Wiesz, otwórz technologię SSH pozwala zdalnie połączyć się z określonym komputerem i przesyłać dane za pomocą wybranego protokołu chronionego. Pozwala to zaimplementować i w pełni kontrolować wybrane urządzenie, zapewniając bezpieczną wymianę ważnych informacji, a nawet haseł. Czasami użytkownicy mają potrzebę połączenia przez SSH, ale oprócz instalacji samego narzędzia, konieczne jest produkcja i dodatkowe ustawienia. Chcemy o tym rozmawiać dzisiaj, biorąc dystrybucję Debiana na przykład.
Dostosuj SSH w Debianie
Podzielimy proces konfiguracji na kilka kroków, ponieważ każdy jest odpowiedzialny za realizację konkretnych manipulacji i może być po prostu przydatne dla niektórych użytkowników, co zależy od osobistych preferencji. Zacznijmy od faktu, że wszystkie działania zostaną wykonane w konsoli i będą musiały potwierdzić prawa superużytkownika, więc przygotuj się do tego z wyprzedzeniem.Instalowanie SSH-Server i SSH-Client
Domyślnie SSH jest wliczony w standardowy zestaw narzędzi do systemu operacyjnego Debiana, jednak ze względu na dowolne funkcje, niezbędne pliki mogą być oburzenie lub po prostu nieobecne, na przykład, gdy użytkownik ręcznie wytworzył odinstalowywanie. Jeśli chcesz wstępnie zainstalować SSH-Server i SSH-Client, wykonaj następujące instrukcje:
- Otwórz menu Start i uruchom terminal. Można to zrobić za pomocą standardowej kombinacji klucza Ctrl + Alt + T.
- Tutaj jesteś zainteresowany poleceniem Sudo APT Instaluj polecenie serwera openSsh, które jest odpowiedzialne za instalację części serwera. Wprowadź go i kliknij Enter, aby aktywować.
- Jak już wiesz, działania wykonywane z argumentem sudo będą musiały być aktywowane, określając hasło superużytkownika. Rozważ, że znaki wprowadzone w tej linii nie są wyświetlane.
- Zostaniesz powiadomiony, że pakiety są dodawane lub aktualizowane. Jeśli serwer SSH jest już zainstalowany w Debianie, pojawia się komunikat na obecności określonego pakietu.
- Następnie musisz dodać do systemu i części klienta, jak dla komputera, do którego połączenie zostanie podłączone w przyszłości. Aby to zrobić, użyj podobnego polecenia openSsh-client client instalację sudo.
Nie ma więcej dodatkowych komponentów, aby zainstalować żadnych dodatkowych komponentów, możesz teraz bezpiecznie przełączać się do zarządzania serwerem i plikami konfiguracyjnymi, aby utworzyć klucze i przygotować wszystko, aby jeszcze bardziej połączyć się z pulpitem zdalnego.
Zarządzanie serwerem i sprawdzanie jego pracy
Krótko skup się na tym, jak zarządzany jest zainstalowany serwer i sprawdzenie jego działania. Należy to zrobić przed przełączeniem na konfigurację, aby upewnić się, że funkcjonowanie dodatkowych komponentów jest poprawne.
- Użyj polecenia Sudo SystemCTL Włącz komendę sshd, aby dodać serwer do Autoload, jeśli nie zdarza się automatycznie. Jeśli chcesz anulować uruchomienie za pomocą systemu operacyjnego, użyj SystemCTL Disable SSHD. Następnie potrzebny zostanie ręczny uruchamianie, aby określić SystemCTL Start SSHD.
- Wszystkie takie działania muszą być zawsze wykonane w imieniu superużytkownika, więc musisz wprowadzić swoje hasło.
- Wprowadź polecenie SSH LocalHost, aby sprawdzić serwer do wydajności. Wymień localhost na lokalny adres komputera.
- Po pierwszym połączeniu zostaniesz powiadomiony, że źródło nie jest weryfikowane. Dzieje się tak, ponieważ nie ustawiliśmy jeszcze ustawień zabezpieczeń. Teraz potwierdź kontynuację połączenia, wprowadzając tak.
Dodawanie parę kluczy RSA
Łączenie z serwera do klienta i odwrotnie przez SSH jest przeprowadzane przez wprowadzenie hasła, jednak zaleca się utworzenie pary kluczy, które zostaną opracowane przez algorytmy RSA. Ten typ szyfrowania umożliwi tworzenie optymalnej ochrony, która będzie trudna do obejścia atakującego podczas próby hakowania. Aby dodać parę kluczy tylko kilka minut, a wygląda jak ten proces:
- Otwórz "Terminal" i wpisz tam SSH-Keygen.
