It-teknoloġija SSH (Secure Shell) tippermetti kontroll remot sigur ta 'kompjuter permezz ta' konnessjoni sigura. SSH jikkripta l-fajls kollha trasferiti, inklużi l-passwords, u jittrasmetti wkoll assolutament kwalunkwe protokoll tan-netwerk. Biex l-għodda taħdem b'mod korrett, huwa neċessarju mhux biss li tinstallahom, iżda wkoll li tiġi kkonfigurata. Nixtiequ nitkellmu dwar il-prodott tal-konfigurazzjoni prinċipali f'dan l-artikolu, billi nieħdu bħala eżempju l-aħħar verżjoni tas-sistema operattiva Ubuntu li fuqha se jkun is-server.
Ikkonfigura SSH f'Ubuntu
Jekk ma tkunx lestejt l-installazzjoni fuq is-server u fuq il-client client, għandek tagħmel dan inizjalment, billi l-proċedura kollha hija pjuttost sempliċi u ma tieħu ħafna ħin. Għal gwida dettaljata dwar dan is-suġġett, ara l-artiklu l-ieħor tagħna fil-link li ġejja. Juri wkoll il-proċedura għall-editjar tal-fajl tal-konfigurazzjoni u l-ittestjar tal-SSH, allura llum se nitkellmu fuq kompiti oħra.
Kompli aqra: Installa SSH-server f'Ubuntu
Ħolqien ta 'par ta' kjavi RSA
L-SSH li għadu kif ġie installat m'għandux iċ-ċwievet speċifikati biex tikkonnettja mis-server mal-klijent u viċi versa. Dawn il-parametri kollha għandhom jiġu ssettjati manwalment immedjatament wara li jiżdiedu l-komponenti kollha tal-protokoll. Il-par taċ-ċwievet jaħdem bl-użu ta 'l-algoritmu RSA (qasir għall-ismijiet ta' l-iżviluppaturi ta 'Rivest, Shamir, u Adleman). Grazzi għal din il-kriptosistema, ċwievet speċjali huma kodifikati bl-użu ta 'algoritmi speċjali. Biex toħloq par ta 'ċwievet pubbliċi, għandek bżonn biss li tidħol il-kmandi xierqa fil-console u ssegwi l-istruzzjonijiet li jidhru.
- Mur għax-xogħol "Terminal" kwalunkwe metodu konvenjenti, pereżempju, billi tinfetaħ permezz ta 'menu jew taħlita ta' ċwievet Ctrl + Alt + T..
- Daħħal il-kmand
ssh-keygen
u imbagħad agħfas iċ-ċavetta Daħħal. - Int se titlob li toħloq fajl fejn iċ-ċwievet jiġu ffrankati. Jekk trid iżżommhom fil-post default, ikklikkja fuq Daħħal.
- Iċ-ċavetta pubblika tista 'tiġi protetta minn frażi ta' kodiċi. Jekk trid tuża din l-għażla, fil-linja li tidher ikteb il-password. Il-karattri mdaħħla ma jiġux murija. Il-linja l-ġdida se jkollha tirrepetiha.
- Aktar 'il quddiem tara notifika li ċ-ċavetta ġiet salvata, u tkun tista' wkoll tiffamiljarizza ruħha ma 'l-immaġni grafika każwali tagħha.
Issa hemm par ċwievet maħluq - sigriet u miftuħ, li se jintuża għal aktar konnessjoni bejn il-kompjuters. Għandek bżonn biss li tqiegħed iċ-ċavetta fuq is-server sabiex l-awtentikazzjoni SSH tkun ta 'suċċess.
Ikkopja ċ-ċavetta pubblika fuq is-server
Hemm tliet metodi għall-ikkupjar taċ-ċwievet. Kull waħda minnhom tkun ottimali f'sitwazzjonijiet varji fejn, pereżempju, wieħed mill-metodi ma jaħdimx jew ma jkunx adattat għal utent speċifiku. Nipproponu li nqisu t-tliet għażliet kollha, billi nibdew bl-aktar sempliċi u effettiva.
