SSH setup sa Debian.

Tulad ng alam mo, ang Open SSH technology ay nagbibigay-daan sa iyo upang malayuang kumonekta sa isang partikular na computer at magpadala ng data sa pamamagitan ng napiling protektadong protocol. Pinapayagan ka nitong ipatupad at ganap na kontrolin ang napiling aparato, tinitiyak ang ligtas na pagpapalitan ng mahalagang impormasyon at kahit na mga password. Kung minsan ang mga gumagamit ay may pangangailangan na kumonekta sa pamamagitan ng SSH, ngunit bilang karagdagan sa pag-install ng utility mismo, kinakailangan upang makabuo at karagdagang mga setting. Gusto naming pag-usapan ito ngayon, pagkuha ng distrito ng Debian para sa halimbawa.

I-customize ang SSH sa Debian

Ibinahagi namin ang proseso ng pagsasaayos sa ilang hakbang, dahil ang bawat isa ay may pananagutan para sa pagpapatupad ng mga partikular na manipulasyon at maaaring maging kapaki-pakinabang lamang sa ilang mga gumagamit, na nakasalalay sa mga personal na kagustuhan. Magsimula tayo sa katotohanan na ang lahat ng mga aksyon ay gagawin sa console at kakailanganin upang kumpirmahin ang mga karapatan ng superuser, kaya maghanda para sa ito nang maaga.

Pag-install ng ssh-server at ssh-client

Bilang default, ang SSH ay kasama sa karaniwang hanay ng utility ng Operating System ng Debian, gayunpaman, dahil sa anumang mga tampok, ang mga kinakailangang file ay maaaring mang-aalipusta o wala lamang, halimbawa, kapag ang manu-mano ang gumagamit ay nag-uninstall. Kung kailangan mong i-pre-install ang SSH-server at SSH-client, sundin ang sumusunod na mga tagubilin:

1. Buksan ang start menu at simulan ang terminal mula doon. Magagawa ito sa pamamagitan ng karaniwang key na kumbinasyon ng Ctrl + Alt + T.



2. Narito ikaw ay interesado sa sudo apt install openssh-server command na responsable para sa pag-install ng bahagi ng server. Ipasok ito at mag-click sa Enter upang i-activate.



3. Tulad ng alam mo na, ang mga pagkilos na isinagawa sa argumento ng sudo ay kailangang ma-activate sa pamamagitan ng pagtukoy sa password ng superuser. Isaalang-alang na ang mga character na ipinasok sa linyang ito ay hindi ipinapakita.



4. Maabisuhan ka na ang mga pakete ay idinagdag o na-update. Kung naka-install na ang SSH-server sa Debian, lumilitaw ang isang mensahe sa pagkakaroon ng tinukoy na pakete.



5. Susunod, kakailanganin mong idagdag sa sistema at bahagi ng kliyente, para sa computer na kung saan ang koneksyon ay konektado sa hinaharap. Upang gawin ito, gumamit ng isang katulad na sudo apt-get install openssh-client command.

Wala nang mga karagdagang bahagi upang i-install ang anumang karagdagang mga bahagi, maaari mo na ngayong ligtas na lumipat sa pamamahala ng server at mga file ng pagsasaayos upang lumikha ng mga key at ihanda ang lahat upang higit pang kumonekta sa remote na desktop.

Pamamahala ng server at pagsuri sa kanyang trabaho

Sa madaling sabi ay tumuon sa kung paano pinamamahalaan ang naka-install na server at ang tseke ng operasyon nito. Dapat itong gawin bago lumipat sa setup upang matiyak na ang paggana ng mga idinagdag na bahagi ay tama.

1. Gamitin ang sudo systemctl paganahin ang sshd command upang magdagdag ng isang server sa autoload, kung hindi ito awtomatikong mangyayari. Kung kailangan mong kanselahin ang paglunsad sa operating system, gamitin ang SystemCL huwag paganahin ang SSHD. Pagkatapos ay ang manu-manong startup ay kinakailangan upang tukuyin ang SystemCTL START SSHD.



