.113.1 (203.0.13.1)".
ECDSA atslēgu pirkstu nospiedums ir FD: FD: D4: F9: 77: Fe: 73: 84: E1: 55: 00: AD: D6: 6D: 22: FE.
Vai esat pārliecināts, ka vēlaties turpināt savienojumu (jā / nē)?.
Apstipriniet to, lai turpinātu savienojumu. Publiskā atslēga tiks automātiski kopēta līdz pilnvaroto_keys konfigurācijas faila beigām. Par šo eksporta procedūru, ir iespējams pabeigt.
3. metode: Manuālā kopēšanas taustiņš
Šī metode atbilst tiem lietotājiem, kuriem nav iespēju izveidot attālinātu savienojumu ar mērķa datoru, bet ir fiziska piekļuve tai. Šajā gadījumā galvenais būs jānodod neatkarīgi. Lai sāktu ar, noteikt informāciju par to servera datorā, izmantojot kaķi ~ / .ssh / id_rsa.pub.
Konsolei jāparādās SSH-RSA string + atslēga kā rakstzīmju kopums == demo @ tests. Tagad jūs varat doties uz citu datoru, kur jums vajadzētu izveidot jaunu direktoriju, ievadot MKDIR -P ~ / .ssh. Tā arī pievieno teksta failu, ko sauc par autorizētiem_keys. Tas paliek tikai, lai ievietotu tur noteiktu iepriekšējo atslēgu caur echo + rindu publiskās atslēgas >> ~ / .ssh / autorizēti. Pēc tam autentifikācija būs pieejama bez iepriekšējas paroles ieraksta. Tas tiek darīts, izmantojot SSH lietotājvārdu @ Remote_Host komandu, kur lietotājvārds @ Remote_Host jāaizstāj ar nepieciešamā saimnieka vārdu.
Apskata tikai veidus, kas ļāva pārsūtīt publisku atslēgu uz jaunu ierīci, lai ļautu izveidot savienojumu, neievadot paroli, bet tagad tiek parādīta ieraksta veidlapa. Šāda lieta lietām ļauj uzbrucējiem piekļūt attālās darbvirsmas, vienkārši paroles. Tālāk mēs piedāvājam nodrošināt drošību, veicot noteiktus iestatījumus.
Atspējot paroles autentifikāciju
Kā minēts iepriekš, paroles autentifikācijas iespēja var kļūt par vāju saiti attālā savienojuma drošībā, jo ir līdzekļi šādu atslēgu sagracīšanai. Mēs iesakām invalīdu šo iespēju, ja jūs interesē maksimālā servera aizsardzība. To var izdarīt šādi:
- Atveriet / etc / ssh / sshd_config konfigurācijas failu, izmantojot jebkuru ērtu teksta redaktoru, tas var būt, piemēram, Gedit vai nano.
- Atverot sarakstu, atrodiet "PasswordAuthentication" virkni un noņemiet # zīmi, lai padarītu šo komandu aktīvu. Mainiet Jā Nē, lai atspējotu iespēju.
- Pēc pabeigšanas nospiediet Ctrl + O, lai saglabātu izmaiņas.
- Nemainiet faila nosaukumu, bet vienkārši nospiediet taustiņu Enter, lai izmantotu iestatīšanu.
- Jūs varat atstāt teksta redaktoru, noklikšķinot uz Ctrl + X.
- Visas izmaiņas stāsies spēkā tikai pēc SSH pakalpojuma restartēšanas, lai to izdarītu uzreiz, izmantojot sudo systructl restartēt ssh.
Darbību rezultātā paroles autentifikācijas iespēja tiks atspējota, un ievade būs pieejama tikai pēc pāris RSA taustiņiem. Apsveriet to, kad līdzīga konfigurācija.
Ugunsmūra parametra konfigurēšana
Šodienas materiāla beigās mēs vēlamies pastāstīt par ugunsmūra konfigurāciju, kas tiks izmantots savienojumu atļaujām vai aizliegumam. Mēs nodosim tikai galvenos punktus, ņemot nesarežģītu ugunsmūri (UFW).
- Pirmkārt, pārbaudīsim esošo profilu sarakstu. Ievadiet sudo UFW lietotņu sarakstu un noklikšķiniet uz Enter.
- Apstipriniet darbību, norādot superUser paroli.
- Lay SSH sarakstā. Ja šī līnija atrodas tur, tas nozīmē, ka viss darbojas pareizi.
- Ļaujiet savienojumu, izmantojot šo lietderību, rakstot sudo UFW, atļaut OpenSsh.
- Lai atjauninātu noteikumus, ieslēdziet ugunsmūri. Tas tiek darīts, izmantojot sudo UFW iespējošanas komandu.
- Jūs varat pārbaudīt pašreizējo statusu ugunsmūri jebkurā laikā, ievadot sudo ufw statusu.
Šajā procesā SSH konfigurācija debian ir pabeigta. Kā redzat, ir daudz dažādu nianses un noteikumus, kas jāievēro. Protams, viena panta ietvaros nav iespējams pilnībā iederīt visu informāciju, tāpēc mēs tikai pieskārās pamatinformācijai. Ja jūs interesē vairāk padziļinātu datu iegūšanai par šo lietderību, mēs iesakām iepazīties ar savu oficiālo dokumentāciju.