Конфигурирај го SSH во Ubuntu

Технологијата SSH (Secure Shell) овозможува безбедна далечинска контрола на компјутер преку безбедна врска. SSH ги шифрира сите пренесени датотеки, вклучувајќи ги и лозинките, а исто така пренесува апсолутно секој мрежен протокол. За да работи алатката правилно, неопходно е не само да се инсталира, туку и да се конфигурира. Би сакале да зборуваме за производот на главната конфигурација во овој напис, земајќи ја како пример најновата верзија на оперативниот систем на Ubuntu на кој ќе се наоѓа серверот.

Конфигурирај го SSH во Ubuntu

Ако не сте ја завршиле инсталацијата на серверот и на клиентските компјутери, прво треба да го направите тоа, бидејќи целата процедура е доста едноставна и не зазема многу време. За детални насоки за оваа тема, видете ја нашата друга статија на следниов линк. Исто така ја прикажува постапката за уредување на конфигурациската датотека и тестирање на SSH, па денес ние ќе се задржиме на други задачи.

Прочитајте повеќе: Инсталирање на SSH-сервер во Ubuntu

Создавање пар клучеви RSA

Ново инсталираниот SSH не ги има наведените клучеви за поврзување од серверот на клиентот и обратно. Сите овие параметри мора да се постават рачно веднаш по додавањето на сите компоненти на протоколот. Клучен пар работи со користење на RSA алгоритам (краток за имињата на програмерите на Rivest, Shamir и Adleman). Благодарение на овој криптосистем, специјалните клучеви се шифрираат со користење на специјални алгоритми. За да креирате пар на јавни клучеви, само треба да ги внесете соодветните команди во конзолата и да ги следите инструкциите што се појавуваат.

  1. Одете на работа со "Терминал" секој удобен метод, на пример, со отворање преку мени или со комбинација на клучеви Ctrl + Alt + T.
  2. Внесете ја командатаssh-keygenи потоа притиснете го копчето Внесете.
  3. Ќе биде побарано да креирате датотека каде што ќе се зачувуваат копчињата. Ако сакате да ги задржите во стандардна локација, само кликнете на Внесете.
  4. Јавниот клуч може да биде заштитен со кодирана фраза. Ако сакате да ја користите оваа опција, во изгледот на линијата напишете ја лозинката. Внесените знаци нема да бидат прикажани. Новата линија ќе треба да ја повтори.
  5. Понатаму ќе видите известување дека клучот е зачуван, а исто така ќе можете да се запознаете со нејзината случајна графичка слика.

Сега постои создаден пар клучеви - тајни и отворени, кои ќе се користат за понатамошна врска помеѓу компјутерите. Вие само треба да го поставите клучот на серверот, така што SSH автентикацијата е успешна.

Копирање на јавниот клуч на серверот

Постојат три методи за копирање на копчињата. Секој од нив ќе биде оптимален во различни ситуации каде, на пример, еден од методите не работи или не е соодветен за одреден корисник. Предлагаме да ги разгледаме сите три опции, почнувајќи од наједноставните и најефективните.

Опција 1: команда ssh-copy-id

Тимssh-copy-idвграден во оперативниот систем, така што за нејзината имплементација не треба да се инсталираат дополнителни компоненти. Следете едноставна синтакса за да копирате клуч. Во "Терминал" мора да се внесеssh-copy-id корисничко име @ remote_hostкаде корисничко име @ remote_host - името на оддалечениот компјутер.

Кога за прв пат ќе се поврзете, ќе добиете текст за известување:

Не може да се утврди автентичноста на домаќинот "203.0.113.1 (203.0.113.1)".
ECDSA отпечаток од прст е fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Дали сте сигурни дека сакате да продолжите со поврзувањето (да / не)? Да

Мора да наведете опција Да за да ја продолжите врската. По ова, претпријатието самостојно ќе го бара клучот во форма на датотека.id_rsa.pubшто беше создадено порано. По успешното откривање, се прикажува следниот резултат:

/ usr / bin / ssh-copy-id: ИНФО: Веќе имам инсталирано
/ usr / bin / ssh-copy-id: ИНФО: 1 клуч (и) остануваат да се инсталираат
Лозинка [email protected]:

Наведете ја лозинката од оддалечениот компјутер, така што таа може да ја внесе. Алатката ќе ги копира податоците од датотеката со јавен клуч. ~ / .ssh / id_rsa.pubа потоа пораката ќе се појави на екранот:

Број на додадени клучеви: 1

Сега пробајте да влезете во машината, со: "ssh '[email protected]'"
проверете го.

Појавата на таков текст значи дека клучот е успешно превземен на оддалечен компјутер, и сега нема да има проблеми со врската.

