Ma'lumki, ochiq ssh texnologiyasi ma'lum bir kompyuterga masofadan turib ulanish va tanlangan protokol orqali ma'lumotlarni uzatish imkonini beradi. Bu sizga tanlangan qurilmani amalga oshirish va to'liq ma'lumot almashishni ta'minlash, muhim ma'lumotlar almashinuvi va hatto parollarni ta'minlash imkonini beradi. Ba'zida foydalanuvchilarga SSH orqali ulanish kerak, ammo yordamchi dasturni o'rnatishga qo'shimcha ravishda, ishlab chiqarish va qo'shimcha sozlashlar. Biz bugun bu haqda gaplashishni, debianni misolga olib borishni istaymiz.
Debian-da ssh-ni sozlang
Biz konfiguratsiya jarayonini bir necha bosqichlarga ajratamiz, chunki har biri ma'lum bir foydalanuvchilar uchun javobgardir va ular shaxsiy imtiyozlarga bog'liq bo'lgan ba'zi foydalanuvchilar uchun foydali bo'lishi mumkin, bu shaxsiy imtiyozlarga bog'liq. Barcha harakatlar konsolda amalga oshiriladi va superuser huquqlarini tasdiqlashi kerakligi bilan boshlaylik, shuning uchun oldindan tayyorgarlik ko'ring.SSH-SERVER VA SSH-Mijozni o'rnatish
SShda, SSH Debian operatsion tizimining standart tizimiga kiritilgan, ammo har qanday xususiyatlar tufayli zarur hujjatlar norasmiy ravishda buzilishi mumkin yoki shunchaki foydalanuvchi ishga tushirishni amalga oshirganda. Agar ssh-server va ssh-mijozni oldindan o'rnatishingiz kerak bo'lsa, quyidagi ko'rsatmalarga amal qiling:
- Boshlash menyusini oching va terminalni u erdan boshlang. Buni standart kalitning kombinatsiyasi bo'yicha Ctrl + Alt + T. orqali amalga oshirish mumkin.
- Bu erda siz SUDOP APT-ga qiziqasiz, bu server qismini o'rnatish uchun javobgar bo'lgan Opensh-server buyrug'i bilan qiziqasiz. Uni kiriting va faollashtirish uchun Enter ni bosing.
- Siz allaqachon bilganingizdek, Sudo argumentida bajarilgan harakatlar Superuser parolini ko'rsatish orqali faollashtirish kerak. Ushbu chiziqda kiritilgan belgilar ko'rinmaydi.
- Paketlar qo'shilgan yoki yangilangani haqida xabar beriladi. Agar SSH-server allaqachon Debianga o'rnatilgan bo'lsa, ko'rsatilgan paketning mavjudligida xabar paydo bo'ladi.
- Keyinchalik, siz ulanish kelajakda ulangan kompyuterga, tizimga va mijoz qismiga qo'shishingiz kerak bo'ladi. Buning uchun shunga o'xshash sudo apt-mijozlar buyrug'idan foydalaning.
Qo'shimcha komponentlarni o'rnatish uchun qo'shimcha komponentlar mavjud emas, endi bizda boshqa ish stoliga ulanish uchun barcha narsalarni tayyorlash va barcha narsalarni tayyorlash uchun xavfsiz tarzda o'tishingiz mumkin.
Serverni boshqarish va uning ishini tekshirish
Keling, o'rnatilgan server qanday boshqariladigan va uning ishlashini tekshirishiga e'tibor qaratamiz. Qo'shilgan komponentlarning ishlashi to'g'ri ekanligiga ishonch hosil qilish uchun sozlash uchun o'tishdan oldin amalga oshirilishi kerak.
- SUDCTTTL-dan foydalaning, agar u avtomatik ravishda ro'y bermasa, serverni qo'shish uchun SSHD buyrug'ini yoqing. Agar siz operatsion tizim bilan ishga tushirishni bekor qilishingiz kerak bo'lsa, SSHD-ni o'chiring. Keyin SSHD-ni ishga tushirish uchun SSHICTTL-ni ishga tushirish uchun qo'lda ishga tushirish kerak bo'ladi.
