Persediaan SSH dalam Debian

Seperti yang anda ketahui, teknologi SSH terbuka membolehkan anda menghubungkan jauh ke komputer tertentu dan menghantar data melalui protokol yang dilindungi yang dipilih. Ini membolehkan anda melaksanakan dan mengawal sepenuhnya peranti yang dipilih, memastikan pertukaran maklumat penting dan juga kata laluan. Kadang-kadang pengguna mempunyai keperluan untuk menyambung melalui SSH, tetapi selain memasang utiliti itu sendiri, ia perlu menghasilkan dan tetapan tambahan. Kami mahu bercakap mengenainya hari ini, mengambil pengedaran Debian untuk contohnya.

Sesuaikan SSH dalam Debian

Kami membahagikan proses konfigurasi ke beberapa langkah, kerana setiap orang bertanggungjawab untuk pelaksanaan manipulasi tertentu dan hanya berguna kepada pengguna tertentu, yang bergantung kepada keutamaan peribadi. Mari kita mulakan dengan hakikat bahawa semua tindakan akan dibuat di konsol dan perlu mengesahkan hak-hak superuser, jadi bersedia untuk ini terlebih dahulu.

Memasang SSH-Server dan SSH-Client

Secara lalai, SSH dimasukkan ke dalam sistem operasi sistem operasi Debian standard, bagaimanapun, disebabkan oleh sebarang ciri, fail yang diperlukan boleh menjadi kemarahan atau tidak hadir, sebagai contoh, apabila pengguna menghasilkan pemasangan secara manual. Jika anda perlu pra-memasang SSH-Server dan SSH-Client, ikuti arahan berikut:

1. Buka menu Mula dan mulakan terminal dari sana. Ini boleh dilakukan melalui kombinasi utama Ctrl + Alt + T.



2. Di sini anda berminat dengan Sudo Apt memasang arahan OpenSSH-Server yang bertanggungjawab untuk memasang bahagian pelayan. Masukkan dan klik pada ENTER untuk mengaktifkan.



3. Seperti yang anda sudah tahu, tindakan yang dilakukan dengan hujah sudo perlu diaktifkan dengan menyatakan kata laluan superuser. Pertimbangkan watak yang dimasukkan dalam baris ini tidak dipaparkan.



4. Anda akan dimaklumkan bahawa pakej ditambah atau dikemas kini. Jika pelayan SSH sudah dipasang di Debian, mesej muncul di hadapan pakej yang ditentukan.



5. Seterusnya, anda perlu menambah sistem dan bahagian pelanggan, untuk komputer yang sambungannya akan dihubungkan pada masa akan datang. Untuk melakukan ini, gunakan sudo yang sama apt-get install openssh-client perintah.

Tidak ada lagi komponen tambahan untuk memasang sebarang komponen tambahan, kini anda boleh dengan selamat beralih ke fail pengurusan dan konfigurasi pelayan untuk membuat kunci dan menyediakan segala-galanya untuk menyambung terus ke desktop jauh.

Pengurusan pelayan dan memeriksa karyanya

Secara ringkas mari kita fokus pada bagaimana pelayan yang dipasang diuruskan dan cek operasinya. Ia mesti dilakukan sebelum beralih ke persediaan untuk memastikan bahawa fungsi komponen tambahan adalah betul.

1. Gunakan Sudo SystemCtl Dayakan perintah SSHD untuk menambah pelayan untuk autoload, jika ia tidak berlaku secara automatik. Sekiranya anda perlu membatalkan pelancaran dengan sistem pengendalian, gunakan SYSTEMCTL melumpuhkan SSHD. Kemudian permulaan manual akan diperlukan untuk menentukan STSHD STARTSCTL START.



2. Semua tindakan sedemikian benar-benar mesti dilakukan bagi pihak superuser, jadi anda perlu memasukkan kata laluannya.



3. Masukkan arahan localhost SSH untuk memeriksa pelayan untuk prestasi. Gantikan localhost ke alamat komputer tempatan.



4. Apabila anda menyambung pertama, anda akan dimaklumkan bahawa sumbernya tidak disahkan. Ini berlaku kerana kami belum menetapkan tetapan keselamatan. Sekarang hanya mengesahkan kesinambungan sambungan dengan memasuki YES.

Menambah sepasang kekunci RSA

Menyambung dari pelayan kepada pelanggan dan sebaliknya melalui SSH dijalankan dengan memasukkan kata laluan, bagaimanapun, adalah disyorkan untuk membuat sepasang kunci yang akan dibangunkan melalui algoritma RSA. Penyulitan jenis ini akan memungkinkan untuk membuat perlindungan yang optimum, yang akan menjadi sukar untuk mengelilingi penyerang ketika cuba menggodam. Untuk menambah sepasang kunci hanya beberapa minit, dan ia kelihatan seperti proses ini:

1. Buka "Terminal" dan masukkan SSH-Keygen di sana.



2. Anda boleh secara bebas memilih tempat di mana anda ingin menyimpan jalan ke kunci. Sekiranya tidak ada keinginan untuk mengubahnya, cukup tekan kekunci Enter.