Опција 2: Копирајте го јавниот клуч преку SSH

Ако не можете да ја користите горенаведената алатка, но имате лозинка за да се најавите на далечинскиот SSH сервер, можете рачно да го вчитате вашиот кориснички клуч, со што се обезбедува понатамошна стабилна автентикација при поврзувањето. Се користи за оваа команда мачкакој ќе ги чита податоците од датотеката, а потоа ќе бидат испратени до серверот. Во конзолата, ќе треба да ја внесете линијата

cat ~ / .ssh / id_rsa.pub | ssh корисничко име @ remote_host "mkdir -p ~ / .ssh и од допир ~ / .ssh / authorized_keys & & chmod -R go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys".

Кога ќе се појави порака

Не може да се утврди автентичноста на домаќинот "203.0.113.1 (203.0.113.1)".
ECDSA отпечаток од прст е fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Дали сте сигурни дека сакате да продолжите со поврзувањето (да / не)? Да

продолжи да се поврзува и да ја внесете лозинката за да се логирате на серверот. После тоа, јавниот клуч автоматски ќе се копира до крајот на конфигурациската датотека. authorized_keys.

Опција 3: Рачно копирање на јавниот клуч

Во случај на недостиг на пристап до оддалечен компјутер преку SSH сервер, сите горенаведени чекори се изведуваат рачно. За да го направите ова, прво учат за клучот на серверот компјутер преку командатаcat ~ / .ssh / id_rsa.pub.

На екранот ќе се прикаже нешто вака:ssh-rsa + клучот како нагоден карактер == demo @ test. Потоа одете на работа на далечинскиот уред, каде што креирате нов директориум прекуmkdir -p ~ / .ssh. Дополнително создава датотека.authorized_keys. Следно, вметнете го клучот што го научивте пораноехо + јавен клуч за низа >> ~ / .ssh / authorized_keys. После тоа, можете да се обидете да се идентификувате со серверот без да користите лозинки.

Автентикација на серверот преку генерираниот клуч

Во претходниот дел, научивте за трите методи за копирање на клучот од оддалечен компјутер на сервер. Ваквите постапки ќе ви овозможат да се поврзете без да користите лозинка. Оваа постапка се изведува од командната линија со внесувањеshh ssh корисничко име @ remote_hostкаде корисничко име @ remote_host - корисничко име и домаќин на посакуваниот компјутер. Кога за прв пат ќе се поврзете, ќе бидете известени за непозната врска и може да продолжите со избирање на опцијата Да.

Врската ќе се појави автоматски ако за време на креирањето на пар клучеви не беше одредена тајна фраза. Во спротивно, прво мора да го внесете за да продолжите да работите со SSH.

Оневозможи проверка на лозинка

Успешното поставување на клучните копии се разгледува во ситуација кога можете да го внесете серверот без да користите лозинка. Меѓутоа, способноста за автентикација на овој начин им овозможува на напаѓачите да користат алатки за да пронајдат лозинка и да влезат во безбедна врска. За да се заштитите од такви случаи, ќе се овозможи целосна оневозможување на лозинката за најава во SSH конфигурациската датотека. Ова ќе бара:

  1. Во "Терминал" отворете ја конфигурациската датотека преку уредувачот користејќи ја командатаsudo gedit / etc / ssh / sshd_config.
  2. Најдете ја линијата PasswordAuthentication и отстранете ја ознаката # на почетокот да го компонира параметарот.
  3. Променете ја вредноста на бр и да ја зачувате тековната конфигурација.
  4. Затворете го уредувачот и рестартирајте го серверот.sudo systemctl restart ssh.

Лозинката за проверка на автентичност ќе биде оневозможена, а вие ќе бидете во можност да се најавите на серверот само со помош на копчињата специјално креирани за ова со RSA алгоритам.

Поставување на стандарден заштитен ѕид

Во Ubuntu, стандардниот заштитен ѕид е заштитен ѕид на Uncomplicated Firewall (UFW). Ви овозможува да дозволите врски за избрани услуги. Секоја апликација создава сопствен профил во оваа алатка, а UFW ги управува со дозволување или одбивање врски. Конфигурирање на SSH профил со додавање во листата се прави како што следува:

  1. Отворете ја листата на профилите на заштитен ѕид користејќи ја командатаsudo ufw листа на апликации.
  2. Внесете ја лозинката за вашата сметка за прикажување на информации.
  3. Ќе видите листа на достапни апликации, OpenSSH треба да биде меѓу нив.
  4. Сега треба да дозволите врски преку SSH. За да го направите ова, додадете го на листата на дозволени профили што ги користитеsudo ufw дозволи OpenSSH.
  5. Овозможете го заштитниот ѕид со ажурирање на правилатасудо ufw овозможи.
  6. За да бидете сигурни дека врските се дозволени, треба да напишетеsudo ufw статус, тогаш ќе го видите статусот на мрежата.

Ова ги комплетира нашите SSH конфигурациски инструкции за Ubuntu. Дополнителни конфигурација на конфигурациската датотека и други параметри се вршат лично од секој корисник според неговите барања. Можете да се запознаете со работата на сите компоненти на SSH во официјалната документација на протоколот.