Ubuntuda SSH'ni sozlang

SSH (Secure Shell) texnologiyasi xavfsiz ulanish orqali kompyuter xavfsiz uzatishni ta'minlaydi. SSH barcha shifrlangan fayllarni, jumladan, parollarni shifrlaydi va shuningdek, har qanday tarmoq protokolini uzatadi. Asbobni to'g'ri ishlashi uchun uni o'rnatish, uni sozlash kerak. Biz ushbu maqoladagi asosiy konfigürasyonun mahsuloti haqida ma'lumot berishni istaymiz, misol sifatida, server joylashgan Ubuntu operatsion tizimining so'nggi versiyasi.

Ubuntuda SSH'ni sozlang

Agar siz serverda va mijoz kompyuterlarida o'rnatishni tugatmasangiz, uni dastlab qilishingiz kerak, chunki butun jarayon juda sodda va ko'p vaqt talab qilmaydi. Ushbu mavzu bo'yicha batafsil ma'lumot olish uchun quyidagi linkdan boshqa maqolaga qarang. Bundan tashqari konfiguratsiya faylini tahrirlash va SSHni sinash tartibini namoyish etadi, shuning uchun bugun biz boshqa vazifalar ustida to'xtalamiz.

Batafsil: Ubuntuda SSH-serverni o'rnatish

RSA kalit juftligini yaratish

Yangi yuklangan SSH serverdan mijozga va aksincha, ulanish uchun belgilangan kalitlarga ega emas. Protokolning barcha komponentlarini qo'shgandan so'ng, ushbu parametrlarni qo'lda qo'lda o'rnatish kerak. Kalit juftlik RSA algoritmidan foydalanadi (Rivest, Shamir va Adleman ishlab chiqaruvchilarining nomlari uchun qisqa). Ushbu kriptosistema yordamida maxsus kalitlar maxsus algoritmlar yordamida shifrlangan. Umumiy kalitlarni yaratish uchun faqat konsolda tegishli buyruqlarni kiritishingiz va ko'rsatiladigan ko'rsatmalarga amal qilishingiz kerak.

  1. Ish bilan boring "Terminal" har qanday qulay usul, masalan, uni menyudan yoki tugmalar birikmasi orqali ochish Ctrl + Alt + T.
  2. Buyruqni kiritingssh-keygentugmasini bosing va keyin tugmasini bosing Kirish.
  3. Sizdan kalitlar saqlanadigan faylni yaratish talab qilinadi. Agar ularni asl joyida saqlamoqchi bo'lsangiz, faqatgina bosing Kirish.
  4. Umumiy kalit kalit kodi bilan himoyalangan bo'lishi mumkin. Agar siz ushbu parametrdan foydalanmoqchi bo'lsangiz, paydo bo'lgan qatorda parolni kiriting. Kiritilgan belgilar ko'rsatilmaydi. Yangi yo'nalish uni takrorlashi kerak.
  5. Keyin siz kalitni saqlab qolganligi haqida xabarni ko'rasiz va siz uning tasodifiy grafik tasviri bilan ham tanishasiz.

Hozirda yaratilgan juftlik kalitlari - maxfiy va ochiq-oydin bo'lib, ular kompyuterlar o'rtasidagi aloqani yanada yaxshilash uchun ishlatiladi. Siz faqat kalitni serverga joylashtirishingiz kerak, shunda SSH autentifikatsiyasi muvaffaqiyatli bo'ladi.

Umumiy kalitni serverga nusxalash

Kalitlarni nusxalash uchun uch usul mavjud. Ularning har biri turli xil vaziyatlarda maqbul bo'ladi, masalan, usullardan biri ishlamaydi yoki ma'lum bir foydalanuvchi uchun mos emas. Biz eng oddiy va samarali variantlardan boshlab uch variantni ko'rib chiqishni taklif qilamiz.

Varian-1: ssh-copy-id buyrug'i

Jamoassh-copy-idoperatsion tizimga o'rnatiladi, shuning uchun uni amalga oshirish uchun qo'shimcha komponentlarni o'rnatish kerak emas. Kalitni nusxalash uchun oddiy sintaksisdan foydalaning. In "Terminal" kiritilishi shartssh-copy-id foydalanuvchi nomi @ remote_hostqaerda foydalanuvchi nomi @ remote_host - masofali kompyuterning nomi.

