AGORDU SSH EN UBUNTU

SSH (Secure Shell) teknologio permesas sekuran izolitan kontrolon de komputilo tra sekura konekto. SSH ĉifras ĉiujn transigitajn dosierojn, inkluzive pasvortojn, kaj ankaŭ elsendas absolute ajnan retan protokolon. Por ke la ilo funkciu ĝuste, necesas ne nur instali ĝin, sed ankaŭ agordi ĝin. Ni ŝatus paroli pri la produkto de la ĉefa agordo en ĉi tiu artikolo, prenante kiel ekzemplon la plej novan version de la Ubuntu-mastruma sistemo, sur kiu la servilo troviĝos.

Agordu SSH en Ubuntu

Se vi ne kompletigis la instaladon sur la servilo kaj klientaj komputiloj, vi devas fari ĝin komence, ĉar la tuta proceduro estas sufiĉe simpla kaj ne bezonas multan tempon. Por detala gvidado pri ĉi tiu temo, vidu nian alian artikolon ĉe la sekva ligilo. I ankaŭ montras la procedon por redaktado de la agorda dosiero kaj testado de SSH, do hodiaŭ ni restos ĉe aliaj taskoj.

Legu pli: Instali SSH-servilon en Ubuntu

Krei RSA-ŝlosilan paron

La nove instalita SSH ne havas la specifitajn klavojn por konektiĝi de la servilo al la kliento kaj inverse. Ĉiuj ĉi tiuj parametroj devas esti metitaj permane tuj post aldono de ĉiuj komponantoj de la protokolo. La ŝlosilparo funkcias per la algoritmo RSA (mallongigo por la nomoj de la programistoj de Rivest, Shamir kaj Adleman). Danke al ĉi tiu ĉifrosistemo, specialaj klavoj estas koditaj per specialaj algoritmoj. Por krei paron da publikaj ŝlosiloj, vi nur bezonas enmeti la konvenajn komandojn en la konzolo kaj sekvi la instrukciojn, kiuj aperas.

Iru labori kun "Terminalo" ajna konvena metodo, ekzemple, per malfermado de ĝi tra menuo aŭ kombinaĵo de klavoj Stir + Alt + T.

Enigu la komandonssh-keygenkaj tiam premu la klavon Eniru.

Vi devos krei dosieron kie la ŝlosiloj estos konservitaj. Se vi volas konservi ilin en la defaŭlta loko, simple alklaku Eniru.

La publika ŝlosilo povas esti protektita per koda frazo. Se vi volas uzi ĉi tiun opcion, en la aperita linio skribos la pasvorton. La enmetitaj karakteroj ne montriĝos. La nova linio devas ripeti ĝin.

Plue vi vidos sciigon, ke la ŝlosilo estas konservita, kaj vi ankaŭ povos konatiĝi kun ĝia hazarda grafika bildo.

Nun ekzistas kreita paro de ŝlosiloj - sekretaj kaj malfermaj, kiuj estos uzataj por plia ligo inter komputiloj. Vi nur bezonas meti la ŝlosilon sur la servilo por ke SSH-aŭtentigo sukcesu.

Kopiante la publikan ŝlosilon al la servilo

Estas tri metodoj por kopii klavojn. Ĉiu el ili estos optimuma en diversaj situacioj kie, ekzemple, unu el la metodoj ne funkcias aŭ ne taŭgas por specifa uzanto. Ni proponas konsideri ĉiujn tri opciojn, komencante per la plej simpla kaj efika.

Opcio 1: komando ssh-copy-id

Teamossh-copy-idkonstruita en la operaciumo, do por ĝia efektivigo ne bezonas instali pliajn komponantojn. Sekvu simplan sintakson por kopii ŝlosilon. En "Terminalo" devas esti enmetitassh-copy-id salutnomo @ remote_hostkie uzantnomo @ remote_host - la nomo de la fora komputilo.

Kiam vi unue konektas, vi ricevos sciigan tekston:

La aŭtentikeco de gastiganto '203.0.113.1 (203.0.113.1)' ne povas esti establita. ECDSA-esenca spuro estas fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: anonco: d6: 6d: 22: fe. Ĉu vi certe volas daŭrigi konektadon (jes / ne)? jes

Vi devas specifi opcion jes daŭrigi la ligon. Post ĉi tio, la ilo sendepende serĉos la ŝlosilon en formo de dosiero.id_rsa.pubtio estis kreita pli frue. Post sukcesa detekto, la sekva rezulto estas montrita:

/ usr / bin / ssh-copy-id: INFO: Mi jam instalis / usr / bin / ssh-copy-id: INFO: 1 ŝlosilo restas por esti instalita Pasvorto [email protected]:

Indiku la pasvorton de la fora servilo por ke la ilo povu eniri ĝin. La ilo kopios la datumojn de la publika ŝlosila dosiero. ~ / .ssh / id_rsa.pubkaj tiam la mesaĝo aperos sur la ekrano:

Nombro de ŝlosiloj aldonitaj: 1

Nun provu ensaluti en la maŝino, per: "ssh '[email protected]'" kontrolu ĝin.

La apero de tia teksto signifas, ke la ŝlosilo estis sukcese elŝutita al la fora komputilo, kaj nun ne estos problemoj pri la konekto.

