Siç e dini, teknologjia e Hapur SSH ju lejon të lidheni në distancë me një kompjuter të veçantë dhe të transmetoni të dhëna përmes Protokollit të Mbrojtur të Zgjedhur. Kjo ju lejon të zbatoni dhe kontrolloni plotësisht pajisjen e zgjedhur, duke siguruar shkëmbim të sigurt të informacionit të rëndësishëm dhe madje edhe fjalëkalime. Ndonjëherë përdoruesit kanë nevojë të lidhen përmes SSH, por përveç instalimit të vetë shërbimeve, është e nevojshme të prodhohen dhe cilësimet shtesë. Ne duam të flasim për të sot, duke marrë shpërndarjen e debian për shembullin.
Personalizoni SSH në Debian
Ne ndajmë procesin e konfigurimit në disa hapa, pasi secili është përgjegjës për zbatimin e manipulimeve specifike dhe thjesht mund të jenë të dobishme për përdoruesit e caktuar, të cilat varen nga preferencat personale. Le të fillojmë me faktin se të gjitha veprimet do të bëhen në tastierë dhe do të duhet të konfirmojnë të drejtat e superuser, kështu që përgatiten për këtë paraprakisht.Instalimi i SSH-Server dhe SSH-Client
By default, SSH është përfshirë në grupin standard të Sistemit Operativ të Sistemit Operativ, megjithatë, për shkak të çdo karakteristi, dosjet e nevojshme mund të jenë zemërim ose thjesht të mungojnë, për shembull, kur përdoruesi prodhon manualisht uninstallation. Nëse keni nevojë të para-instaloni SSH-Server dhe SSH-Client, ndiqni udhëzimet e mëposhtme:
- Hapni menunë Start dhe filloni terminalin nga atje. Kjo mund të bëhet përmes kombinimit të standardeve Ctrl + Alt + T.
- Këtu ju jeni të interesuar në sudo apt instaloni komandën openssh-server që është përgjegjës për instalimin e pjesës së serverit. Shkruani atë dhe klikoni mbi Enter për të aktivizuar.
- Siç e dini, veprimet e kryera me argumentin e sudo do të duhet të aktivizohen duke specifikuar fjalëkalimin superuser. Konsideroni se personazhet e futura në këtë linjë nuk shfaqen.
- Ju do të njoftoheni se paketat shtohen ose përditësohen. Nëse SSH-Server është instaluar tashmë në Debian, një mesazh shfaqet në praninë e paketës së specifikuar.
- Tjetra, do t'ju duhet të shtoni në sistem dhe në pjesën e klientit, si për kompjuterin në të cilin lidhja do të lidhet në të ardhmen. Për ta bërë këtë, përdorni një sudo të ngjashme, të instaloni komandën e openssh-klientit.
Nuk ka më komponentë shtesë për të instaluar ndonjë komponent shtesë, tani mund të kaloni në mënyrë të sigurtë në skedarët e menaxhimit të serverit dhe konfigurimit për të krijuar çelësa dhe për të përgatitur gjithçka për t'u lidhur më tej me desktopin e largët.
Menaxhimi i serverit dhe kontrollimi i punës së tij
Shkurtimisht le të përqendrohemi në atë se si menaxhohet serveri i instaluar dhe kontrolli i funksionimit të tij. Duhet të bëhet para se të kaloni në konfigurim për të siguruar që funksionimi i komponentëve të shtuar është i saktë.
- Përdorni SUMDY SystemCTL Enable Command SSHD për të shtuar një server për të autoload, nëse nuk ndodh automatikisht. Nëse keni nevojë të anuloni nisjen me sistemin operativ, përdorni SystemCTL Disable SSHD. Pastaj do të jetë e nevojshme fillimi manual për të specifikuar Sistemit STSHD STHD.
- Të gjitha veprimet e tilla absolutisht duhet gjithmonë të kryhen në emër të superuser, kështu që ju duhet të shkruani fjalëkalimin e tij.
- Shkruani komandën SSH Localhost për të kontrolluar serverin për performancë. Zëvendësoni localhost në adresën kompjuterike lokale.
- Kur të lidheni së pari, do të njoftoheni se burimi nuk verifikohet. Kjo ndodh sepse nuk kemi vendosur ende cilësimet e sigurisë. Tani vetëm konfirmoni vazhdimin e lidhjes duke hyrë po.
Duke shtuar një palë çelësash RSA
Lidhja nga serveri tek klienti dhe anasjelltas përmes SSH-së kryhet duke futur një fjalëkalim, megjithatë, rekomandohet të krijohet një palë çelësash që do të zhvillohen përmes algoritmeve të RSA. Ky lloj encryption do të bëjë të mundur krijimin e mbrojtjes optimale, e cila do të jetë e vështirë për të marrë rreth sulmuesit kur përpiqen të kolliten. Për të shtuar një palë çelësash vetëm disa minuta, dhe duket si ky proces:
- Hapni "terminalin" dhe futni SSH-Keygen atje.
