Teknologjia SSH (Secure Shell) ju lejon të kontrolloni me siguri në distancë kompjuterin tuaj përmes një lidhjeje të sigurt. SSH kodon të gjithë skedarët e transferuar, përfshirë fjalëkalimet, dhe gjithashtu transmeton absolutisht çdo protokoll rrjeti. Që mjeti të funksionojë si duhet, ai jo vetëm që duhet të instalohet, por edhe të konfigurohet. Bëhet fjalë për produktin e konfigurimit kryesor për të cilin do të donim të flisnim në kuadrin e këtij artikulli, duke marrë si shembull versionin e fundit të sistemit operativ Ubuntu, mbi të cilin do të vendoset serveri.
Konfiguroni SSH në Ubuntu
Nëse ende nuk e keni përfunduar instalimin në PC dhe serverët e klientit, duhet ta bëni këtë fillimisht, pasi e gjithë procedura është mjaft e thjeshtë dhe nuk kërkon shumë kohë. Për udhëzime të hollësishme në lidhje me këtë temë, shihni artikullin tonë tjetër në lidhjen vijuese. Ai tregon gjithashtu procedurën për redaktimin e skedarit të konfigurimit dhe testimin e funksionimit të SSH, kështu që sot do të përqendrohemi në disa detyra të tjera.
Lexoni më shumë: Instalimi i serverit SSH në Ubuntu
Krijimi i një palë kyçe RSA
SSH i instaluar rishtazi nuk ka ende çelësat e specifikuar për t'u lidhur nga serveri me klientin dhe anasjelltas. Të gjithë këta parametra duhet të vendosen manualisht menjëherë pas shtimit të të gjithë përbërësve të protokollit. Pairifti kyç funksionon duke përdorur algoritmin RSA (të shkurtër për emrat e zhvilluesve Rivest, Shamir dhe Adleman). Falë këtij kriptosistemi, çelësat specialë janë të koduara duke përdorur algoritme speciale. Për të krijuar një palë çelësa publik, duhet vetëm të futni komandat e duhura në tastierë dhe të ndiqni udhëzimet që shfaqen.
- Shkoni në punë me "Terminal" çdo metodë e përshtatshme, për shembull, hapjen e saj përmes një menuje ose një kombinimi kryesor Ctrl + Alt + T.
- Shkruaj komandën
ssh-keygen
dhe pastaj shtypni tastin hyj. - Do t'ju kërkohet të krijoni një skedar ku çelësat janë ruajtur. Nëse doni t'i lini ato në vendndodhjen e paracaktuar, thjesht klikoni në hyj.
- Keyelësi publik mund të mbrohet nga një frazë. Nëse doni të përdorni këtë mundësi, shkruani një fjalëkalim në rreshtin që shfaqet. Karakteret e hyrura nuk do të shfaqen. Në një rresht të ri, do t'ju duhet ta përsërisni atë.
- Tjetra, do të shihni një njoftim që çelësi është ruajtur, dhe gjithashtu mund të njiheni me imazhin e tij të rastit grafik.
Tani ekziston një palë çelësash e krijuar - sekrete dhe publike, të cilat do të përdoren për lidhje të mëtejshme midis kompjuterëve. Ju duhet vetëm të vendosni çelësin në server për vërtetimin e SSH për të pasur sukses.
Kopjoni çelësin publik në server
Ekzistojnë tre metoda për kopjimin e çelësave. Secila prej tyre do të jetë më optimale në situata të ndryshme kur, për shembull, njëra prej metodave nuk funksionon ose nuk është e përshtatshme për një përdorues specifik. Ne sugjerojmë të merren parasysh të tre opsionet, duke filluar me më të thjeshtë dhe më efektivë.
Opsioni 1: komanda ssh-kopjim-id
EkipiSSH-copy-id
Builtshtë i integruar në sistemin operativ, kështu që nuk keni nevojë të instaloni përbërës shtesë për ta ekzekutuar atë. Ndiqni sintaksën e thjeshtë për të kopjuar një çelës. "Terminal" duhet të hyjëemri i përdoruesit ssh-kopj-id @ large_host
ku emri i përdoruesit @ large_host është emri i kompjuterit në distancë.