Għażla 1: kmand ssh-copy-id
Timssh-copy-id
mibnija fis-sistema operattiva, sabiex għall-implimentazzjoni tagħha ma hemmx bżonn li jinstallaw komponenti addizzjonali. Segwi sintassi sempliċi biex tikkopja ċ-ċavetta. Fil "Terminal" għandhom jiddaħħlussh-copy-id username @ remote_host
fejn username @ remote_host - l-isem tal-kompjuter remot.
Meta l-ewwel tikkonnettja, tirċievi test ta 'notifika:
L-awtentiċità tal-host '203.0.113.1 (203.0.113.1)' ma tistax tiġi stabbilita.
Marka tas-swaba 'ECDSA hija fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Inti żgur li trid tkompli tikkonnettja (iva / le)? iva
Int trid tispeċifika għażla iva tkompli l-konnessjoni. Wara dan, l-utilità se tfittex b'mod indipendenti ċ-ċavetta fil-forma ta 'fajl.id_rsa.pub
dak kien maħluq qabel. Malli tinstab b'suċċess, ir-riżultat li ġej huwa muri:
/ usr / bin / ssh-copy-id: INFO: Diġà installajt
/ usr / bin / ssh-copy-id: INFO: 1 ċavetta (i) għad trid tiġi installata
password [email protected]:
Speċifika l-password mill-host host sabiex l-utilità tkun tista 'tiddaħħal. L-għodda se tikkopja d-data mill-fajl taċ-ċavetta pubblika. ~ / .ssh / id_rsa.pubimbagħad il-messaġġ jidher fuq l-iskrin:
Issa ipprova tidħol fil-magna, b ': "ssh' [email protected]"Numru ta 'ċavetta (i) miżjuda: 1
iċċekkjaha.
L-apparenza ta 'dan it-test tfisser li ċ-ċavetta tniżżlet b'suċċess fuq il-kompjuter remot, u issa mhux se jkun hemm problemi bil-konnessjoni.
Għażla 2: Ikkopja ċ-ċavetta pubblika permezz ta 'SSH
Jekk ma tistax tuża l-utilità msemmija hawn fuq, imma għandek password biex tidħol fis-server remot tal-SSH, tista 'tgħabbi manwalment iċ-ċavetta tal-utent tiegħek, u b'hekk tiżgura iktar awtentikazzjoni stabbli meta tqabbad. Użat għal dan il-kmand qattusli se jaqra d-data mill-fajl, u mbagħad se jintbagħtu lis-server. Fil-console, ser ikollok bżonn tidħol il-linja
qattus ~ / .ssh / id_rsa.pub | ssh username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / recognized_keys && chmod -R go = ~ / .ssh && qattus >> ~ / .ssh /ised_keys"
.
Meta jidher messaġġ
L-awtentiċità tal-host '203.0.113.1 (203.0.113.1)' ma tistax tiġi stabbilita.
Marka tas-swaba 'ECDSA hija fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Inti żgur li trid tkompli tikkonnettja (iva / le)? iva
kompli jgħaqqad u ikteb il-password biex tidħol fis-server. Wara dan, iċ-ċavetta pubblika tiġi kkupjata awtomatikament fl-aħħar tal-fajl tal-konfigurazzjoni. awtorizzati.
Għażla 3: Ikkopja manwalment iċ-ċavetta pubblika
Fil-każ ta 'nuqqas ta' aċċess għal kompjuter remot permezz ta 'server SSH, il-passi kollha ta' hawn fuq jitwettqu manwalment. Biex tagħmel dan, l-ewwel titgħallem dwar iċ-ċavetta fuq is-server PC permezz tal-kmandqattus ~ / .ssh / id_rsa.pub
.
L-iskrin juri xi ħaġa bħal din:ssh-rsa + ċavetta bħala sett ta 'karattri == demo @ test
. Wara dik mur ix-xogħol fuq l-apparat remot, fejn toħloq direttorju ġdid permezzmkdir -p ~ / .ssh
. Barra minn hekk joħloq fajl.awtorizzati
. Sussegwentement, daħħal iċ-ċavetta li tgħallimt aktar kmieni f 'eku + sekwenza taċ-ċavetta pubblika >> ~ / .ssh / recognized_keys
. Wara, tista 'tipprova tawtentika mas-server mingħajr ma tuża passwords.
