Како што знаете, отворената SSH технологија ви овозможува далечински да се поврзете со одреден компјутер и да пренесувате податоци преку избраниот заштитен протокол. Ова ви овозможува да го имплементирате и целосно го контролирате избраниот уред, обезбедувајќи безбедна размена на важни информации, па дури и лозинки. Понекогаш корисниците имаат потреба да се поврзат преку SSH, но во прилог на инсталирање на самата алатка, неопходно е да се произведат и дополнителни поставки. Денес сакаме да зборуваме за тоа, земајќи ја дистрибуцијата на Debian за примерот.
Прилагодете го SSH во Debian
Ние го делиме процесот на конфигурација во неколку чекори, бидејќи секој е одговорен за спроведување на специфични манипулации и едноставно може да биде корисен за одредени корисници, што зависи од личните преференции. Ајде да почнеме со фактот дека сите активности ќе бидат направени во конзолата и ќе треба да ги потврдат правата на надчовечот, па затоа се подготвуваат за ова однапред.Инсталирање на SSH-сервер и SSH-клиент
Стандардно, SSH е вклучен во стандардниот оперативен систем за оперативен систем, сепак, поради какви било функции, потребните датотеки можат да бидат бес или едноставно отсутни, на пример, кога корисникот рачно произведено деинсталација. Ако треба да го инсталирате SSH-серверот и SSH-клиент, следете ги следните упатства:
- Отворете го менито Start и започнете го терминалот од таму. Ова може да се направи преку стандардната комбинација на копчиња CTRL + ALT + T.
- Овде сте заинтересирани за Sudo Apt Install OpenSSH-Server команда која е одговорна за инсталирање на дел од серверот. Внесете го и кликнете на Enter за да активирате.
- Како што веќе знаете, активностите што се изведуваат со SuDo аргументот ќе треба да се активираат со наведување на лозинката за суперсузер. Сметаат дека ликовите внесени во оваа линија не се прикажуваат.
- Ќе бидете известени дека пакетите се додаваат или ажурираат. Ако SSH-серверот е веќе инсталиран во Debian, се појавува порака на присуството на наведениот пакет.
- Следно, ќе треба да го додадете системот и клиентскиот дел, бидејќи за компјутерот на кој врската ќе биде поврзана во иднина. За да го направите ова, користете слични sudo apt-get install openssh-клиент команда.
Нема повеќе дополнителни компоненти за да инсталирате дополнителни компоненти, сега можете безбедно да се префрлите на датотеките за управување со серверот и конфигурацијата за да креирате копчиња и да подготвите сè за понатамошно поврзување со далечинскиот управувач.
Управување со серверот и проверка на неговата работа
Накратко, ајде да се фокусираме на тоа како се управува со инсталираниот сервер и проверката на неговото работење. Мора да се направи пред да се префрли на поставувањето за да бидете сигурни дека функционирањето на додадените компоненти е точно.
- Користете го SUDO SystemCactl овозможете SSHD команда за да додадете сервер за AOLOLoad, ако тоа не се случи автоматски. Ако треба да го откажете лансирањето со оперативниот систем, користете SystemCactl оневозможете SSHD. Тогаш рачното стартување ќе биде потребно за да се специфицира SystemCtl Start SSHD.
- Сите такви акции апсолутно мора секогаш да се вршат во име на Superuser, така што треба да ја внесете неговата лозинка.
- Внесете ја командата SSH Localhost за да го проверите серверот за перформанси. Заменете го Localhost на локалната адреса на компјутер.
- Кога првпат ќе се поврзете, ќе бидете известени дека изворот не е потврден. Ова се случува затоа што сè уште не ги поставивме безбедносните поставки. Сега само потврди продолжување на врската со внесување на Да.
Додавање пар на RSA клучеви
Поврзувањето од серверот до клиентот и обратно преку SSH се изведува со внесување на лозинка, сепак, се препорачува да се создаде пар на клучеви кои ќе бидат развиени преку RSA алгоритмите. Овој тип на енкрипција ќе овозможи да се создаде оптимална заштита, што ќе биде тешко да се добие околу напаѓачот кога се обидува да се пробие. За да додадете пар на клучеви само неколку минути, и изгледа како овој процес:
- Отворете го "терминалот" и внесете го SSH-Keygen таму.
