Konfiguro SSH në Ubuntu

SSH (Secure Shell) teknologji lejon kontroll të sigurt të largët të një kompjuteri nëpërmjet një lidhje të sigurt. SSH krijon të gjitha skedarët e transferuar, duke përfshirë fjalëkalimet, dhe transmeton absolutisht çdo protokoll rrjeti. Për mjetin që të punojë në mënyrë korrekte, është e nevojshme jo vetëm ta instaloni, por edhe ta konfiguroni atë. Ne dëshirojmë të flasim për produktin e konfigurimit kryesor në këtë artikull, duke marrë si shembull versionin më të fundit të sistemit operativ Ubuntu në të cilin do të vendoset serveri.

Konfiguro SSH në Ubuntu

Nëse nuk e keni përfunduar instalimin në server dhe në kompjuterët e klientit, duhet ta bëni atë fillimisht, pasi që e gjithë procedura është mjaft e thjeshtë dhe nuk merr shumë kohë. Për udhëzime të detajuara mbi këtë temë, shih artikullin tonë të ri në lidhjen e mëposhtme. Ai gjithashtu tregon procedurën për redaktimin e skedarit të konfigurimit dhe testimin e SSH, kështu që sot ne do të ndalemi në detyra të tjera.

Lexo më shumë: Instalimi i SSH-server në Ubuntu

Krijimi i një palë kyçe të RSA

SSH-ja e sapo instaluar nuk ka çelësat e specifikuar për t'u lidhur nga serveri tek klienti dhe anasjelltas. Të gjithë këta parametra duhet të vendosen manualisht menjëherë pas shtimit të të gjitha komponentëve të protokollit. Palët kyçe punojnë duke përdorur algoritmin RSA (të shkurtër për emrat e zhvilluesve të Rivest, Shamir, dhe Adleman). Falë këtij sistemi kriptosistem, çelësat e veçantë janë të koduara duke përdorur algoritme të veçanta. Për të krijuar një çift të çelësave publike, vetëm duhet të futni komandat e duhura në tastierë dhe ndiqni udhëzimet që shfaqen.

  1. Shkoni te punoni me "Terminal" çdo metodë të përshtatshme, për shembull, duke e hapur atë nëpërmjet një menyje ose një kombinimi të çelësave Ctrl + Alt + T.

  2. Shkruani komandënssh-keygendhe pastaj shtypni butonin hyj.

  3. Ju do të nxitet për të krijuar një skedar ku çelësat do të ruhen. Nëse doni të mbani ato në vendin e paracaktuar, thjesht klikoni mbi hyj.

  4. Kyçi publik mund të mbrohet me një frazë kodimi. Nëse dëshironi ta përdorni këtë opsion, shkruani fjalëkalimin në vijën e shfaqur. Personazhet e shkruara nuk do të shfaqen. Linja e re do të duhet ta përsërisë atë.

  5. Më tej do të shihni një njoftim se çelësi është ruajtur dhe gjithashtu do të jeni në gjendje të njiheni me imazhin e saj të rastësishëm grafik.

Tani ekziston një çift i krijuar çelësash - sekret dhe i hapur, i cili do të përdoret për lidhje të mëtejshme në mes të kompjuterave. Ju vetëm duhet të vendosni çelësin në server në mënyrë që autentifikimi SSH të jetë i suksesshëm.

Kopjimi i çelësit publik në server

Ekzistojnë tri metoda për kopjimin e çelësave. Secila prej tyre do të jetë optimale në situata të ndryshme ku, për shembull, një nga metodat nuk funksionon ose nuk është e përshtatshme për një përdorues të caktuar. Ne propozojmë të marrin në konsideratë të tre opsionet, duke filluar me më të thjeshtë dhe efektiv.