Awtentikazzjoni fuq is-server permezz taċ-ċavetta ġġenerata
Fis-sezzjoni ta ’qabel, tgħallimt dwar it-tliet metodi biex tikkopja ċ-ċavetta ta’ kompjuter remot għal server. Tali azzjonijiet jippermettu li tgħaqqad mingħajr ma tuża password. Din il-proċedura titwettaq mil-linja tal-kmand billi jittajpjaush shsh ssh @ remote_host
fejn username @ remote_host - username u host tal-kompjuter mixtieq. Meta l-ewwel tqabbad, tiġi nnotifikat b'konnessjoni mhux familjari u tista 'tkompli billi tagħżel l-għażla iva.
Il-konnessjoni sseħħ awtomatikament jekk matul il-ħolqien tal-par taċ-ċwievet ma tkunx speċifikata l-frażi pass. Inkella, l-ewwel trid tiddaħħalha biex tkompli taħdem ma 'SSH.
Itfi l-awtentikazzjoni tal-password
Issettjar b'suċċess tal-ikkupjar taċ-ċavetta huwa kkunsidrat fis-sitwazzjoni meta tista 'tidħol fis-server mingħajr ma tuża password. Madankollu, l-abbiltà li tawtentika b'dan il-mod tippermetti lill-attakkanti jużaw għodda biex isibu password u jidħlu f'konnessjoni sigura. Biex tipproteġi lilek innifsek minn każijiet bħal dawn se tippermetti diżattivazzjoni sħiħa tal-password tal-login fil-fajl tal-konfigurazzjoni SSH. Dan se jeħtieġ:
- Fil "Terminal" Iftaħ il-fajl tal-konfigurazzjoni permezz tal-editur billi juża l-kmand
sudo gedit / etc / ssh / sshd_config
. - Sib il-linja PasswordAuthentication u neħħi l-marka # fil-bidu biex jikkommenta l-parametru.
- Ibdel il-valur għal le u ħlief il-konfigurazzjoni kurrenti.
- Agħlaq l-editur u erġa ibda s-server.
sudo systemctl terġa 'tibda ssh
.
L-awtentikazzjoni tal-password tkun diżattivata, u tkun tista 'tidħol fis-server biss billi tuża ċ-ċwievet maħluqa apposta għal dan bl-algoritmu RSA.
Twaqqif ta 'firewall standard
F'Ubuntu, il-firewall awtomatiku huwa Firewall mhux ikkumplikat (UFW). Jippermettilek li tippermetti konnessjonijiet għal servizzi magħżula. Kull applikazzjoni toħloq il-profil tagħha stess f'din l-għodda, u l-UFW timmaniġġjahom billi tippermetti jew tiċħad konnessjonijiet. Il-konfigurazzjoni ta 'profil SSH billi żżid mal-lista ssir kif ġej:
- Iftaħ il-lista tal-profili tal-firewall billi tuża l-kmand
sudo ufw lista tal-applikazzjonijiet
. - Daħħal il-password tal-kont tiegħek biex turi l-informazzjoni.
- Inti se tara lista ta 'applikazzjonijiet disponibbli, OpenSSH għandha tkun fosthom.
- Issa għandek tippermetti konnessjonijiet fuq SSH. Biex tagħmel dan, żidha mal-lista tal-profili permessi li jużaw
sudo ufw ħalli OpenSSH
. - Ħalli l-firewall billi taġġorna r-regoli
sudo ufw jippermettu
. - Biex tiżgura li l-konnessjonijiet huma permessi, għandek tikteb
status ta 'sudo ufw
, allura se tara l-istatus tan-netwerk.
Dan itemm l-istruzzjonijiet ta 'konfigurazzjoni SSH tagħna għal Ubuntu. Konfigurazzjoni ulterjuri tal-fajl tal-konfigurazzjoni u parametri oħra jitwettqu personalment minn kull utent skond it-talbiet tiegħu. Tista 'tiffamiljarizza ruħek mat-tħaddim tal-komponenti kollha ta' SSH fid-dokumentazzjoni uffiċjali tal-protokoll.