- Ju mund të zgjidhni në mënyrë të pavarur një vend ku dëshironi të ruani rrugën drejt çelësit. Nëse nuk ka dëshirë për ta ndryshuar atë, thjesht shtypni butonin ENTER.
- Tani është krijuar çelësi i hapur. Mund të mbrohet me një frazë të kodit. Shkruani atë në vargun e shfaqur ose të lënë bosh nëse nuk dëshironi të aktivizoni këtë opsion.
- Kur futni frazën kryesore do të duhet ta specifikoni përsëri për të konfirmuar.
- Do të shfaqet një njoftim për krijimin e një çelës publik. Siç mund ta shihni, ai u caktua një sërë simbolesh të rastit, dhe një imazh u krijua në algoritme të rastësishme.
Falë veprimit të bërë, është krijuar një çelës sekret dhe publik. Ata do të përfshihen për lidhjen midis pajisjeve. Tani ju duhet të kopjoni çelësin publik në server, dhe ju mund ta bëni këtë me metoda të ndryshme.
Kopjoni çelësin e hapur në server
Në Debian, ka tre opsione me të cilat mund të kopjoni çelësin publik në server. Ne sugjerojmë që menjëherë të njiheni me të gjithë ata në mënyrë që të zgjidhni optimale në të ardhmen. Kjo është e rëndësishme në ato situata ku një nga metodat nuk i përshtatet ose nuk i plotëson nevojat e përdoruesit.
Metoda 1: SSH-Copy-ID id
Le të fillojmë me opsionin më të thjeshtë që nënkupton përdorimin e komandës SSH-Copy-ID. Sipas parazgjedhjes, kjo shërbim është ndërtuar tashmë në OS, kështu që nuk ka nevojë për para-instalim. Sintaksa e saj është gjithashtu më e thjeshtë të jetë e mundur, dhe ju do të duhet të kryeni veprime të tilla:
- Në tastierë, futni komandën SSH-Copy-id në emrin e përdoruesit @ remote_host dhe aktivizoni atë. Zëvendësoni emrin e përdoruesit @ remote_host në adresën e kompjuterit të synuar në mënyrë që dërgimi të ketë kaluar me sukses.
- Kur të përpiqeni së pari, do të shihni mesazhin "Autenticiteti i pritësit" 203.0.113.1 (203.0.113.1) "nuk mund të vendoset. Ekranizmi i gishtave të çelësit është FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: Ad: D6: 6d: 22: Fe A jeni i sigurt se doni të vazhdoni lidhjen (po / jo)? Po. " Zgjidh një përgjigje pozitive për të vazhduar lidhjen.
- Pas kësaj, ndërmarrja do të punojë në mënyrë të pavarur si kërkim dhe kopjimi i çelësit. Si rezultat, nëse gjithçka shkoi me sukses, njoftimi "/ usr / bin / ssh-copy-id" do të shfaqet në ekran: Info: Përpjekja për të hyrë me çelësin e ri (s), për të filtruar çdo gjë që është Allady Installed / USR / bin / ssh-Copy-id: Info: 1 çelësat mbeten për t'u instaluar - Nëse ju kërkohet tani është instalimi i çelësave të rinj [email protected] '. Kjo do të thotë që ju mund të futni fjalëkalimin dhe të lëvizni direkt duke kontrolluar desktopin e largët.
Përveç kësaj, unë do të specifikoj se pas autorizimit të parë të suksesshëm në tastierë, do të shfaqet karakteri tjetër:
Numri i çelësit (t) shtuar: 1
Tani provoni të hyni në makinë, me: "SSH '[email protected]" "
Dhe kontrolloni për të siguruar që vetëm çelësi (t) që keni kërkuar janë shtuar.
Ajo thotë se çelësi u shtua me sukses në një kompjuter të largët dhe nuk do të lindë më asnjë problem kur përpiqeni të lidheni.
Metoda 2: Çelësi i eksportit përmes SSH
Siç e dini, eksporti i një çelës publik do t'ju lejojë të lidheni me serverin e specifikuar pa para se të futni fjalëkalimin. Tani, ndërsa çelësi nuk është ende në kompjuterin e synuar, ju mund të lidheni përmes SSH duke futur fjalëkalimin në mënyrë që të lëvizni manualisht skedarin e dëshiruar. Për ta bërë këtë, në tastierë ju do të keni për të hyrë në komandën cat ~ / .ssh / id_rsa.pub | SSH Username @ remote_host "MKDIR -P ~ / .ssh && prek ~ /
Një njoftim duhet të shfaqet në ekran.
Autenticiteti i pritësit '203.0.113.1 (203.0.13.1)' nuk mund të vendoset.
Kreu i çelësit të Ekranëve është FD: FD: D4: F9: 77: FE: 73: 84: E1: 55: 00: Ad: D6: 6D: 22: Fe.
Jeni i sigurt që dëshironi të vazhdoni të lidhni (Po / Jo)?.
Konfirmoni atë për të vazhduar lidhjen. Çelësi publik do të kopjohet automatikisht në fund të skedarit të konfigurimit të autorizuar_Keys. Në këtë procedurë të eksportit, është e mundur të përfundosh.