2. Ang lahat ng mga naturang pagkilos ay ganap na dapat gawin sa ngalan ng superuser, kaya kailangan mong ipasok ang kanyang password.



3. Ipasok ang SSH localhost command upang suriin ang server para sa pagganap. Palitan ang localhost sa lokal na address ng computer.



4. Kapag una kang kumonekta, aabisuhan ka na ang pinagmulan ay hindi na-verify. Nangyayari ito dahil hindi pa namin itinakda ang mga setting ng seguridad. Ngayon lamang kumpirmahin ang pagpapatuloy ng koneksyon sa pamamagitan ng pagpasok ng oo.

Pagdaragdag ng isang pares ng RSA Keys.

Ang pagkonekta mula sa server sa client at vice versa sa pamamagitan ng SSH ay isinasagawa sa pamamagitan ng pagpasok ng isang password, gayunpaman, inirerekomenda na lumikha ng isang pares ng mga susi na bubuuin sa pamamagitan ng mga algorithm ng RSA. Ang ganitong uri ng pag-encrypt ay posible upang lumikha ng pinakamainam na proteksyon, na magiging mahirap upang makapunta sa paligid ng magsasalakay kapag sinusubukang i-hack. Upang magdagdag ng isang pares ng mga susi lamang ng ilang minuto, at mukhang prosesong ito:

1. Buksan ang "terminal" at ipasok ang ssh-keygen doon.



2. Maaari mong malayang pumili ng isang lugar kung saan nais mong i-save ang landas sa key. Kung walang pagnanais na baguhin ito, pindutin lamang ang Enter key.



3. Ngayon ang bukas na key ay nilikha. Maaari itong protektado ng isang pariralang code. Ipasok ito sa ipinapakita na string o iwanan ang laman kung hindi mo nais na i-activate ang pagpipiliang ito.



4. Kapag ang pagpasok ng susi parirala ay kailangang tukuyin ito muli upang kumpirmahin.



5. Ang isang abiso ng paglikha ng isang pampublikong susi ay lilitaw. Tulad ng makikita mo, siya ay itinalaga ng isang hanay ng mga random na simbolo, at isang imahe ay nilikha sa mga random na algorithm.

Salamat sa pagkilos, isang lihim at pampublikong susi ang nalikha. Sila ay kasangkot para sa pagkonekta sa pagitan ng mga aparato. Ngayon ay kailangan mong kopyahin ang pampublikong susi sa server, at maaari mong gawin ito sa pamamagitan ng iba't ibang mga pamamaraan.

Kopyahin ang bukas na key sa server

Sa Debian, mayroong tatlong mga pagpipilian kung saan maaari mong kopyahin ang pampublikong susi sa server. Iminumungkahi namin agad na pamilyar ang iyong sarili sa lahat ng mga ito upang piliin ang pinakamainam sa hinaharap. Ito ay may kaugnayan sa mga sitwasyong iyon kung saan ang isa sa mga pamamaraan ay hindi magkasya o hindi nasiyahan ang mga pangangailangan ng gumagamit.

Paraan 1: ssh-copy-id team.

Magsimula tayo sa pinakasimpleng opsyon na nagpapahiwatig ng paggamit ng command ng SSH-Copy-ID. Bilang default, ang utility na ito ay binuo sa OS, kaya hindi na kailangan ang pre-installation. Ang syntax nito ay ang pinaka-simple hangga't maaari, at kakailanganin mong gawin ang mga pagkilos na ito:

1. Sa console, ipasok ang ssh-copy-id command sa username @ remote_host at i-activate ito. Palitan ang username @ remote_host sa address ng target na computer upang matagumpay na maipasa ang pagpapadala.



2. Kapag una mong sinubukan na kumonekta, makikita mo ang mensahe na "Ang pagiging tunay ng host '203.0.113.1 (203.0.113.1)' ay hindi maitatag. Ecdsa key fingerprint ay FD: FD: D4: F9: 77: FE: 73 : 84: E1: 55: 00: D6: 6D: 22: Fe. Sigurado ka bang gusto mong magpatuloy sa pagkonekta (oo / hindi)? Oo. " Pumili ng positibong sagot upang ipagpatuloy ang koneksyon.