Siz birinchi marta ulansangiz, siz xabarnoma matni olasiz:

Xost '203.0.113.1 (203.0.113.1)' ning haqiqiyligi aniqlanmaydi.
ECDSA asosiy barmoq izi fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ism: d6: 6d: 22: fe.
Haqiqatan ham ulanishni davom ettirmoqchimisiz (ha / yo'q)? Ha

Variantni belgilashingiz kerak Ha ulanishni davom ettirish uchun. Shundan so'ng, yordamchi dastur mustaqil ravishda fayl shaklidagi kaliti qidiradi.id_rsa.pubavval yaratilgan. Muvaffaqiyatni aniqlashda quyidagi natijalar ko'rsatiladi:

/ Ushr / bin / ssh-copy-id: INFO: Men allaqachon o'rnatilgan
/ Ushr / bin / ssh-copy-id: INFO: 1 ta kalit (s) o'rnatilishi kerak
[email protected] paroli:

Foydali parolni kiritish uchun masofaviy xostdan parolni belgilang. Ushbu vosita umumiy kalit faylidan ma'lumotlarni ko'chirib oladi. ~ / .ssh / id_rsa.pubva ekranda xabar paydo bo'ladi:

Kiritilgan kalit soni: 1

Endi mashinaga kirishni harakat qilib ko'ring: "ssh" [email protected] '"
tekshiring.

Bunday matn ko'rinishi uzoqdan kompyuterga muvaffaqiyatli yuklab olindi va endi aloqada hech qanday muammo bo'lmaydi.

Variant 2: Umumiy kalitni SSH orqali nusxalash

Agar siz yuqorida ko'rsatilgan yordam dasturini ishlata olmaysiz, ammo uzoqdan SSH serveriga kirish uchun parolingiz bo'lsa, foydalanuvchi kalitini qo'lda yuklashingiz va shu bilan bog'lanishda barqaror autentifikatsiya qilishni ta'minlashingiz mumkin. Ushbu buyruq uchun ishlatiladi mushuku fayldan ma'lumotlarni o'qiydi va keyin serverga yuboriladi. Konsolda qatorni kiritishingiz kerak bo'ladi

cat ~ / .ssh / id_rsa.pub | ssh username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / authorized_keys va& chmod -R go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys".

Xabar paydo bo'lganda

Xost '203.0.113.1 (203.0.113.1)' ning haqiqiyligi aniqlanmaydi.
ECDSA asosiy barmoq izi fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ism: d6: 6d: 22: fe.
Haqiqatan ham ulanishni davom ettirmoqchimisiz (ha / yo'q)? Ha

ulanishni davom eting va serverga kirish uchun parolni kiriting. Shundan so'ng, jamoat kaliti avtomatik ravishda konfiguratsiya faylining oxiriga ko'chiriladi. authorized_keys.

Varian-3: Umumiy kalitni qo'lda nusxalash

Uzoq kompyuterga SSH server orqali kirish imkoni bo'lmasa, yuqoridagi barcha qadamlar qo'l bilan amalga oshiriladi. Buni amalga oshirish uchun birinchi navbatda server kompyuteridagi kalit haqida buyruqni bilib olingcat ~ / .ssh / id_rsa.pub.

Ekranda shunday bir narsa paydo bo'ladi:ssh-rsa + kalit belgilar majmuasi sifatida == demo @ test. Keyin masofali qurilmada ishlashni boshlash, yangi katalog yaratishmkdir -p ~ / .ssh. Bundan tashqari, fayl yaratadi.authorized_keys. Keyinchalik, avval o'rgangan kalitni kiritingecho + ochiq kalit qatori >> ~ / .ssh / authorized_keys. Shundan keyin parollarni ishlatmasdan server bilan tasdiqlashni sinashingiz mumkin.