- Можете самостојно да изберете место каде што сакате да го зачувате патот кон клучот. Ако нема желба да го промените, едноставно притиснете го копчето Enter.
- Сега е создаден отворен клуч. Тоа може да биде заштитено со фраза од код. Внесете го на прикажаната низа или оставете празна ако не сакате да ја активирате оваа опција.
- Кога влегувате во клучната фраза ќе треба повторно да го потврдите за да потврдите.
- Ќе се појави известување за создавање на јавен клуч. Како што можете да видите, му беше доделен збир на случајни симболи, а сликата е создадена на случајни алгоритми.
Благодарение на направената акција, е создаден таен и јавен клуч. Тие ќе бидат вклучени за поврзување помеѓу уредите. Сега треба да го копирате јавниот клуч на серверот, и можете да го направите тоа со различни методи.
Копирајте го отворите за серверот
Во Debian, постојат три опции со кои можете да го копирате јавниот клуч на серверот. Ние предлагаме веднаш да се запознаете со сите нив, со цел да изберете оптимално во иднина. Ова е релевантно во тие ситуации каде што еден од методите не се вклопува или не ги задоволува потребите на корисникот.
Метод 1: SSH-COPY-ID тим
Да почнеме со наједноставната опција што подразбира употреба на командата на SSH-COPY-ID. Стандардно, оваа алатка е веќе вградена во оперативниот систем, така што не е потребна пред-инсталација. Неговата синтакса е исто така наједноставна што е можно, и ќе треба да ги извршите таквите акции:
- Во конзолата, внесете ја командата SSH-COPY-ID на корисничкото име @ Eless_host и активирајте го. Заменете го корисничкото име @ SEJEST_HOST на адресата на целниот компјутер, така што испраќањето успешно помина.
- Кога првпат ќе се обидете да се поврзете, ќе ја видите пораката "автентичноста на домаќинот" 203.0.113.1 (203.0.113.1) "не може да се воспостави. ECDSA Key Pastresprint е FD: FD: D4: F9: 77: FE: 73 : 84: Е1: 55: 00: АД: Д6: 6Д: 22: Фе. Дали сте сигурни дека сакате да продолжите со поврзувањето (да / не)? Да. " Изберете позитивен одговор за да продолжите со врската.
- После тоа, алатката самостојно ќе работи како пребарување и копирање на клучот. Како резултат на тоа, ако сè отиде успешно, на екранот ќе се појават известувањето "/ USR / BIN / BIN / SSH-COPY-ID": Инфо: Обидувајќи се да се логирате со новиот клуч (и), за да ги филтрирате сите што се алади Инсталирани / USR / BIN / SSH-COPY-ID-ID: Инфо: 1 Клучни (и) Останете да се инсталираат - Ако сте побарано сега, тоа е да ги инсталирате новите клучеви кориснички лозинки@203.0.113.1's лозинка: ". Ова значи дека можете да ја внесете лозинката и да се префрлите директно со контролирање на далечинскиот управувач.
Дополнително, ќе наведам дека по првото успешно овластување во конзолата ќе се појави следниот лик:
Број на клучни (и) додадени: 1
Сега обидете се да се логирате во машината, со: "SSH" [email protected] '"
И проверете дали само клучните (и) сте биле додадени.
Таа вели дека клучот е успешно додаден на оддалечен компјутер и повеќе проблеми ќе се појават кога ќе се обидете да се поврзете.
Метод 2: Клуч за извоз преку SSH
Како што знаете, извозот на јавен клуч ќе ви овозможи да се поврзете со наведениот сервер без пред да ја внесете лозинката. Сега, додека клучот сè уште не е на целниот компјутер, можете да се поврзете преку SSH со внесување на лозинката, така што рачно ќе ја преместите саканата датотека. За да го направите ова, во конзолата ќе мора да ја внесете командната мачка ~ / .ssh / id_rsa.pub | SSH Username @ SEJEST_HOST "MKDIR -P ~ / .SSH && TOUCH ~ /
Известувањето мора да се појави на екранот.
Автентичноста на домаќинот "203.0.113.1 (203.0.113.1)" не може да се воспостави.
ECDSA Key Pastryprint е FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: ad: D6: 6D: 22: Fe.
Дали сте сигурни дека сакате да продолжите со поврзувањето (да / не)?.