Herën e parë kur të lidheni, do të merrni një tekst njoftimi:
Vërtetësia e hostit '203.0.113.1 (203.0.113.1)' nuk mund të vërtetohet.
Gjurmët e gishtave të ECDSA janë fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
A jeni i sigurt që dëshironi të vazhdoni lidhjen (po / jo)? po
Ju duhet të specifikoni një mundësi po për të vazhduar lidhjen. Pas kësaj, ndërmarrja do të kërkojë në mënyrë të pavarur çelësin në formën e një skedariid_rsa.pub
që u krijua më herët. Nëse ka sukses, do të shfaqet rezultati i mëposhtëm:
/ usr / bin / ssh-copy-id: INFO: duke u përpjekur të regjistroheni me çelësin e ri, për të filtruar cilindo që është instaluar tashmë
/ usr / bin / ssh-copy-id: INFO: 1 çelësat (e) mbetet për t'u instaluar - nëse kërkohet tani është që të instaloni çelësat e rinj
fjalëkalimin e pë[email protected]:
Specifikoni fjalëkalimin nga hosti i largët në mënyrë që mjeti mund të hyjë në të. Mjeti do të kopjojë të dhënat nga skedari i çelësit publik ~ / .ssh / id_rsa.pub, dhe pas kësaj një mesazh do të shfaqet në ekran:
Tani provoni të regjistroheni në makinë, me: "ssh '[email protected]" "Numri i çelësit (eve) të shtuar: 1
dhe kontrolloni për t'u siguruar që vetëm çelësi (ët) që keni kërkuar u shtuan.
Shfaqja e një teksti të tillë do të thotë që çelësi u shkarkua me sukses në kompjuterin e largët, dhe tani nuk do të ketë probleme në lidhje.
Opsioni 2: Kopjoni çelësin publik përmes SSH
Nëse nuk jeni në gjendje të përdorni mjetin e përmendur më lart, por keni një fjalëkalim për t'u kyçur në serverin e largët SSH, mund të ngarkoni me dorë çelësin tuaj të përdoruesit, duke siguruar kështu vërtetimin e mëtejshëm të qëndrueshëm kur lidheni. Përdoret për këtë komandë mace, të cilat do të lexojnë të dhënat nga skedari, dhe pastaj ato do të dërgohen në server. Do të duhet të futni rreshtin në tastierë
mace ~ / .ssh / id_rsa.pub | emri i përdoruesit @ large_host "mkdir -p ~ / .ssh && prekni ~ / .ssh / autorizuara_keys && chmod -R go = ~ / .ssh && mace" ~ / .ssh / autorizuar_keys "
.
Kur shfaqet një mesazh
Vërtetësia e hostit '203.0.113.1 (203.0.113.1)' nuk mund të vërtetohet.
Gjurmët e gishtave të ECDSA janë fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
A jeni i sigurt që dëshironi të vazhdoni lidhjen (po / jo)? po
vazhdoni të lidheni dhe shkruani fjalëkalimin për të hyrë në server. Pas kësaj, çelësi publik do të kopjohet automatikisht në fund të skedarit të konfigurimit. authorized_keys.
Opsioni 3: Manual Kopjimi i Publicelësit Publik
Nëse nuk ka qasje në kompjuterin e largët përmes serverit SSH, të gjitha hapat e mësipërm kryhen me dorë. Për ta bërë këtë, së pari zbuloni informacionin kryesor në PC të serverit përmes komandësmace ~ / .ssh / id_rsa.pub
.
Rreshti i mëposhtëm do të shfaqet në ekran:ssh-rsa + çelës i vendosur karaktere == provë demo @
. Pas kësaj, shkoni të punoni në pajisjen në distancë, ku krijoni një direktori të remkdir -p / .ssh
. Krijon gjithashtu një skedarauthorized_keys
. Tjetra, futni çelësin që mësuat më herëtjehonë + varg çelësash publik >> ~ / .ssh / autorizuar_keys
. Pas kësaj, mund të provoni të vërtetoni me serverin pa përdorur fjalëkalime.