3. Sekarang kunci terbuka dibuat. Ia boleh dilindungi oleh frasa kod. Masukkannya dalam rentetan yang dipaparkan atau tinggalkan kosong jika anda tidak mahu mengaktifkan pilihan ini.



4. Apabila memasuki frasa utama perlu menentukannya lagi untuk mengesahkan.



5. Pemberitahuan penciptaan kunci awam akan muncul. Seperti yang anda lihat, dia telah diberikan satu set simbol rawak, dan imej telah dibuat pada algoritma rawak.

Terima kasih kepada tindakan yang dilakukan, satu rahsia dan kunci awam telah diwujudkan. Mereka akan terlibat untuk menyambung antara peranti. Sekarang anda perlu menyalin kunci awam ke pelayan, dan anda boleh melakukan ini dengan kaedah yang berbeza.

Salin kunci terbuka ke pelayan

Di Debian, terdapat tiga pilihan yang mana anda boleh menyalin kunci awam ke pelayan. Kami mencadangkan dengan segera membiasakan diri dengan semua mereka untuk memilih yang optimum pada masa akan datang. Ini relevan dalam situasi di mana salah satu kaedah tidak sesuai atau tidak memenuhi keperluan pengguna.

Kaedah 1: Pasukan SSH-COPY-ID

Mari kita mulakan dengan pilihan yang paling mudah yang membayangkan penggunaan perintah SSH-COPY-ID. Secara lalai, utiliti ini telah dibina ke dalam OS, jadi ia tidak memerlukan pra-pemasangan. Sintaksnya juga yang paling mudah, dan anda perlu melakukan tindakan sedemikian:

1. Di dalam konsol, masukkan arahan SSH-COPY-ID ke nama pengguna @ remote_host dan aktifkannya. Gantikan nama pengguna @ remote_host ke alamat komputer sasaran supaya penghantaran telah berjaya diluluskan.



2. Apabila anda mula-mula cuba untuk menyambung, anda akan melihat mesej "Keaslian tuan rumah '203.0.113.1 (203.0.113.1)' Tidak dapat ditubuhkan. ECSA Cap jari utama adalah FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: Iklan: D6: 6D: 22: Fe. Adakah anda pasti mahu terus menyambung (ya / tidak)? Ya. " Pilih jawapan positif untuk meneruskan sambungan.



3. Selepas itu, utiliti itu akan berfungsi secara bebas sebagai carian dan menyalin kunci. Akibatnya, jika semuanya berjaya berjaya, pemberitahuan "/ usr / bin / ssh-copy-id" akan muncul di skrin: Maklumat: Percubaan untuk log masuk dengan kekunci baru, untuk menapis apa-apa yang alady Dipasang / USR / Bin / SSH-COPY-ID: INFO: 1 Key (s) Tetap hendaklah dipasang - Jika anda digesa sekarang ia adalah untuk memasang kekunci baru [email protected]'s Kata Laluan: ". Ini bermakna anda boleh memasukkan kata laluan dan bergerak untuk mengawal langsung desktop jauh.

Di samping itu, saya akan menentukan bahawa selepas kebenaran berjaya pertama di konsol, watak seterusnya akan muncul:

Bilangan kunci ditambah: 1

Kini cuba log masuk ke mesin, dengan: "ssh '[email protected]'"

Dan semak untuk memastikan bahawa hanya kunci yang anda mahu telah ditambah.

Ia mengatakan bahawa kunci berjaya ditambah kepada komputer terpencil dan tidak lagi masalah akan timbul apabila anda cuba menyambung.

Kaedah 2: Kunci Eksport Melalui SSH

Seperti yang anda ketahui, eksport kunci awam akan membolehkan anda menyambung ke pelayan yang ditentukan tanpa sebelum memasukkan kata laluan. Sekarang, sementara kunci belum di komputer sasaran, anda boleh menyambung melalui SSH dengan memasukkan kata laluan supaya anda memindahkan fail yang dikehendaki secara manual. Untuk melakukan ini, di konsol anda perlu memasukkan kucing perintah ~ / .ssh / id_rsa.pub | Nama pengguna ssh @ remote_host "mkdir -p ~ / .ssh && sentuhan ~ / .ssh / authorized_keys && chmod -r go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys."

Pemberitahuan mesti muncul di skrin.

Keaslian tuan rumah '203.0.113.1 (203.0.113.1)' tidak dapat diwujudkan.

Cap jari utama Ecdsa adalah FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: Iklan: D6: 6D: 22: Fe.

Adakah anda pasti mahu terus menyambung (ya / tidak)?.

