Stilla SSH í Ubuntu

SSH (Secure Shell) tækni gerir örugga fjarstýringu á tölvu í gegnum örugga tengingu. SSH dulkóðar allar fluttar skrár, þar á meðal lykilorð, og sendir einnig algerlega hvaða netforrit. Til að tækið virki rétt, er nauðsynlegt að setja það ekki bara upp, heldur einnig til að stilla það. Okkur langar til að tala um vöruna af helstu stillingum í þessari grein, td sem nýjasta útgáfu af Ubuntu stýrikerfinu sem miðlarinn verður staðsettur á.

Stilla SSH í Ubuntu

Ef þú hefur ekki lokið uppsetningunni á þjóninum og viðskiptavinur tölvum, þá ættir þú að gera það í upphafi, þar sem allt ferlið er alveg einfalt og tekur ekki mikinn tíma. Nánari leiðbeiningar um þetta efni er að finna í aðra grein okkar á eftirfarandi tengilið. Það sýnir einnig aðferðina til að breyta stillingarskránni og prófa SSH, svo í dag munum við dvelja á öðrum verkefnum.

Lesa meira: Setja SSH-miðlara í Ubuntu

Búa til RSA lykilpar

The nýlega uppsett SSH hefur ekki tilgreint lykla til að tengjast frá miðlara til viðskiptavinarins og öfugt. Allar þessar breytur verða að vera stilltar handvirkt strax eftir að allir hlutar samskiptareglunnar hafa verið bættir við. Lykillinn par vinnur með RSA reikniritinu (stutt fyrir nöfn verktaki af Rivest, Shamir og Adleman). Þökk sé þessu dulritunar kerfi eru sérstökir lyklar dulkóðaðar með sérstökum reikniritum. Til að búa til par af opinberum lyklum þarftu aðeins að slá inn viðeigandi skipanir í vélinni og fylgja leiðbeiningunum sem birtast.

  1. Farðu í vinnuna með "Terminal" hvaða þægilegu aðferð, til dæmis, með því að opna hana í gegnum valmynd eða samsetningu lykla Ctrl + Alt + T.
  2. Sláðu inn skipuninassh-keygenog ýttu svo á takkann Sláðu inn.
  3. Þú verður beðinn um að búa til skrá þar sem takkarnir verða vistaðar. Ef þú vilt halda þeim í sjálfgefna staðsetninginni skaltu bara smella á Sláðu inn.
  4. Opinber lykillinn er hægt að vernda með kóða setningu. Ef þú vilt nota þennan valkost skaltu skrifa lykilorðið í birtu línu. Sláðu inn stafina verður ekki birt. Hin nýja lína verður að endurtaka það.
  5. Ennfremur munt þú sjá tilkynningu um að lykillinn hafi verið vistaður, og þú munt einnig geta kynnt þér handahófi myndina.

Nú er búið til par af lyklum - leyndarmál og opið, sem verður notað til frekari tengingar milli tölvu. Þú þarft bara að setja lykilinn á þjóninn þannig að SSH auðkenning sé vel.

Að afrita almenna lykilinn á netþjóninn

Það eru þrjár aðferðir til að afrita lykla. Hver þeirra verður ákjósanlegur í ýmsum aðstæðum þar sem til dæmis einn af aðferðum virkar ekki eða er ekki hentugur fyrir tiltekna notanda. Við leggjum til að íhuga alla þrjá valkosti og byrja með því einfaldasta og árangursríkasta.

Valkostur 1: ssh-copy-id stjórn

Liðssh-copy-idbyggt inn í stýrikerfið, svo fyrir framkvæmd hennar þarf ekki að setja upp fleiri hluti. Fylgdu einföldum setningafræði til að afrita lykilinn. Í "Terminal" verður að slá innssh-copy-id notendanafn @ remote_hosthvar notendanafn @ remote_host - heiti ytri tölvunnar.

