Ako viete, otvorená technológia SSH umožňuje vzdialene pripojiť sa k špecifickému počítaču a prenášať dáta prostredníctvom zvoleného chráneného protokolu. To vám umožní implementovať a plne kontrolovať vybrané zariadenie a zabezpečiť bezpečnú výmenu dôležitých informácií a dokonca aj hesiel. Niekedy užívatelia majú potrebu pripojiť sa cez ssh, ale okrem inštalácie nástroja samotného je potrebné vyrábať a ďalšie nastavenia. Chceme sa o tom dnes hovoriť, pričom príkladom Debian.
Prispôsobte SSH v Debian
Rozdeľujeme proces konfigurácie do niekoľkých krokov, pretože každý je zodpovedný za implementáciu špecifických manipulácií a môže byť jednoducho užitočná pre určitých používateľov, ktorá závisí od osobných preferencií. Začnime so skutočnosťou, že všetky akcie budú vykonané v konzole a budú musieť potvrdiť práva superuser, takže na to pripraviť vopred.Inštalácia SSH-Server a SSH-klienta
V predvolenom nastavení je SSH zahrnutý v štandardnom obslužnom nástrrave Debian operačného systému, avšak kvôli akýmkoľvek funkciám, potrebné súbory môžu byť rozhorčenie alebo jednoducho neprítomné, napríklad, keď užívateľ manuálne vyrába odinštalovanie. Ak potrebujete predinštalovať SSH-Server a SSH-Client, postupujte podľa nasledujúcich pokynov:
- Otvorte ponuku Štart a spustite terminál odtiaľ. To môže byť vykonané prostredníctvom štandardnej kombinácie klávesov Ctrl + Alt + T.
- Tu máte záujem o SUDDO APT Install OpenSSH-server príkaz, ktorý je zodpovedný za inštaláciu časti servera. Zadajte ho a kliknite na ENTER, aby ste aktivovali.
- Ako už viete, akcie vykonané s argumentom sudo budú musieť byť aktivované zadaním hesla Superuser. Zvážte, že znaky zadané v tomto riadku sa nezobrazia.
- Budete upozornení, že balíky sa pridajú alebo aktualizujú. Ak je SSH-Server už nainštalovaný v Debian, na prítomnosti zadaného balíka sa zobrazí správa.
- Ďalej budete musieť pridať do systému a časť klienta, pokiaľ ide o počítač, na ktorý bude pripojenie pripojené v budúcnosti. Ak to chcete urobiť, použite podobný príkaz sudo apt-get nainštalovať openssh-client príkaz.
Neexistujú žiadne ďalšie komponenty na inštaláciu akýchkoľvek ďalších komponentov, teraz môžete bezpečne prepnúť na správu a konfiguračné súbory servera a vytvoriť klávesy a pripraviť všetko, aby ste sa mohli ďalej pripojiť k vzdialenej ploche.
Správa servera a kontrolu jeho práce
Stručne sa zameriame na to, ako je nainštalovaný server riadený a kontrola jeho prevádzky. Musí sa vykonať pred prechodom na nastavenie, aby ste sa uistili, že fungovanie pridaných komponentov je správne.
- Použite SUDO SystemCTL Enable SSHD príkaz pridať server na autooload, ak sa to nestane automaticky. Ak potrebujete zrušiť spustenie s operačným systémom, použite SystemCTL vypnúť SSHD. Potom bude potrebné nastaviť manuálne spustenie na určenie systému SSHD.
- Všetky takéto akcie absolútne musia byť vždy vykonávané v mene Superuser, takže musíte zadať heslo.
- Zadajte príkaz SSH LOALHOST na kontrolu servera pre výkon. Nahradiť LOCALHOST na adresu lokálnej počítača.
- Keď sa prvýkrát pripojíte, budete upozornení, že zdroj nie je overený. To sa stane, pretože sme ešte nenastavili nastavenia zabezpečenia. Teraz jednoducho potvrďte pokračovanie pripojenia zadaním ÁNO.
Pridanie dvojice kľúče RSA
Pripojenie zo servera k klientovi a naopak Versa cez SSH sa vykonáva zadaním hesla, ale odporúča sa vytvoriť pár kľúčov, ktoré budú vyvinuté prostredníctvom algoritmov RSA. Tento typ šifrovania umožní vytvoriť optimálnu ochranu, ktorá sa bude ťažko dostať okolo útočníka, keď sa snaží zaseknúť. Pridanie pár kľúčov len niekoľko minút a vyzerá to takto:
- Otvorte "terminál" a zadajte tam SSH-Keygen.
