SSH (Secure Shell) tegnologie maak voorsiening vir veilige afstandbeheer van 'n rekenaar deur middel van 'n veilige verbinding. SSH versleutelt alle oorgedra lêers, insluitende wagwoorde, en stuur ook absoluut enige netwerkprotokol. Vir die gereedskap om korrek te werk, is dit nodig om dit nie net te installeer nie, maar ook om dit te konfigureer. Ons wil graag oor die produk van die hoofkonfigurasie in hierdie artikel praat, soos byvoorbeeld die nuutste weergawe van die Ubuntu-bedryfstelsel waarop die bediener geleë sal wees.
Stel SSH in Ubuntu op
As u nie die installasie op die bediener- en klientrekenaars voltooi het nie, moet u dit aanvanklik doen, aangesien die hele prosedure redelik eenvoudig is en nie veel tyd neem nie. Vir nadere inligting oor hierdie onderwerp, sien ons ander artikel by die volgende skakel. Dit wys ook die prosedure vir die wysiging van die konfigurasielêer en die toetsing van SSH, so vandag sal ons op ander take bly.
Lees meer: SSH-bediener installeer in Ubuntu
Skep 'n RSA-sleutelpaar
Die nuut geïnstalleerde SSH het nie die gespesifiseerde sleutels om vanaf die bediener aan die kliënt te koppel nie en andersom. Al hierdie parameters moet onmiddellik opgestel word nadat al die komponente van die protokol bygevoeg is. Die sleutelpaar werk met die RSA-algoritme (kort vir die name van die ontwikkelaars van Rivest, Shamir en Adleman). Danksy hierdie kriptosisteem word spesiale sleutels geïnkripteer deur gebruik te maak van spesiale algoritmes. Om 'n paar publieke sleutels te skep, hoef jy net die toepaslike opdragte in die konsole in te voer en volg die instruksies wat verskyn.
- Gaan werk saam met "Terminal" enige gerieflike metode, byvoorbeeld deur dit oop te maak deur 'n spyskaart of 'n kombinasie van sleutels Ctrl + Alt + T.
- Voer die opdrag in
ssh-keygen
en druk dan op die sleutel Tik. - U sal gevra word om 'n lêer te skep waar die sleutels gered sal word. As jy dit op die verstekposisie wil hou, klik net op Tik.
- Die publieke sleutel kan beskerm word deur 'n kode frase. As jy hierdie opsie wil gebruik, skryf die wagwoord in die verskyn lyn. Die ingevoerde karakters sal nie vertoon word nie. Die nuwe reël sal dit moet herhaal.
- Verder sal jy 'n kennisgewing sien dat die sleutel gered is, en jy sal ook in staat wees om met sy willekeurige grafiese beeld kennis te maak.
Nou is daar 'n geskep paar sleutels - geheime en oop, wat gebruik sal word vir verdere verbinding tussen rekenaars. Jy hoef net die sleutel op die bediener te plaas sodat SSH-verifikasie suksesvol is.
Kopieer die publieke sleutel na die bediener
Daar is drie metodes vir die kopiëring van sleutels. Elkeen van hulle sal optimaal wees in verskillende situasies waar byvoorbeeld een van die metodes nie werk of nie geskik is vir 'n spesifieke gebruiker nie. Ons stel voor om al drie opsies te oorweeg, met die mees eenvoudige en effektiewe begin.
Opsie 1: ssh-kopie-id opdrag
spanssh-kopie-id
ingebou in die bedryfstelsel, dus vir die implementering daarvan hoef nie enige bykomende komponente te installeer nie. Volg eenvoudige sintaks om sleutel te kopieer. die "Terminal" moet ingevul wordssh-copy-id gebruikersnaam @ remote_host
waar gebruikersnaam @ remote_host - die naam van die afgeleë rekenaar
Wanneer u die eerste keer verbind, sal u 'n kennisgewing teks ontvang:
Die egtheid van die gasheer '203.0.113.1 (203.0.113.1)' kan nie vasgestel word nie.
ECDSA sleutel vingerafdruk is fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Is jy seker jy wil voortgaan om te verbind (ja / nee)? ja
U moet 'n opsie spesifiseer ja om die verbinding voort te sit. Daarna sal die nut onafhanklik soek na die sleutel in die vorm van 'n lêer.id_rsa.pub
wat vroeër geskep is. Na suksesvolle opsporing word die volgende resultaat vertoon:
/ usr / bin / ssh-copy-id: INFO: Ek het reeds geïnstalleer
/ usr / bin / ssh-copy-id: INFO: 1 sleutel (s) bly geïnstalleer
[email protected] se wagwoord:
Spesifiseer die wagwoord van die afgeleë gasheer sodat die nut dit kan invoer. Die instrument sal die data van die publieke sleutel lêer kopieer. ~ / .ssh / id_rsa.puben dan sal die boodskap op die skerm verskyn:
Probeer nou aanmeld by die masjien, met: "ssh '[email protected]'"Aantal sleutel (te) bygevoeg: 1
check dit uit.
Die voorkoms van sulke teks beteken dat die sleutel suksesvol afgelaai is na die afgeleë rekenaar, en nou sal daar geen probleme met die verbinding wees nie.