3. Pagkatapos nito, ang utility ay malaya na magtrabaho bilang paghahanap at pagkopya ng susi. Bilang isang resulta, kung matagumpay ang lahat, ang abiso "/ USR / bin / ssh-kopya-id" ay lilitaw sa screen: Impormasyon: Pagsubok na mag-log in gamit ang bagong key (s), upang i-filter ang anumang na alady Naka-install / USR / Bin / ssh-kopya-id: Info: 1 key (s) Manatiling naka-install - Kung ikaw ay sinenyasan ngayon ito ay upang i-install ang bagong key ng [email protected]: ". Nangangahulugan ito na maaari mong ipasok ang password at lumipat nang direkta sa pagkontrol sa remote na desktop.

Bukod pa rito, tutukoy ko na pagkatapos ng unang matagumpay na pahintulot sa console, lilitaw ang susunod na karakter:

Bilang ng mga key (s) idinagdag: 1.

Ngayon subukan ang pag-log in sa makina, na may: "ssh '[email protected]'"

At suriin upang matiyak na ang tanging (mga) key na gusto mo ay idinagdag.

Sinasabi nito na ang susi ay matagumpay na naidagdag sa isang remote na computer at hindi na ang anumang mga problema ay babangon kapag sinubukan mong kumonekta.

Paraan 2: I-export ang key sa pamamagitan ng SSH.

Tulad ng alam mo, ang pag-export ng isang pampublikong key ay magbibigay-daan sa iyo upang kumonekta sa tinukoy na server nang hindi pa pumasok sa password. Ngayon, habang ang susi ay hindi pa sa target na computer, maaari kang kumonekta sa pamamagitan ng SSH sa pamamagitan ng pagpasok ng password upang manu-manong ilipat mo ang ninanais na file. Upang gawin ito, sa console kailangan mong ipasok ang command cat ~ / .ssh / id_rsa.pub | Ssh username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / authorized_keys && chmod -r go = ~ / .shsh && cat >> ~ / .ssh / authorized_keys."

Ang isang abiso ay dapat lumitaw sa screen.

Ang pagiging tunay ng host '203.0.113.1 (203.0.113.1)' ay hindi maitatag.

Ecdsa key fingerprint ay fd: fd: D4: F9: 77: 73: 84: E1: 55: 00: AD: D6: 6D: 22: Fe.

Sigurado ka bang gusto mong magpatuloy sa pagkonekta (oo / hindi)?.

Kumpirmahin ito upang ipagpatuloy ang koneksyon. Ang pampublikong key ay awtomatikong kinopya sa dulo ng file ng configuration ng awtorisadong_keys. Sa pamamaraan ng pag-export na ito, posible na tapos na.

Paraan 3: Manu-manong Kopyahin Key

Ang pamamaraan na ito ay angkop sa mga gumagamit na walang kakayahan na lumikha ng isang remote na koneksyon sa target na computer, ngunit may pisikal na access dito. Sa kasong ito, ang susi ay kailangang ililipat nang malaya. Upang magsimula, matukoy ang impormasyon tungkol dito sa PC ng server sa pamamagitan ng Cat ~ / .SSH / ID_RSA.pub.

Ang console ay dapat lumitaw ang SSH-RSA string + key bilang isang hanay ng mga character == demo @ test. Ngayon ay maaari kang pumunta sa ibang computer, kung saan dapat kang lumikha ng isang bagong direktoryo sa pamamagitan ng pagpasok ng mkdir -p ~ / .ssh. Nagdaragdag din ito ng isang text file na tinatawag na Awtorisadong_Keys. Ito ay nananatiling lamang upang ipasok doon ang isang mas naunang key sa pamamagitan ng echo + hilera ng isang pampublikong susi >> ~ / .ssh / authorized_keys. Pagkatapos nito, ang authentication ay magagamit nang walang naunang entry ng password. Ginagawa ito sa pamamagitan ng SSH username @ remote_host command, kung saan ang username @ remote_host ay dapat mapalitan ng pangalan ng kinakailangang host.