Opsioni 1: komanda ssh-copy-id

ekipSSH-copy-idndërtuar në sistemin operativ, kështu që për zbatimin e tij nuk ka nevojë të instaloni ndonjë komponent shtesë. Ndiqni sintaksën e thjeshtë për ta kopjuar kyç. "Terminal" duhet të futetssh-copy-id username @ remote_hostku emrin e përdoruesit @ remote_host - emri i kompjuterit të largët.

Kur të lidheni së pari, do të merrni një tekst njoftimi:

Vërtetësia e hostit '203.0.113.1 (203.0.113.1)' nuk mund të vërtetohet.
ECDSA gjurmët e gishtave kryesore është fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Jeni i sigurt se doni të vazhdoni të lidhni (po / jo)? po

Ju duhet të specifikoni një opsion po për të vazhduar lidhjen. Pas kësaj, programi do të kërkojë në mënyrë të pavarur çelësin në formën e një skedari.id_rsa.pubqë u krijua më herët. Pas zbulimit të suksesshëm, shfaqet rezultati i mëposhtëm:

/ usr / bin / ssh-copy-id: INFO: Unë kam instaluar tashmë
/ usr / bin / ssh-copy-id: INFO: 1 çelës (e) mbeten për t'u instaluar
fjalëkalimi [email protected]:

Specifikoni fjalëkalimin nga ekrani i largët në mënyrë që programi të mund të hyjë në të. Mjeti do të kopjojë të dhënat nga dosja me çelësin publik. ~ / .ssh / id_rsa.pubdhe pastaj mesazhi do të shfaqet në ekran:

Numri i çelësave të shtuar: 1

Tani provoni të hyni në makinë, me: "ssh '[email protected]'"
kontrolloni atë.

Shfaqja e një teksti të tillë do të thotë që çelësi është shkarkuar me sukses në kompjuterin e largët dhe tani nuk do të ketë probleme me lidhjen.

Opsioni 2: Kopjoni çelësin publik nëpërmjet SSH

Nëse nuk jeni në gjendje të përdorni shërbimin e sipërpërmendur, por keni një fjalëkalim për t'u identifikuar në serverin e largët SSH, ju mund të ngarkoni manualisht çelësin e përdoruesit, duke siguruar kështu një vërtetim të mëtejshëm të qëndrueshëm kur lidheni. Përdoret për këtë komandë macei cili do të lexojë të dhënat nga skedari, dhe pastaj ato do të dërgohen në server. Në tastierë, do të duhet të futni rreshtin

cat ~ / .ssh / id_rsa.pub | ssh username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / authorized_keys && chmod -R go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys".

Kur shfaqet një mesazh

Vërtetësia e hostit '203.0.113.1 (203.0.113.1)' nuk mund të vërtetohet.
ECDSA gjurmët e gishtave kryesore është fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Jeni i sigurt se doni të vazhdoni të lidhni (po / jo)? po

vazhdoni të lidhni dhe futni fjalëkalimin për të hyrë në server. Pas kësaj, çelësi publik do të kopjohet automatikisht në fund të skedarit të konfigurimit. authorized_keys.

Opsioni 3: Kopjimi manual i çelësit publik

Në rast të mungesës së qasjes në një kompjuter të largët nëpërmjet një serveri SSH, të gjitha hapat e mësipërm kryhen manualisht. Për ta bërë këtë, së pari mësoni për çelësin në PC server nëpërmjet komandëscat ~ / .ssh / id_rsa.pub.

Ekrani do të shfaqë diçka si kjo:ssh-rsa + kyç si grup karakteri == demo @ test. Pas kësaj shkoni për të punuar në pajisjen e largët, ku krijoni një direktori të re përmesmkdir -p ~ / .ssh. Ai gjithashtu krijon një skedar.authorized_keys. Tjetra, futni çelësin që keni mësuar më herëtecho + varg i çelësit publik >> ~ / .ssh / authorized_keys. Pas kësaj, mund të provoni të vërtetoni me server pa përdorur fjalëkalime.