Opsie 2: Kopieer die publieke sleutel via SSH
As u nie die bogenoemde nut kan gebruik nie, maar u0026 # 39; n wagwoord om aan te meld op die remote SSH-bediener, kan jy jou gebruikers sleutel handmatig laai en sodoende verdere stabiele verifikasie verseker wanneer jy aansluit. Gebruik vir hierdie opdrag katwat die data van die lêer sal lees, en dan sal hulle na die bediener gestuur word. In die konsole moet jy die lyn invul
kat ~ / .ssh / id_rsa.pub | ssh gebruikersnaam @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / authorized_keys && chmod -R go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys"
.
Wanneer 'n boodskap verskyn
Die egtheid van die gasheer '203.0.113.1 (203.0.113.1)' kan nie vasgestel word nie.
ECDSA sleutel vingerafdruk is fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Is jy seker jy wil voortgaan om te verbind (ja / nee)? ja
Hou aan om te koppel en voer die wagwoord in om by die bediener aan te meld. Daarna word die publieke sleutel outomaties na die einde van die konfigurasie lêer gekopieer. authorized_keys.
Opsie 3: Die publieke sleutel handmatig kopieer
In die geval van 'n gebrek aan toegang tot 'n afgeleë rekenaar via 'n SSH-bediener, word al die bogenoemde stappe handmatig uitgevoer. Om dit te doen, leer eers die sleutel op die bediener-rekenaar deur die opdragkat ~ / .ssh / id_rsa.pub
.
Die skerm sal so iets vertoon:ssh-rsa + sleutel as karakterstel == demo @ toets
. Daarna gaan werk op die afgeleë toestel, waar skep 'n nuwe gids deurmkdir -p ~ / .ssh
. Dit skep ook 'n lêer.authorized_keys
. Vervolgens, voeg die sleutel in wat jy vroeër geleer hetecho + publieke sleutel string >> ~ / .ssh / authorized_keys
. Daarna kan jy probeer om met die bediener te verifieer sonder om wagwoorde te gebruik.
Verifikasie op die bediener deur die gegenereerde sleutel
In die vorige gedeelte het jy geleer oor die drie metodes om die sleutel van 'n afgeleë rekenaar na 'n bediener te kopieer. Sodanige aksies sal jou toelaat om te koppel sonder om 'n wagwoord te gebruik. Hierdie prosedure word uitgevoer vanaf die opdrag lyn deur te tikshh ssh gebruikersnaam @ remote_host
waar gebruikersnaam @ remote_host - gebruikersnaam en gasheer van die gewenste rekenaar. Wanneer u die eerste keer verbind, sal u in kennis gestel word van 'n onbekende verbinding en u kan voortgaan deur die opsie te kies ja.
Die verbinding sal outomaties plaasvind as 'n wagwoordfrase nie gespesifiseer is tydens die sleutelpaar-skepping nie. Andersins moet u dit eers invoer om met SSH te werk.
Deaktiveer wagwoord-verifikasie
Suksesvolle instelling van sleutelkopiëring word in die situasie oorweeg wanneer u die bediener kan invoer sonder om 'n wagwoord te gebruik. Die moontlikheid om op hierdie manier te verifieer, laat die aanvallers toe om gereedskap te gebruik om 'n wagwoord te vind en in 'n veilige konneksie te breek. Om jouself van sulke gevalle te beskerm, sal 'n volledige deaktivering van die aanmeldwagwoord in die SSH-konfigurasielêer moontlik wees. Dit sal vereis word:
- die "Terminal" maak die konfigurasielêer deur die redigeerder oop met die opdrag
sudo gedit / etc / ssh / sshd_config
. - Vind die lyn «PasswordAuthentication» en verwyder die punt # aan die begin om die parameter te ontken.
- Verander die waarde na geen en stoor die huidige konfigurasie.
- Maak die redigeerder toe en herbegin die bediener.
sudo systemctl herbegin ssh
.
Wagwoord-verifikasie sal gedeaktiveer word, en jy sal slegs by die bediener kan aanmeld met behulp van die sleutels wat spesiaal hiervoor gemaak is met die RSA-algoritme.
'N standaard firewall instel
In Ubuntu is die standaard firewall die Firewall (UFW) Firewall. Dit laat jou toe om verbindings vir geselekteerde dienste toe te laat. Elke aansoek skep sy eie profiel in hierdie hulpmiddel, en UFW beheer hulle deur verbindings toe te staan of te ontken. Om 'n SSH-profiel te konfigureer deur dit by die lys te voeg, word soos volg gedoen:
- Maak die lys van firewall profiele oop met die opdrag
sudo ufw app lys
. - Voer jou rekening se wagwoord in om inligting te vertoon.
- U sal 'n lys van beskikbare toepassings sien, OpenSSH behoort onder hulle te wees.
- Nou moet jy verbindings oor SSH toelaat. Om dit te doen, voeg dit by die lys van toegelate profiele met behulp van
sudo ufw laat OpenSSH toe
. - Aktiveer die firewall deur die reëls op te dateer
sudo ufw aktiveer
. - Om seker te maak dat die verbindings toegelaat word, moet jy skryf
sudo ufw status
, dan sal jy die netwerkstatus sien.
Dit voltooi ons SSH-konfigurasie-instruksies vir Ubuntu. Verdere konfigurasie van die konfigurasielêer en ander parameters word persoonlik deur elke gebruiker onder sy versoeke uitgevoer. U kan u vertroud maak met die werking van alle komponente van SSH in die amptelike dokumentasie van die protokol.