- Môžete si nezávisle vybrať miesto, kde chcete uložiť cestu k kľúču. Ak ho neexistuje žiadna túžba zmeniť, jednoducho stlačte kláves ENTER.
- Teraz je vytvorený otvorený kľúč. Môže byť chránený kódom. Ak nechcete aktivovať túto možnosť, zadajte ho do zobrazeného reťazca alebo ponechajte prázdne.
- Pri zadávaní kľúčovej frázy ju musíte znova zadať znova na potvrdenie.
- Zobrazí sa oznámenie o vytvorení verejného kľúča. Ako vidíte, bol pridelený súbor náhodných symbolov a na náhodných algoritmoch bol vytvorený obraz.
Vďaka konaniu sa vytvoril tajný a verejný kľúč. Budú zapojení do pripojenia medzi zariadeniami. Teraz musíte skopírovať verejný kľúč na server a môžete to urobiť rôznymi metódami.
Kopírovanie otvoreného tlačidla na server
V Debiane existujú tri možnosti, s ktorými môžete skopírovať verejný kľúč na server. Odporúčame sa okamžite zoznámiť so všetkými ich, aby ste si vybrali optimálne v budúcnosti. Toto je relevantné v tých situáciách, keď jedna z metód nehodí alebo nespĺňa potreby používateľa.
Metóda 1: Tím SSH-COPY-ID
Začnime s najjednoduchšou voľbou, ktorá znamená použitie príkazu SSH-COPY-ID. V predvolenom nastavení je tento nástroj už zabudovaný do operačného systému, takže nepotrebuje predinštalujúcu. Jeho syntax je tiež najjednoduchšia, ako je to možné, a budete musieť vykonať takéto akcie:
- V konzole zadajte príkaz SSH-COPY-ID na používateľské meno @ remote_host a aktivovať ho. Vymeňte Username @ Remote_host na adresu cieľového počítača tak, že odoslanie úspešne prešlo.
- Keď sa prvýkrát pokúsite pripojiť, uvidíte správu "Autentickosť hostiteľa '203.1.113.1 (203.0.113.1)' sa nedá vytvoriť. ECDSA Key Fingerprint je FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: AD: D6: 6D: 22: FE. Naozaj chcete pokračovať v pripojení (áno / nie)? Áno. " Ak chcete pokračovať v pripojení, vyberte pozitívnu odpoveď.
- Potom bude nástroj nezávisle fungovať ako vyhľadávanie a kopírovanie kľúčov. V dôsledku toho, ak všetko úspešne pokračovalo, oznámenie "/ usr / bin / ssh-copy-id" sa objaví na obrazovke: Info: Pokus o prihlásenie s novým kľúčom (y), na filtrovanie akéhokoľvek, ktoré sú AADY Nainštalovaný / USR / Bin / SSH-COPY-ID: INFO: 1 Kláves (y) Zostáva nainštalovaný - ak sa zobrazí výzva, je nainštalovať nové tlačidlá [email protected] Heslo: ". To znamená, že môžete zadať heslo a presunúť sa do priameho ovládania vzdialenej pracovnej plochy.
Okrem toho budem špecifikovať, že po prvom úspešnom autorizácii v konzole sa objaví ďalší znak:
Počet pridaných kľúčov: 1
Teraz skúste prihlásiť sa do stroja, s: "ssh '[email protected]'"
A skontrolujte, či boli pridané iba kľúčové tlačidlo, ktoré ste chceli pridať.
Hovorí, že kľúč bol úspešne pridaný do vzdialeného počítača a už nie sú žiadne problémy, keď sa pokúsite pripojiť.
Metóda 2: Export kľúč cez ssh
Ako viete, export verejného kľúča vám umožní pripojiť sa k zadanému serveru bez predchádzajúceho zadania hesla. Teraz, keď kľúč ešte nie je na cieľovom počítači, môžete sa pripojiť cez SSH zadaním hesla tak, aby ste manuálne presunuli požadovaný súbor. Aby ste to urobili, v konzole budete musieť zadať príkaz mačky ~ / .ssh / id_rsa.pub | Ssh username @ remote_host "mkdir -p ~ / .ssh && dotyk ~ / .ssh / autorizované_Keys && chmod -r go = ~ / .sh & & mačka >> ~ / .ssh / Autorizované_Keys."
Na obrazovke sa musí zobraziť oznámenie.
Autenticita hostiteľa '203.0.113.1 (203.0.113.1) "sa nedá stanoviť.
ECDSA Key Fingerprint je FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: AD: D6: 6D: 22: FE.
Ste si istý, že chcete pokračovať v pripojení (áno / nie)?.