- Bunday barcha harakatlar mutlaqo superuser nomidan amalga oshirilishi kerak, shuning uchun siz uning parolini kiritishingiz kerak.
- SHOUS LOGINY KARTASIYA QABUL QABUL QABUL QILING Mahalliy kompyuter manziliga mahalliy joyni almashtiring.
- Siz birinchi ulanganda, manba tekshirilmaganligi haqida xabar beriladi. Bu biz hali ham xavfsizlik sozlamalarini o'rnatmaganligi sababli sodir bo'ladi. Endi "Ha" ni kiritish orqali ulanishning davomi.
Bir juft rspa tugmachalarini qo'shish
Serverdan mijozga ulanish va aksincha SSH orqali parolni kiritish orqali amalga oshiriladi, ammo RSA algoritmlari orqali ishlab chiqiladigan bir juft kalitlarni yaratish tavsiya etiladi. Ushbu turdagi shifrlash optimal himoyani yaratishga imkon beradi, ammo tajovuzkorni buzishga urinib, tajovuzkorni aylanib o'tish qiyin bo'ladi. Bir necha daqiqa davomida bir necha daqiqa qo'shing va bu jarayonga o'xshaydi:
- "Terminal" ni oching va u erda SSH-Radgen-ni kiriting.
- Siz mustaqil ravishda kalitga yo'lni tejashni istagan joyni tanlashingiz mumkin. Agar uni o'zgartirish istagi bo'lmasa, Enter tugmachasini bosing.
- Endi ochiq kalit yaratildi. U kod iborasi bilan himoyalanishi mumkin. Agar siz ushbu parametrni faollashtirishni xohlasangiz, uni namoyish qilingan satrda kiriting yoki bo'sh qoldiring.
- Asosiy iborani kiritishda uni tasdiqlash uchun uni yana ko'rsatishi kerak.
- Ommaviy kalitni yaratish to'g'risida xabar paydo bo'ladi. Ko'rib turganingizdek, unga tasodifiy belgilar to'plami va rasm tasodifiy algoritmlarda yaratilgan.
Harakat tufayli sir va ommaviy kalit yaratildi. Ular qurilmalarni ulash uchun jalb qilinadi. Endi siz jamoat kalitini serverga nusxalashingiz kerak va buni har xil usullar bilan bajarishingiz mumkin.
Serverga Open tugmachasini nusxalash
Debianda uchta variant mavjud, ularda siz jamoat kalitini serverga nusxalashingiz mumkin. Kelajakda maqbullikni tanlash uchun biz ularni barcha narsalar bilan tanishtirishni taklif qilamiz. Bu usullardan biri foydalanuvchi ehtiyojlarini qoniqtirmaydigan yoki qoniqtirmaydigan holatlarda muhimdir.
1-usul: SSH-nusxa-identifikator jamoasi
Keling, SSH-nusxadagi ID buyrug'idan foydalanishni anglatadigan eng oddiy variantdan boshlaylik. Odatiy bo'lib, ushbu yordam dasturi allaqachon OT-ga o'rnatilgan, shuning uchun uni o'rnatish oldindan o'rnatilishi kerak emas. Uning sintaksisi iloji boricha eng oddiy va siz bunday harakatlarni amalga oshirishingiz kerak bo'ladi:
- Konsolda foydalanuvchi ismi @ masofaviy_host-ga SSH-ID-identifikatori buyrug'ini kiriting va uni faollashtiring. Yuborish muvaffaqiyatli o'tgan bo'lsa, foydalanuvchi nomini @ masofaviy_hostni manzilli kompyuter manziliga almashtiring.
- Siz ulanishga harakat qilganingizda, "Xostning haqiqiyligi" xabarini ko'rasiz (203.0.113.1). ECFA: F9: 77: FE: FA: 73 : 84: E1: 55: 55: 55: 1: 6: 6d: 22: Xe. Siz ulanishni davom ettirishni xohlaysizmi (Ha / Yo'q)? Ha. " Ulanishni davom ettirish uchun ijobiy javobni tanlang.