- Możesz samodzielnie wybrać miejsce, w którym chcesz zapisać ścieżkę do klucza. Jeśli nie ma pragnienia zmiany, po prostu naciśnij klawisz Enter.
- Teraz tworzony jest klucz otwarty. Może być chroniony przez frazę kodu. Wprowadź go w wyświetlonym ciąg lub pozostawić pusty, jeśli nie chcesz aktywować tej opcji.
- Przy wejściu do frazy kluczowej będzie musiał go ponownie określić, aby potwierdzić.
- Pojawi się powiadomienie o utworzeniu klucza publicznego. Jak widać, został przypisany zestaw losowych symboli, a obraz został utworzony na algorytmach losowych.
Dzięki działaniu została utworzona tajemnica i klucz publiczny został utworzony. Będą zaangażowani o połączenie między urządzeniami. Teraz musisz skopiować klucz publiczny na serwer, a możesz to zrobić przez różne metody.
Skopiuj otwarty klucz do serwera
W Debianie istnieją trzy opcje, z którymi można skopiować klucz publiczny na serwer. Sugerujemy natychmiast zapoznanie się ze wszystkimi, aby wybrać optymalną w przyszłości. Jest to istotne w tych sytuacjach, w których jedna z metod nie pasuje ani nie zaspokaja potrzeb użytkownika.
Metoda 1: Zespół SSH-Copy-ID
Zacznijmy od najprostszej opcji, która oznacza użycie polecenia SSH-Copy-ID. Domyślnie narzędzie to jest już wbudowane w system operacyjny, więc nie wymaga instalacji wstępnej. Jego składnia jest również najbardziej prosta, jak to możliwe, a będziesz musiał wykonać takie działania:
- W konsoli wprowadź polecenie SSH-Copy-ID do nazwy użytkownika @ Remote_host i aktywuj go. Zastąp nazwę użytkownika @ Remote_host na adres komputera docelowego, aby wysyłał pomyślnie przeszedł.
- Po raz pierwszy spróbujesz połączyć się, nie można ustalić komunikatu "autentyczność hosta" 203.0.113.1 (203.0.113.1) "nie można ustalić. ECDSA Key Fingerprint jest FD: FD: D4: F9: 77: Fe: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: Fe. Czy na pewno chcesz kontynuować podłączenie (tak / nie)? Tak. " Wybierz pozytywną odpowiedź, aby kontynuować połączenie.
- Po tym użyteczność samodzielnie pracuje jako wyszukiwanie i kopiowanie klucza. W rezultacie, jeśli wszystko poszło pomyślnie, na ekranie pojawi się powiadomienie "/ usr / bin / ssh-copy-act": info: próba zalogowania się z nowym kluczem, aby odfiltrować dowolne, które są aladyczne Zainstalowany / USR / BIN / SSH-COPY-ID: Info: 1 Klucz (y) pozostają do zainstalowania - jeśli pojawi się monit teraz, aby zainstalować nowe hasło użytkownika [email protected]: ". Oznacza to, że możesz wprowadzić hasło i przejść do bezpośredniego sterowania pulpitem zdalnego.
Dodatkowo okreśnię, że po pierwszym udanym autoryzacji w konsoli pojawi się następny znak:
Liczba (y) dodanych: 1
Teraz spróbuj zalogować się do maszyny, a: "SSH" [email protected] ""
I sprawdź, czy dodano tylko kluczem (y).
Mówi, że klucz został pomyślnie dodany do komputera zdalnego i nie pojawią się już żadnych problemów, gdy próbujesz się połączyć.
Metoda 2: Eksportuj klucz do SSH
Jak wiesz, eksport klucza publicznego pozwoli Ci połączyć się z określonym serwerem bez przed wejściem do hasła. Teraz, gdy klucz nie jest jeszcze na komputerze docelowym, możesz podłączyć przez SSH, wprowadzając hasło, aby ręcznie przesunąć żądany plik. Aby to zrobić, w konsoli musisz wejść do Command Cat ~ / .ssh / id_rsa.pub | SSH Nazwa użytkownika @ Remote_host "Mkdir -p ~ / .ssh && Touch ~ / .ssh / authorized_keys && chmod -r go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys".
Na ekranie pojawi się powiadomienie.
Nie można ustalić autentyczności hosta "203.0.113.1 (203.0.113.1)".
ECDSA Key Fingerprint jest FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: AD: D6: 6D: 22: Fe.
Czy na pewno chcesz kontynuować podłączenie (tak / nie)?
Potwierdź, aby kontynuować połączenie. Klucz publiczny zostanie automatycznie skopiowany do końca pliku konfiguracyjnego autoryzowanego_keys. W tej procedurze eksportowej możliwe jest zakończenie.