Potvrďte, že pokračujte v pripojení. Verejný kľúč sa automaticky skopíruje na koniec konfiguračného súboru Autorized_KEYS. Pokiaľ ide o tento postup exportu, je možné skončiť.
Metóda 3: MANUÁLNE KÓPY KOPÍROVANIA
Táto metóda bude vyhovovať týmto používateľom, ktorí nemajú možnosť vytvoriť vzdialené pripojenie k cieľovému počítaču, ale je k nej fyzický prístup. V tomto prípade sa bude musieť kľúčový kľúč presunúť nezávisle. Ak chcete začať, určiť informácie o ňom na serveri PC cez Cat ~ / .ssh / Id_rsa.Pub.
Konzola by sa mala objaviť SSH-RSA String + kľúč ako sada znakov == Demo @ test. Teraz môžete prejsť do iného počítača, kde by ste mali vytvoriť nový adresár zadaním MKDIR -P ~ / .ssh. Pridáva tiež textový súbor s názvom Autorizované_Keys. Zostáva len vložiť došlo k určitému skoršiemu tlačidlu prostredníctvom ECHO + ROCE VEREJNÉHO KRÁTU >> ~ / .ssh / Autorizované_Keys. Po tom bude autentifikácia k dispozícii bez predchádzajúceho zadania hesla. Toto sa vykonáva cez príkaz SSH Username @ Remote_host, kde by malo byť USERNAME @ Remote_host nahradené názvom požadovaného hostiteľa.
Považuje sa len o spôsoby, ako umožniť prenos verejného kľúča k novému zariadeniu, aby bolo možné pripojiť bez zadania hesla, ale teraz je zobrazený formulár na zápise. Takáto poloha vecí umožňuje útočníkom prístup k vzdialenej ploche, jednoducho hesiel. Ďalej ponúkame zabezpečenie bezpečnosti vykonaním určitých nastavení.
Zakázať autentifikáciu hesla
Ako už bolo spomenuté vyššie, možnosť autentifikácie hesla sa môže stať slabým prepojením v bezpečnosti vzdialeného pripojenia, pretože existujú prostriedky na nesprávnutie takýchto kľúčov. Ak máte záujem o maximálnu ochranu vášho servera, odporúčame vypnúť túto možnosť. Môžete to urobiť takto:
- Otvorte konfiguračný súbor / etc / ssh / sshd_config prostredníctvom akéhokoľvek pohodlného textového editora, môže to byť napríklad GEDIT alebo NANO.
- V zozname, ktorý sa otvorí, nájdite reťazec "heslauthentication" a odstráňte označenie #, aby sa tento príkaz aktívny. Zmeňte hodnotu ÁNO, aby ste nevypínali možnosť.
- Po dokončení stlačte Ctrl + O, aby sa zmeny uložili.
- Nemeňte názov súboru, ale stlačte ENTER, aby ste použili nastavenie.
- Textový editor môžete opustiť kliknutím na Ctrl + X.
- Všetky zmeny nadobudnú účinnosť len po reštartovaní služby SSH, tak to urobte okamžite cez SSH s SSH.
V dôsledku opatrení bude možnosť overovania hesla vypnutá, a vstup bude k dispozícii až po niekoľkých klávesoch RSA. Zvážte to, keď podobná konfigurácia.
Konfigurácia parametra brány firewall
Na konci dnešného materiálu chceme povedať o konfigurácii firewallu, ktorá sa použije na povolenia alebo zakázania zlúčenín. Prejdeme len hlavnými bodmi, pričom nekomplikovaný firewall (UFW).
- Po prvé, skontrolujme zoznam existujúcich profilov. Zadajte zoznam App SUDO UFW a kliknite na Enter.
- Potvrďte akciu zadaním hesla Superuser.
- Položte SSH v zozname. Ak je tento riadok prítomný, to znamená, že všetko funguje správne.
- Umožnite pripojenie cez tento nástroj písaním sudo ufw umožniť openssh.
- Zapnite firewall aktualizovať pravidlá. Toto sa vykonáva prostredníctvom príkazu SUDO UFW.
- Aktuálny stav brány firewallu môžete kedykoľvek skontrolovať zadaním stavu SUDO UFW.
Na tomto procese je konfigurácia SSH v Debiane dokončená. Ako vidíte, existuje mnoho rôznych nuans a pravidlá, ktoré je potrebné dodržiavať. Samozrejme, že v rámci jedného článku je nemožné, aby sa zmestili absolútne všetky informácie, takže sme sa dotkli len základných informácií. Ak máte záujem o získanie hlbších údajov o tomto nástroji, odporúčame vám oboznámiť sa so svojou oficiálnou dokumentáciou.