Autentifikimi në server nëpërmjet çelësit të gjeneruar

Në seksionin e mëparshëm, keni mësuar rreth tre metodave për kopjimin e çelësit të një kompjuteri të largët në një server. Veprime të tilla do t'ju lejojnë të lidheni pa përdorur një fjalëkalim. Kjo procedurë kryhet nga rreshti i komandës duke shtypurshh ssh username @ remote_hostku emrin e përdoruesit @ remote_host - emrin e përdoruesit dhe mbajtësin e kompjuterit të dëshiruar. Kur të lidheni së pari, do të njoftoheni për një lidhje të panjohur dhe mund të vazhdoni duke zgjedhur opsionin po.

Lidhja do të ndodhë automatikisht nëse gjatë krijimit të palëve kryesore një fjalëkalim nuk është specifikuar. Përndryshe, së pari duhet të futni atë për të vazhduar punën me SSH.

Çaktivizo legalizimin e fjalëkalimeve

Vendosja e suksesshme e kopjimit të tastit konsiderohet në situatën kur mund të hyni në server pa përdorur një fjalëkalim. Megjithatë, aftësia për të vërtetuar në këtë mënyrë lejon sulmuesit të përdorin mjete për të gjetur një fjalëkalim dhe për të hyrë në një lidhje të sigurt. Për të mbrojtur veten nga raste të tilla do të lejojë një çaktivizim të plotë të fjalëkalimit të identifikimit në skedarin e konfigurimit SSH. Kjo do të kërkojë:

  1. "Terminal" hapni skedarin e konfigurimit përmes redaktorit duke përdorur komandënsudo gedit / etc / ssh / sshd_config.

  2. Gjeni vijën «PasswordAuthentication» dhe hiqni shenjën # në fillim për të mos kommentuar parametrin.

  3. Ndrysho vlerën në jo dhe ruani konfigurimin aktual.

  4. Mbyllni redaktorin dhe rifreskoni serverin.sudo systemctl restart ssh.

Autentifikimi i fjalëkalimit do të çaktivizohet dhe ju do të jeni në gjendje të hyni në server vetëm duke përdorur çelësat e krijuar posaçërisht për këtë me algoritmin RSA.

Vendosja e një standardi firewall

Në Ubuntu, firewall parazgjedhur është Firewall i Pakompjuar Firewall (UFW). Kjo ju lejon të lejoni lidhje për shërbime të zgjedhura. Çdo aplikacion krijon profilin e vet në këtë mjet, dhe UFW i menaxhon ato duke lejuar ose mohuar lidhjet. Konfigurimi i një profili SSH duke e shtuar atë në listë bëhet si vijon:

  1. Hapni listën e profileve të firewall duke përdorur komandënsudo ufw lista e aplikacioneve.

  2. Futni fjalëkalimin tuaj të llogarisë për të shfaqur informacion.

  3. Ju do të shihni një listë të aplikacioneve në dispozicion, OpenSSH duhet të jetë në mesin e tyre.

  4. Tani ju duhet të lejoni lidhjet mbi SSH. Për ta bërë këtë, shtojeni atë në listën e profileve të lejuara duke përdorursudo ufw lejoni OpenSSH.

  5. Aktivizo firewall duke përditësuar rregullatsudo ufw mundësohet.

  6. Për të siguruar lidhjet janë të lejuara, duhet të shkruanistatusi sudo ufw, atëherë do të shihni statusin e rrjetit.

Kjo plotëson udhëzimet e konfigurimit SSH për Ubuntu. Konfigurimi i mëtejshëm i skedarit të konfigurimit dhe parametrave të tjerë kryhet personalisht nga secili përdorues sipas kërkesave të tij. Ju mund të njiheni me punën e të gjithë komponentëve të SSH në dokumentacionin zyrtar të protokollit.

Mesazhe Të Popullarizuara

https://termotools.com sq.termotools.com © Linux 2024