- Shundan so'ng, yordamchi dastur kalitni qidirish va nusxalash sifatida mustaqil ravishda ishlaydi. Natijada, agar hamma narsa muvaffaqiyatli bo'lsa, xabarnoma "/ USR / SSH-ID" Ekranda paydo bo'ladi: yangi kalit (lar) ni, u yersiz har qanday narsani filtrlashga urinish O'rnatilgan / usr / ibn / blok-identifikatori: INFO: 1 tugmachali (lar) o'rnatilgan bo'lsa - agar sizga yangi kalitlarni o'rnating - agar siz yangi kalitlarni o'rnating. Bu siz parolni kiritishingiz va masofadan o'lchash ish stolini to'g'ridan-to'g'ri boshqarishingiz mumkinligini anglatadi.
Bundan tashqari, konsolda birinchi muvaffaqiyatli avtorizatsiyadan so'ng, keyingi belgi paydo bo'ladi:
Qo'shilgan kalit (lar) soni qo'shimcha: 1
Endi mashinaga kirishga harakat qiling: "SSH 'Foydalanuvchi [email protected]"
Va faqat siz xohlagan kalit (lar) qo'shilganligiga ishonch hosil qiling.
Unda aytilishicha, kalit uzoq kompyuterga muvaffaqiyatli qo'shilgan va endi ulanishga harakat qilganingizda hech qanday muammo tug'ilmaydi.
2-usul: ssh orqali eksport kaliti
Ma'lumki, ommaviy kalitning eksporti parolni kiritmasdan belgilangan serverga ulanishingizga imkon beradi. Endi kalit hali maqsadli kompyuterda bo'lmasa-da, SSH orqali parolni kiritib, kerakli faylni qo'lda siljitishingiz uchun ulanishingiz mumkin. Buning uchun konsolda siz buyruq mushukiga kirishingiz kerak ~ / .Ssh / ID_RSA.Pub | SSH Foydalanuvchi nomi @ masofaviy_host "mkdi -p ~ / & & &" Touch ~ / .SSh / & cat-& cat >> ~ / .SSh / Vakolatli_Keylar. "
Ekranda bildirishnoma paydo bo'lishi kerak.
Xostning haqiqiyligi '' 203.0.113.1 (203.0.113.1) '(203.0.113.1)') o'rnatib bo'lmaydi.
EcdSA kaliti barmoq izi FD: D4: F9: 77: 73: 84: E1: 55: 8: Fe.
Haqiqatan ham ulanishni davom ettirishni xohlaysizmi (Ha / Yo'q)?
Ulanishni davom ettirish uchun tasdiqlang. Ommaviy kalit avtomatik ravishda Vakolatli_keys konfiguratsiya faylining oxiriga ko'chiriladi. Ushbu eksport jarayonida tugatish mumkin.
3-usul: Qo'lda nusxa ko'chirish kaliti
Ushbu usul maqsadli kompyuterga masofadan ulanishni yaratishga qodir bo'lmagan foydalanuvchilarga mos keladi, ammo unga jismoniy kirish mavjud. Bunday holda, kalit mustaqil ravishda o'tkazilishi kerak. Avvalambor, Server Cack ~ / .Ssh / ID_RSA.Pub orqali u haqida ma'lumotni aniqlang.
Konsol ssh-RSA satr + tugmachasi, belgilar to'plami == demo @ sinov. Endi siz boshqa kompyuterga borishingiz mumkin, u erda mkda -p ~ / .SSH-ni kiritish orqali yangi katalog yaratishingiz kerak. Shuningdek, u vakolatli_keylar deb nomlangan matnli fayl qo'shadi. U faqat u erda Echo + Trele-ning ommaviy kaliti >> ~ / .SSh / Vakolatli_keylar orqali kiritish kerak. Shundan so'ng, autentifikatsiyadan oldingi parolsiz kirish mumkin. Bu SSH foydalanuvchi nomi @ masofaviy_host buyrug'i orqali amalga oshiriladi, unda foydalanuvchi nomi @ masofaviy_hostni talab qilinadigan xostning nomi bilan almashtirish kerak.