Потврдете го за да продолжите со врската. Јавниот клуч автоматски ќе се копира до крајот на конфигурациската датотека на Authorized_Keys. За оваа извозна постапка, можно е да се заврши.
Метод 3: рачно копирање клуч
Овој метод ќе одговара на оние корисници кои немаат способност да создадат далечинско поврзување со целниот компјутер, но има физички пристап до него. Во овој случај, клучот ќе мора да се пренесе независно. За да започнете со тоа, да ги одредите информациите за тоа на серверот компјутер преку Cat ~ / .ssh / id_rsa.pub.
Конзолата треба да се појави на SSH-RSA String + клуч како збир на знаци == Демо @ тест. Сега можете да одите на друг компјутер, каде што треба да креирате нов директориум со внесување Mkdir -P ~ / .ssh. Исто така, додава текстуална датотека наречена Authorized_Keys. Останува само да вметнете таму одреден претходен клуч преку ехо + ред на јавен клуч >> ~ / .ssh / Authorized_Keys. После тоа, автентикацијата ќе биде достапна без претходна внес на лозинка. Ова е направено преку командата на SSH @ Relay_host, каде што корисничкото име @ Defer_host треба да се замени со името на потребниот домаќин.
Се сметаат за само начините дозволено да пренесуваат јавен клуч на нов уред за да овозможат поврзување без да влезете во лозинката, но сега формата на записот сеуште е прикажана. Таквата позиција на нештата им овозможува на напаѓачите да пристапат до далечинскиот работен простор, едноставно лозинката. Следно ние нудиме за да обезбедиме сигурност со изведување на одредени поставки.
Оневозможи автентикација на лозинка
Како што беше споменато претходно, можноста за автентикација на лозинка може да стане слаба врска во безбедноста на далечинското поврзување, бидејќи постојат средства за поништување на таквите клучеви. Препорачуваме оневозможено оваа опција ако сте заинтересирани за максимална заштита на вашиот сервер. Можете да го направите тоа вака:
- Отворете ја конфигурациската датотека / etc / ssh / sshd_config преку кој било погоден уредувач на текст, може да биде, на пример, gedit или nano.
- Во листата што се отвора, пронајдете ја низата "PasswordAuthentication" и извадете го знакот # за да ја направите оваа команда активна. Променете ја вредноста на Да за да не ја оневозможите опцијата.
- По завршувањето, притиснете CTRL + O за да ги зачувате промените.
- Не го менувајте името на датотеката, туку едноставно притиснете ENTER за да го користите поставувањето.
- Можете да го напуштите уредувачот на текст со кликнување на CTRL + X.
- Сите промени ќе стапат на сила само по рестартирањето на SSH услугата, така што веднаш преку Sudo SystemCactl го рестартира SSH.
Како резултат на дејства, можноста за автентикација на лозинка ќе биде оневозможена, а влезот ќе биде достапен само по неколку RSA клучеви. Размислете за ова кога слична конфигурација.
Конфигурирање на параметарот на заштитен ѕид
На крајот на денешниот материјал, сакаме да кажеме за конфигурацијата на заштитниот ѕид, кој ќе се користи за дозволи или забрани на соединенијата. Ние ќе поминеме само од главните точки, земајќи го некомплицираниот заштитен ѕид (UFW).
- Прво, ајде да ја провериме листата на постоечки профили. Внесете ја листата на апликации Sudo UFW и кликнете на Enter.
- Потврдете го акцијата со наведување на лозинката на суперсузарот.
- Лежеше SSH во листата. Ако оваа линија е присутна таму, тоа значи дека сè функционира правилно.
- Дозволете поврзување преку оваа алатка со пишување sudo UFW Дозволи OpenSsh.
- Вклучете го заштитниот ѕид за да ги ажурирате правилата. Ова се прави преку командата Sudo UFW.
- Можете да го проверите моменталниот статус на заштитниот ѕид во секое време со внесување на Sudo UFW статус.
Во овој процес, конфигурацијата на SSH во Debian е завршена. Како што можете да видите, постојат многу различни нијанси и правила кои треба да се набљудуваат. Се разбира, во рамките на една статија, невозможно е да се соберат апсолутно сите информации, па ние само ги допревме основните информации. Ако сте заинтересирани за добивање на повеќе длабоки податоци за оваа алатка, ве советуваме да се запознаете со својата официјална документација.