Sahkan untuk meneruskan sambungan. Kunci awam akan disalin secara automatik ke akhir fail konfigurasi yang diberi kuasa. Mengenai prosedur eksport ini, adalah mungkin untuk selesai.

Kaedah 3: Kunci Salinan Manual

Kaedah ini akan sesuai dengan pengguna yang tidak mempunyai keupayaan untuk membuat sambungan jauh ke komputer sasaran, tetapi terdapat akses fizikal kepadanya. Dalam kes ini, kunci perlu dipindahkan secara bebas. Untuk memulakan, tentukan maklumat mengenainya di PC pelayan melalui kucing ~ / .ssh / id_rsa.pub.

Konsol harus muncul rentetan SSH-RSA + kekunci sebagai satu set aksara == Demo @ Ujian. Sekarang anda boleh pergi ke komputer lain, di mana anda perlu membuat direktori baru dengan memasuki MKDir -p ~ / .ssh. Ia juga menambah fail teks yang dipanggil Authorized_Keys. Ia tetap hanya untuk memasukkan ke dalam kekunci tertentu terdahulu melalui echo + baris kunci awam >> ~ / .ssh / authorized_keys. Selepas itu, pengesahan akan tersedia tanpa kemasukan kata laluan terlebih dahulu. Ini dilakukan melalui arahan username ssh @ remote_host, di mana nama pengguna @ remote_host harus diganti dengan nama tuan rumah yang diperlukan.

Dianggap hanya cara yang dibenarkan untuk memindahkan kunci awam ke peranti baru untuk memungkinkan untuk menyambung tanpa memasukkan kata laluan, tetapi sekarang borang pada entri masih dipaparkan. Kedudukan semacam perkara membolehkan penyerang mengakses desktop jauh, hanya kata laluan. Seterusnya kami menawarkan untuk memastikan keselamatan dengan melakukan tetapan tertentu.

Lumpuhkan pengesahan kata laluan.

Seperti yang dinyatakan sebelum ini, kemungkinan pengesahan kata laluan boleh menjadi pautan yang lemah dalam keselamatan sambungan jauh, kerana terdapat cara untuk melakukan kekunci sedemikian. Kami mengesyorkan melumpuhkan pilihan ini jika anda berminat dengan perlindungan maksimum pelayan anda. Anda boleh melakukannya seperti ini:

1. Buka fail konfigurasi / ETC / SSH / SSHD_CONFIG melalui mana-mana editor teks mudah, mungkin, sebagai contoh, gedit atau nano.



2. Dalam senarai yang dibuka, cari rentetan "kata laluanAthentication" dan keluarkan tanda # untuk membuat arahan ini aktif. Tukar nilai Ya kepada tidak untuk melumpuhkan pilihan.



3. Setelah selesai, tekan Ctrl + O untuk menyimpan perubahan.



4. Jangan ubah nama fail, tetapi tekan ENTER untuk menggunakan persediaan.



5. Anda boleh meninggalkan editor teks dengan mengklik pada Ctrl + X.



6. Semua perubahan akan berkuat kuasa hanya selepas memulakan semula perkhidmatan SSH, jadi lakukan dengan segera melalui Sudo SystemStl Restart SSH.

Sebagai hasil daripada tindakan, kemungkinan pengesahan kata laluan akan dilumpuhkan, dan input akan tersedia hanya selepas beberapa kunci RSA. Pertimbangkan ini apabila konfigurasi yang sama.

Mengkonfigurasi parameter firewall

Pada akhir bahan hari ini, kami ingin memberitahu tentang konfigurasi firewall, yang akan digunakan untuk keizinan atau larangan sebatian. Kami akan lulus hanya dengan perkara utama, mengambil firewall yang tidak rumit (UFW).

1. Pertama, mari kita periksa senarai profil sedia ada. Masukkan senarai aplikasi Sudo UFW dan klik pada ENTER.



2. Sahkan tindakan dengan menyatakan kata laluan superuser.



3. Lay ssh dalam senarai. Sekiranya garis ini ada di sana, ini bermakna semuanya berfungsi dengan betul.



4. Benarkan sambungan melalui utiliti ini dengan menulis Sudo UFW membenarkan OpenSSH.



5. Hidupkan firewall untuk mengemas kini peraturan. Ini dilakukan melalui arahan Dayakan Sudo UFW.



6. Anda boleh menyemak status semasa firewall pada bila-bila masa dengan memasukkan status Sudo UFW.

Mengenai proses ini, konfigurasi SSH dalam Debian selesai. Seperti yang anda lihat, terdapat banyak nuansa dan peraturan yang berbeza yang perlu diperhatikan. Sudah tentu, dalam rangka satu artikel, adalah mustahil untuk menyesuaikan semua maklumat, jadi kami hanya menyentuh maklumat asas. Sekiranya anda berminat untuk mendapatkan data yang lebih mendalam mengenai utiliti ini, kami menasihati anda untuk membiasakan diri dengan dokumentasi rasmi.