Ko'rib chiqish mumkin bo'lgan usullar parolni kiritmasdan ulanishni amalga oshirish uchun ommaviy kalitni yangi qurilmaga o'tkazishga imkon beradi, ammo endi kirishdagi shakl hanuzgacha ko'rsatiladi. Ishlarning bunday holati hujumchilarga oddiy ish stoliga kirishiga imkon beradi. Keyin ma'lum sozlamalarni bajarish orqali xavfsizlikni ta'minlaymiz.
Parolni autentifikatsiya qilish
Yuqorida aytib o'tilganidek, parolni autentifikatsiya qilish ehtimoli uzoq ulanish xavfsizligida zaif aloqaga aylanishi mumkin, chunki bunday kalitlarni buzish vositasi mavjud. Agar sizning serveringiz maksimal himoyasini xohlasangiz, biz ushbu parametrni o'chirib qo'yamiz. Siz buni shunday qilishingiz mumkin:
- Har qanday qulay matn muharriri orqali, masalan, har qanday qulay matn muharriri orqali / hokazo / sshd_config konfiguratsiyasini oching, masalan, Gedit yoki Nano.
- Ushbu buyruqni faol qilish uchun "parol" ni ochgan ro'yxatda "parol" ni toping va ushbu buyruqni faollashtirish uchun # belgisini olib tashlang. Variantni o'chirish uchun "Ha" qiymatini o'zgartiring.
- Tugatgandan so'ng, o'zgarishlarni saqlash uchun CTRL + O tugmasini bosing.
- Fayl nomini o'zgartirmang, lekin sozlashdan foydalanish uchun Enter ni bosing.
- Siz matn muharririni CTRL + X tugmachasini bosish orqali tark etishingiz mumkin.
- Barcha o'zgarishlar SSH xizmatini qayta ishga tushirgandan keyingina amalga oshiriladi, shuning uchun darhol SUSH TIMECTL orqali qayta ishga tushirish orqali darhol SSH.
Amallar natijasida parolni autentifikatsiya qilish imkoniyati o'chiriladi va kiritish faqat RSA tugmalaridan keyin mavjud bo'ladi. Shunga o'xshash konfiguratsiya paytida buni ko'rib chiqing.
Firewall parametrini sozlash
Bugungi material oxirida biz aralashmalar ruxsati yoki taqiqlash uchun ishlatiladigan xavfsizlik devori konfiguratsiyasi haqida gapirib bermoqchimiz. Biz faqat murakkab xavfsizlik devori (UFW) ni o'z zimmasiga olgan asosiy fikrlar bilan o'tamiz.
- Birinchidan, mavjud bo'lgan profillar ro'yxatini tekshirib ko'ring. SUDW UFW ilovalari ro'yxatini kiriting va Enter ni bosing.
- Superuser parolini ko'rsatish orqali harakatni tasdiqlang.
- Ro'yxatda ssh yotar. Agar bu satr u erda bo'lsa, bu hamma narsa to'g'ri ishlaydi.
- SUDO UFWni yozish orqali ushbu yordam dasturi orqali ulanishga ruxsat bering.
- Qoidalarni yangilash uchun xavfsizlik devorini yoqing. Bu sudo ufw orqali amalga oshiriladi.
- Siz istalgan vaqtda xavfsizlik devorining joriy holatini Sudo UFW holatini kiritish orqali tekshirishingiz mumkin.
Ushbu jarayonda Debianning SSH konfiguratsiyasi to'liqdir. Ko'rinib turibdiki, kuzatilishi kerak bo'lgan turli xil nuops va qoidalar mavjud. Albatta, bitta maqola doirasida mutlaqo barcha ma'lumotlarga mos kelmaydi, shuning uchun biz faqat asosiy ma'lumotlarga tegib qaytdik. Agar siz ushbu yordam dasturi haqida ko'proq ma'lumot olishni istasangiz, biz sizga o'zingizning rasmiy hujjatlari bilan tanishishni maslahat beramiz.