Autentifikimi në server duke përdorur çelësin e gjeneruar
Në pjesën e mëparshme, ju mësuat për tre metoda për kopjimin e një çelësi të kompjuterit në distancë në një server. Veprime të tilla do t'ju lejojnë të lidheni pa përdorur një fjalëkalim. Kjo procedurë kryhet përmes vijës së komandës duke hyrëemri i përdoruesit shh ssh @ large_host
ku emri i përdoruesit @ large_host - emrin e përdoruesit dhe hostin e kompjuterit të dëshiruar. Herën e parë kur të lidheni, do të njoftoheni për një lidhje të panjohur dhe do të mund të vazhdoni duke zgjedhur po.
Lidhja do të ndodhë automatikisht nëse nuk ishte përcaktuar asnjë fjalëkalim gjatë krijimit të palës kryesore. Përndryshe, së pari duhet ta futni atë në mënyrë që të vazhdoni të punoni me SSH.
Pamundësimi i vërtetimit të fjalëkalimit
Një konfigurim i suksesshëm i kopjimit të çelësit konsiderohet në situatën kur është e mundur të futni në server pa përdorur një fjalëkalim. Sidoqoftë, aftësia për të vërtetuar në këtë mënyrë lejon sulmuesit të përdorin mjete për të goditur fjalëkalimin dhe të lidhin një lidhje të sigurt. Do të jetë e mundur të mbroheni nga raste të tilla duke çaktivizuar plotësisht hyrjen e fjalëkalimit në skedarin e konfigurimit SSH. Kjo do të kërkojë:
- "Terminal" hapni skedarin e konfigurimit përmes redaktorit duke përdorur komandën
sudo gedit / etj / ssh / sshd_config
. - Gjeni rreshtin «PasswordAuthentication» dhe hiqni shenjën # në fillim për të mos komentuar parametrin.
- Ndryshoni vlerën në jo dhe ruaj konfigurimin aktual.
- Mbyllni redaktorin dhe rinisni serverin
sudo systemctl rinisni ssh
.
Autentifikimi i fjalëkalimit do të çaktivizohet dhe do të jetë e mundur të futni në server vetëm duke përdorur çelësat e krijuar posaçërisht me algoritëm RSA.
Konfiguroni një mur zjarri standard
Në Ubuntu, zjarri i parazgjedhur është Firewall i Pakomplikuar (UFW). Kjo ju lejon të lejoni lidhje për shërbimet e zgjedhura. Applicationdo aplikacion krijon profilin e vet në këtë mjet, dhe UFW i menaxhon ato, duke lejuar ose paaftësuar lidhjet. Vendosja e një profili SSH duke e shtuar atë në listë është si më poshtë:
- Hapni listën e profileve të zjarrit përmes komandës
lista e aplikacioneve sudo ufw
. - Vendosni fjalëkalimin e llogarisë tuaj për të shfaqur informacionin.
- Do të shihni një listë të aplikacioneve të mundshme, midis tyre duhet të jetë OpenSSH.
- Tani duhet të lejoni lidhjet përmes SSH. Për ta bërë këtë, shtojeni atë në listën e profileve të lejuar duke përdorur
sudo ufw lejojnë OpenSSH
. - Ndizni firewall duke azhurnuar rregullat,
sudo ufw mundësojnë
. - Për të siguruar që lidhjet lejohen, duhet të përshkruani
statusi sudo ufw
, pas së cilës do të shihni statusin e rrjetit.
Kjo plotëson udhëzimet e konfigurimit të SSH në Ubuntu. Cilësimet e mëtejshme të skedarit të konfigurimit dhe parametrave të tjerë kryhen personalisht nga secili përdorues sipas kërkesave të tij. Ju mund të njiheni me veprimin e të gjithë përbërësve të SSH në dokumentacionin zyrtar të protokollit.