Itinuturing na lamang ang mga paraan na pinapayagan na maglipat ng pampublikong key sa isang bagong aparato upang gawing posible na kumonekta nang hindi pumapasok sa password, ngunit ngayon ang form sa entry ay ipinapakita pa rin. Ang ganitong posisyon ng mga bagay ay nagpapahintulot sa mga attackers na ma-access ang remote desktop, simpleng passwording. Susunod na nag-aalok kami upang matiyak ang seguridad sa pamamagitan ng pagsasagawa ng ilang mga setting.

Huwag paganahin ang pagpapatunay ng password

Tulad ng nabanggit mas maaga, ang posibilidad ng pagpapatunay ng password ay maaaring maging isang mahina na link sa kaligtasan ng isang remote na koneksyon, dahil may mga paraan ng misracting tulad key. Inirerekumenda namin ang hindi pinagana ang pagpipiliang ito kung interesado ka sa maximum na proteksyon ng iyong server. Maaari mo itong gawin tulad nito:

1. Buksan ang / etc / ssh / sshd_config configuration file sa pamamagitan ng anumang maginhawang editor ng teksto, maaaring ito, halimbawa, gedit o nano.



2. Sa listahan na bubukas, hanapin ang string ng "PasswordAuthentication" at alisin ang # sign upang gawing aktibo ang command na ito. Baguhin ang halaga ng oo sa hindi upang huwag paganahin ang pagpipilian.



3. Sa pagtatapos, pindutin ang Ctrl + O upang i-save ang mga pagbabago.



4. Huwag baguhin ang pangalan ng file, ngunit pindutin lamang ang Enter upang magamit ang setup.



5. Maaari mong iwan ang editor ng teksto sa pamamagitan ng pag-click sa Ctrl + X.



6. Ang lahat ng mga pagbabago ay magkakabisa lamang pagkatapos i-restart ang serbisyo ng SSH, kaya gawin ito kaagad sa pamamagitan ng sudo systemctl restart ssh.

Bilang resulta ng mga pagkilos, ang posibilidad ng pagpapatunay ng password ay hindi pinagana, at ang input ay magagamit lamang pagkatapos ng ilang mga RSA key. Isaalang-alang ito kapag ang isang katulad na pagsasaayos.

Pag-configure ng parameter ng firewall.

Sa pagtatapos ng materyal ngayon, nais nating sabihin ang tungkol sa pagsasaayos ng firewall, na gagamitin para sa mga pahintulot o mga pagbabawal ng mga compound. Kami ay pumasa lamang sa pamamagitan ng mga pangunahing punto, pagkuha ng uncomplicated firewall (UFW).

1. Una, suriin natin ang listahan ng mga umiiral na profile. Ipasok ang listahan ng sudo ufw app at mag-click sa Enter.



2. Kumpirmahin ang pagkilos sa pamamagitan ng pagtukoy sa password ng superuser.



3. Lay ssh sa listahan. Kung ang linyang ito ay naroroon doon, nangangahulugan ito na tama ang lahat ng bagay.



4. Payagan ang koneksyon sa pamamagitan ng utility na ito sa pamamagitan ng pagsusulat ng sudo ufw payagan ang OpenSSH.



5. I-on ang firewall upang i-update ang mga panuntunan. Ginagawa ito sa pamamagitan ng sudo UFW enable command.



6. Maaari mong suriin ang kasalukuyang katayuan ng firewall anumang oras sa pamamagitan ng pagpasok ng katayuan ng Sudo UFW.

Sa prosesong ito, kumpleto ang configuration ng SSH sa Debian. Tulad ng makikita mo, maraming iba't ibang mga nuances at mga patakaran na kailangang sundin. Siyempre, sa loob ng balangkas ng isang artikulo, imposibleng magkasya ang lahat ng impormasyon, kaya hinawakan lamang namin ang pangunahing impormasyon. Kung ikaw ay interesado sa pagkuha ng mas malalim na data tungkol sa utility na ito, ipinapayo namin sa iyo na maging pamilyar sa opisyal na dokumentasyon nito.