Yaratilgan kalit orqali serverda haqiqiylikni tekshirish

Avvalgi bobda, uzoq kompyuterning kalitini serverga nusxalash uchun uchta usul haqida bilib oldingiz. Bunday xatti-harakatlar sizga paroldan foydalanmasdan ulanish imkonini beradi. Ushbu protsedura buyruq satridan yoziladishh ssh username @ remote_hostqaerda foydalanuvchi nomi @ remote_host - kerakli kompyuterning foydalanuvchi nomi va hosti. Siz birinchi marta ulansangiz, siz begonali aloqa to'g'risida xabardor qilinasiz va siz ushbu variantni tanlash orqali davom etishingiz mumkin Ha.

Kalit juftligini yaratish vaqtida parol belgilanmagan bo'lsa, ulanish avtomatik ravishda amalga oshiriladi. Aks holda, SSH bilan ishlashni davom ettirish uchun avval uni kiritishingiz kerak.

Parolni aniqlashni o'chirib qo'yish

Parolni ishlatmasdan serverni kiritishingiz mumkin bo'lgan hollarda kalit nusxa ko'chirishni muvaffaqiyatli sozlash hisoblanadi. Shu bilan birga, bu tarzda autentifikatsiya qilish qobiliyati tajovuzkorlarga parolni topish va xavfsiz ulanishga kirish uchun vositalardan foydalanishga imkon beradi. Bunday holatlardan o'zingizni himoya qilish uchun SSH konfiguratsiya faylida kirish parolini to'liq o'chirish imkonini beradi. Bu quyidagilarni talab qiladi:

  1. In "Terminal" buyrug'i yordamida muharriridan konfiguratsiya faylini ochingsudo gedit / etc / ssh / sshd_config.
  2. Chiziqni toping PasswordAuthentication belgini olib tashlang # boshida parametrni tushuntirmaslik kerak.
  3. Qiymatni o'zgartiring Yo'q va joriy konfiguratsiyani saqlang.
  4. Tahrirlovchini yoping va serverni qayta ishga tushiring.sudo tizimni qayta boshlash ssh.

Parolni autentifikatsiya qilish o'chirib qo'yiladi va siz RSA algoritmiga maxsus yaratilgan tugmalar yordamida serverga kirishingiz mumkin.

Standart xavfsizlik devorini o'rnatish

Ubuntu-da, odatiy xavfsizlik devori oddiy bo'lmagan xavfsizlik devori (UFW) xavfsizlik devori hisoblanadi. Tanlangan xizmatlar uchun ulanishga ruxsat berishga imkon beradi. Har bir dastur ushbu vositada o'z profilini yaratadi va UFW ularni bog'lashga ruxsat berish yoki rad etish orqali boshqaradi. SSH profilini ro'yxatga qo'shib konfiguratsiya qilish quyidagi tarzda amalga oshiriladi:

  1. Buyruqni ishlatib, xavfsizlik devori profillarini ochingsudo ufw ilovalari ro'yxati.
  2. Ma'lumotni ko'rish uchun hisob qaydnomangizning parolini kiriting.
  3. Mavjud ilovalar ro'yxatini ko'rasiz, ular orasida OpenSSH bo'lishi kerak.
  4. Endi SSH orqali ulanishga ruxsat berishingiz kerak. Buni amalga oshirish uchun, ruxsat berilgan rejimlar ro'yxatiga qo'shingsudo ufu OpenSSH ga ruxsat beradi.
  5. Qoidalarni yangilash orqali xavfsizlik devorini yoqingsudo ufw yoqadi.
  6. Ulanishlarning ruxsat etilganligiga ishonch hosil qilish uchun siz yozishingiz keraksudo ufw maqomi, tarmoq holatini ko'rasiz.

Bu Ubuntu uchun SSH konfiguratsiya ko'rsatmalarini bajaradi. Konfiguratsiya faylining boshqa parametrlari va boshqa parametrlari uning talablari bo'yicha har bir foydalanuvchi tomonidan shaxsan amalga oshiriladi. Siz SSH ning barcha tarkibiy qismlari protokolining rasmiy hujjatlarida ishlashingiz mumkin.