Metoda 3: Çelësi i kopjimit manual
Kjo metodë do t'i përshtatet atyre përdoruesve që nuk kanë aftësi për të krijuar një lidhje të largët me kompjuterin e synuar, por ka qasje fizike në të. Në këtë rast, çelësi do të duhet të transferohet në mënyrë të pavarur. Për të filluar, përcaktoni informacionin në lidhje me të në Server PC nëpërmjet Cat ~ / .ssh / id_rsa.pub.
Console duhet të shfaqet SSH-RSA String + Tasti si një grup i karaktereve == demo @ test. Tani mund të shkoni në një kompjuter tjetër, ku duhet të krijoni një direktori të re duke hyrë në MKDIR -P ~ / .ssh. Gjithashtu shton një skedar teksti të quajtur autorizuar_Keys. Mbetet vetëm për të futur atje një çelës të caktuar më herët nëpërmjet Echo + Row të një çelës publik >> ~ / .ssh / autorizuar_Keys. Pas kësaj, autentifikimi do të jetë i disponueshëm pa hyrje paraprake të fjalëkalimit. Kjo është bërë përmes komandës SSH Username @ Remote_Host, ku emri i përdoruesit @ Remote_Host duhet të zëvendësohet me emrin e hostit të kërkuar.
Konsiderohen vetëm mënyrat e lejuara për të transferuar një çelës publik në një pajisje të re për të bërë të mundur lidhjen pa hyrë në fjalëkalim, por tani forma në hyrje ende është shfaqur. Një pozitë e tillë e gjërave i lejon sulmuesit të hyjnë në desktop të largët, thjesht fjalëkalimin. Tjetra ne ofrojmë për të siguruar sigurinë duke kryer disa cilësime.
Çaktivizo autentifikimin e fjalëkalimeve
Siç u përmend më herët, mundësia e autentifikimit të fjalëkalimeve mund të bëhet një lidhje e dobët në sigurinë e një lidhjeje të largët, pasi që ka mjete për të kundërshtuar çelësat e tillë. Ne rekomandojmë me aftësi të kufizuara këtë opsion nëse jeni të interesuar për mbrojtjen maksimale të serverit tuaj. Ju mund ta bëni këtë:
- Hapni skedarin e konfigurimit / etc / ssh / sshd_config nëpërmjet çdo redaktori të përshtatshëm të tekstit, mund të jetë, për shembull, Gedit ose Nano.
- Në listën që hapet, gjeni vargun "Passwordauthentication" dhe hiqni shenjën # për ta bërë këtë komandë aktive. Ndryshoni vlerën e Po për të mos e çaktivizuar opsionin.
- Pas përfundimit, shtypni Ctrl + o për të ruajtur ndryshimet.
- Mos e ndryshoni emrin e skedarit, por thjesht shtypni Enter për të përdorur konfigurimin.
- Ju mund të largoheni nga editorin e tekstit duke klikuar në Ctrl + X.
- Të gjitha ndryshimet do të hyjnë në fuqi vetëm pas rifillimit të shërbimit SSH, kështu që menjëherë nëpërmjet Sudo Systemtl Restart SSH.
Si rezultat i veprimeve, mundësia e autentifikimit të fjalëkalimeve do të çaktivizohet, dhe kontributi do të jetë i disponueshëm vetëm pas disa çelësave të RSA. E konsideroni këtë kur një konfigurim të ngjashëm.
Konfigurimi i parametrit të firewall
Në fund të materialit të sotëm, ne duam të tregojmë për konfigurimin e firewall, i cili do të përdoret për lejet ose ndalimet e komponimeve. Ne do të kalojmë vetëm nga pikat kryesore, duke marrë firewall të pakomplikuar (UFW).
- Së pari, le të kontrollojmë listën e profileve ekzistuese. Shkruani listën e aplikacioneve SUDO UFW dhe klikoni mbi Enter.
- Konfirmoni veprimin duke specifikuar fjalëkalimin SuperUser.
- Vendosej ssh në listë. Nëse kjo linjë është e pranishme atje, kjo do të thotë që çdo gjë funksionon në mënyrë korrekte.
- Lejoni lidhjen përmes kësaj ndërmarrjeje duke shkruar sudo ufw lejoni openssh.
- Aktivizo firewall për të përditësuar rregullat. Kjo është bërë përmes komandës së mundshme të mund të mundësojë.
- Ju mund të kontrolloni statusin aktual të firewall në çdo kohë duke hyrë në sudo ufw statusin.
Në këtë proces, konfigurimi i SSH në Debian është i plotë. Siç mund ta shihni, ka shumë nuanca dhe rregulla të ndryshme që duhet të respektohen. Natyrisht, brenda kuadrit të një artikulli, është e pamundur të përshtateshim absolutisht të gjitha informacionet, kështu që ne vetëm kemi prekur informacionin bazë. Nëse jeni të interesuar të merrni të dhëna më të thella për këtë shërbim, ne ju këshillojmë që të njiheni me dokumentacionin e tij zyrtar.