Metoda 3: Kopiowanie ręczne
Ta metoda będzie odpowiadać tymim użytkownikom, którzy nie mają możliwości tworzenia zdalnego połączenia z komputerem docelowym, ale istnieje fizyczny dostęp do niego. W tym przypadku klucz będzie musiał zostać przeniesiony niezależnie. Aby rozpocząć, określ informacje o tym na komputerze serwera przez CAT ~ / .SSH / ID_RSA.pub.
Konsola powinna pojawić się klawisz SSH-RSA + klawisz jako zestaw znaków == DEMO @ Test. Teraz możesz przejść do innego komputera, gdzie powinieneś utworzyć nowy katalog, wprowadzając MKDIR -P ~ / .ssh. Dodaje również plik tekstowy o nazwie autoryzowany_keys. Pozostaje tylko wstawić pewnego wcześniejszego klucza za pomocą ECHO + rzędu klucza publicznego >> ~ / .ssh / authorized_keys. Po tym uwierzytelnianie będzie dostępne bez wcześniejszego wpisu hasła. Odbywa się to za pośrednictwem polecenia SSH Username @ Remote_host, gdzie nazwa_ogniska @ Remote_host należy wymienić nazwą wymaganego hosta.
Uważane tylko, że sposoby mogły przenieść klucz publiczny do nowego urządzenia, aby umożliwić połączenie bez wprowadzania hasła, ale teraz formularz na wpisie jest nadal wyświetlany. Taka pozycja rzeczy umożliwia atakującym dostęp do pulpitu zdalnego, po prostu hasło. Następnie oferujemy, aby zapewnić bezpieczeństwo, wykonując niektóre ustawienia.
Wyłącz uwierzytelnianie hasła
Jak wspomniano wcześniej, możliwość uwierzytelniania hasła może stać się słabym ogniwem w zakresie bezpieczeństwa zdalnego połączenia, ponieważ istnieją środki źle błędnego użycia kluczy. Zalecamy wyłączony tę opcję, jeśli jesteś zainteresowany maksymalną ochroną serwera. Możesz to zrobić w ten sposób:
- Otwórz plik konfiguracyjny / etc / ssh / sshd_config za pomocą dowolnego wygodnego edytora tekstu, może być na przykład GEDIT lub NANO.
- Na liście, które otwiera się, znajdź ciąg "PasswordAuthentication" i wyjmij znak #, aby wykonać to polecenie. Zmień wartość Tak, aby nie wyłączyć opcji.
- Po zakończeniu naciśnij Ctrl + O, aby zapisać zmiany.
- Nie zmieniaj nazwy pliku, ale po prostu naciśnij ENTER, aby użyć konfiguracji.
- Możesz zostawić edytor tekstu, klikając Ctrl + X.
- Wszystkie zmiany będą obowiązywać dopiero po ponownym uruchomieniu usługi SSH, więc zrób to natychmiast przez Sudo Systemctl Restart SSH.
W wyniku działań, możliwość uwierzytelniania hasła zostanie wyłączona, a wejście będzie dostępne tylko po kilku kluczach RSA. Rozważ to, gdy podobna konfiguracja.
Konfigurowanie parametru zapory
Pod koniec dzisiejszego materiału chcemy opowiedzieć o konfiguracji zaporę, która zostanie użyta do uprawnień lub zakazów związków. Przechodzimy tylko głównymi punktami, biorąc nieskomplikowaną zaporę (UFW).
- Najpierw sprawdźmy listę istniejących profili. Wprowadź listę aplikacji Sudo UFW i kliknij Enter.
- Potwierdź akcję, określając hasło superużytkownika.
- Świecić ssh na liście. Jeśli ta linia jest tam obecna, oznacza to, że wszystko działa poprawnie.
- Pozwól połączeniu za pośrednictwem tego narzędzia poprzez zapisanie Sudo UFW, umożliwiają openSSH.
- Włącz zaporę, aby zaktualizować reguły. Odbywa się to przez polecenie włączone Sudo UFW.
- Możesz sprawdzić aktualny stan zapory w dowolnym momencie, wprowadzając status Sudo UFW.
W tym procesie konfiguracja SSH w Debianie jest zakończona. Jak widać, istnieje wiele różnych niuansów i zasad, które należy przestrzegać. Oczywiście w ramach jednego artykułu niemożliwe jest dopasowanie absolutnie wszystkich informacji, więc dotyczyliśmy tylko podstawowych informacji. Jeśli jesteś zainteresowany uzyskaniem bardziej szczegółowych danych na temat tego narzędzia, radzimy sobie zapoznać się z oficjalną dokumentacją.