Opcio 2: Kopiu la publikan ŝlosilon per SSH

Se vi ne povas uzi la supre menciitan ilon, sed vi havas pasvorton por ensaluti al la fora SSH-servilo, vi povas permane ŝarĝi vian uzant-ŝlosilon, tiel certigante pli stabilan aŭtentigon dum konektado. Uzata por ĉi tiu komando katokiu legos la datumojn de la dosiero, kaj tiam ili estos senditaj al la servilo. En la konzolo, vi devos eniri la linion

kato ~ / .ssh / id_rsa.pub | ssh-salutnomo @ remote_host "mkdir -p ~ / .ssh && takto ~ / .ssh / authorized_keys && chmod -R go = ~ / .ssh && kato >> ~ / .ssh / authorized_keys".

Kiam mesaĝo aperas

daŭrigu konektadon kaj enmetu la pasvorton por ensaluti al la servilo. Post tio, la publika ŝlosilo aŭtomate kopiiĝos al la fino de la agorda dosiero. authorized_keys.

Opcio 3: Mane kopii la publikan ŝlosilon

En kazo de manko de aliro al fora komputilo per SSH-servilo, ĉiuj supraj paŝoj estas faritaj permane. Por fari tion, unue lernu pri la ŝlosilo de la servila komputilo per la komandocat ~ / .ssh / id_rsa.pub.

La ekrano montros ion tian:ssh-rsa + ŝlosilo kiel literaro == demo @ test. Post tio iru labori pri la fora aparato, kie kreu novan dosierujonmkdir -p ~ / .ssh. I aldone kreas dosieron.authorized_keys. Poste enigu la ŝlosilon, kiun vi lernis pli fruee +o + publika ŝlosilo kordo >> ~ / .ssh / authorized_keys. Post tio, vi povas provi aŭtentikigi kun la servilo sen uzi pasvortojn.

Aŭtentikigo en la servilo per la generita ŝlosilo

En la antaŭa sekcio, vi lernis pri la tri metodoj por kopii la klavon de fora komputilo al servilo. Tiaj agoj permesos vin konektiĝi sen uzi pasvorton. Ĉi tiu procedo estas plenumata de la komandlinio tajpanteshh ssh-salutnomo @ remote_hostkie uzantnomo @ remote_host - uzantnomo kaj gastiganto de la dezirata komputilo. Kiam vi unue konektas, vi estos avertita pri nekonata konekto kaj vi povas daŭrigi elektante la opcion jes.

La konekto okazos aŭtomate se dum la krea paro kreado pasfrazon ne estis specifita. Alie, vi devas unue enigi ĝin por daŭre labori kun SSH.

Malebligu aŭtentokontrolon de pasvorto

Sukcesa opcio de kerna kopio estas konsiderata en la situacio, kiam vi povas eniri la servilon sen uzi pasvorton. Tamen, la kapablo aŭtentikigi ĉi tiel permesas al atakantoj uzi ilojn por trovi pasvorton kaj atingi sekuran konekton. Protekti vin kontraŭ tiaj kazoj permesos plenan malebligon de la ensaluto pasvorto en la agorda dosiero SSH. Ĉi tio postulos:

En "Terminalo" malfermi la agordan dosieron tra la redaktilo uzante la komandonsudo gedit / ktp / ssh / sshd_config.

Trovu la linion Aŭtentika pasvorto kaj forigu la markon # komence por komenti la parametron.

Ŝanĝi la valoron al ne kaj konservu la aktualan agordon.

Fermu la redaktilon kaj rekomencu la servilon.sudo systemctl restart ssh.

Pasvorta aŭtentikigo estos malebligita, kaj vi povos ensaluti al la servilo nur per la klavoj speciale kreitaj por ĉi tio per la algoritmo RSA.

Starigi norman firewall

En Ubuntu, la defaŭlta fajroŝirmilo estas la Firewall Uncomplicated Firewall (UFW). I permesas vin permesi konektojn por elektitaj servoj. Ĉiu apliko kreas sian propran profilon en ĉi tiu ilo, kaj UFW administras ilin permesante aŭ malkonfirmante ligojn. Konfigurante SSH-profilon per aldono al la listo estas farita jene:

Malfermu la liston de firewall-profiloj uzante la komandonSudo ufw app list.

Enigu vian konton pasvorton por montri informojn.

Vi vidos liston de haveblaj aplikoj, OpenSSH devus esti inter ili.

Nun vi devus permesi konektojn super SSH. Por fari tion, aldonu ĝin al la listo de permesitaj profiloj uzantesudo ufw permesas OpenSSH.

Ebligu la fajroŝirmilon ĝisdatigante la regulojnsudo ufw ebligi.

Por certigi, ke la ligoj estas permesitaj, vi devas skribisudo ufw status, tiam vi vidos la retan statuson.

Ĉi tio kompletigas niajn instrukciojn pri SSH por Ubuntu. Plia agordo de la agorda dosiero kaj aliaj parametroj estas plenumita de ĉiu uzanto laŭ siaj petoj. Vi povas konatiĝi kun la funkciado de ĉiuj komponantoj de SSH en la oficiala dokumentado de la protokolo.