Þegar þú tengir fyrst færðu tilkynningartexta:

Ekki er hægt að staðfesta áreiðanleika gestgjafans '203.0.113.1 (203.0.113.1).
ECDSA lykill fingrafar er fd: fd: d4: f9: 77: fv: 73: 84: e1: 55: 00: auglýsing: d6: 6d: 22: fv.
Ertu viss um að þú viljir halda áfram að tengjast (já / nei)? já

Þú verður að tilgreina valkost til að halda áfram tengingunni. Eftir þetta mun tólið sjálfstætt leita lykilsins í formi skráar.id_rsa.pubþað var búið til fyrr. Eftir árangursríka uppgötvun er eftirfarandi niðurstaða sýnd:

/ usr / bin / ssh-copy-id: INFO: Ég hef þegar sett upp
/ usr / bin / ssh-copy-id: INFO: 1 lykill (s) áfram til að setja upp
lykilorð [email protected]:

Tilgreindu lykilorðið frá ytra gestgjafi þannig að tólið geti slegið inn það. Tólið mun afrita gögnin úr almenna lykilskránni. ~ / .ssh / id_rsa.pubog þá birtist skilaboðin á skjánum:

Fjöldi lykla (s) bætt við: 1

Reyndu nú að skrá þig inn í vélina með: "ssh '[email protected]'"
skoðaðu það út.

Útliti slíkrar texta þýðir að lykillinn var sóttur niður á ytri tölvuna og nú er engin vandamál með tenginguna.

Valkostur 2: Afritaðu almenna lykilinn með SSH

Ef þú getur ekki notað ofangreinda gagnsemi, en hefur lykilorð til að skrá þig inn á ytri SSH-miðlara geturðu handvirkt hlaðið notendatakkanum þínum og tryggt þannig enn frekar stöðugt auðkenningu þegar þú tengist. Notað fyrir þessa stjórn köttursem mun lesa gögnin úr skránni, og þá verða þau send á netþjóninn. Í vélinni þarftu að slá inn línu

köttur / / .ssh / id_rsa.pub | ssh notendanafn @ remote_host "mkdir -p ~ / .ssh && snerta ~ / .ssh / authorized_keys && chmod -R go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys".

Þegar skilaboð birtast

Ekki er hægt að staðfesta áreiðanleika gestgjafans '203.0.113.1 (203.0.113.1).
ECDSA lykill fingrafar er fd: fd: d4: f9: 77: fv: 73: 84: e1: 55: 00: auglýsing: d6: 6d: 22: fv.
Ertu viss um að þú viljir halda áfram að tengjast (já / nei)? já

Haltu áfram að tengjast og sláðu inn lykilorðið til að skrá þig inn á netþjóninn. Eftir það mun almenningslykillinn afrita sjálfkrafa í lok stillingarskráarinnar. authorized_keys.

Valkostur 3: Handvirkt að afrita opinbera lykilinn

Ef um er að ræða skort á aðgangi að ytri tölvu um SSH-miðlara eru öll ofangreind skref framkvæmd handvirkt. Til að gera þetta, lærðu fyrst um lykilinn á þjóninum á tölvunni með stjórninniköttur ~ / .ssh / id_rsa.pub.

Skjárinn mun sýna eitthvað svona:ssh-rsa + lykill sem stafasett == demo @ próf. Eftir það fara í vinnu á ytra tækinu, þar sem búa til nýjan möppu í gegnummkdir -p ~ / .ssh. Það skapar einnig skrá.authorized_keys. Næst skaltu setja inn lykilinn sem þú lærðir áðurecho + opinber lykill strengur >> ~ / .ssh / authorized_keys. Eftir það getur þú reynt að staðfesta með þjóninum án þess að nota lykilorð.

Staðfesting á þjóninum í gegnum mynda lykilinn

Í fyrri hlutanum lærði þú um þriggja aðferðir til að afrita lykilinn af fjarlægri tölvu á netþjón. Slíkar aðgerðir leyfa þér að tengjast án þess að nota lykilorð. Þessi aðferð er framkvæmd úr skipanalínu með því að slá innshh ssh notendanafn @ remote_hosthvar notendanafn @ remote_host - notandanafn og gestgjafi viðkomandi tölvu. Þegar þú tengist fyrst verður þú tilkynnt um ókunnuga tengingu og þú getur haldið áfram með því að velja valkostinn .

Tengingin mun eiga sér stað sjálfkrafa ef lykilorðið var ekki tilgreint meðan á lykilparaferli stendur. Annars verður þú fyrst að slá inn það til að halda áfram að vinna með SSH.

Slökktu á staðfestingu lykilorðs

Árangursrík stilling á lykilritun er talin í aðstæðum þegar þú getur slegið inn miðlara án þess að nota lykilorð. Hins vegar getur getu til að staðfesta með þessum hætti leyft árásarmönnum að nota verkfæri til að finna lykilorð og brjótast inn í örugga tengingu. Til að vernda þig frá slíkum tilvikum munðu leyfa aðgangsorðinu að fullu að slökkva á SSH stillingarskránni. Þetta mun krefjast:

  1. Í "Terminal" Opnaðu stillingarskráina með ritlinum með því að nota skipuninasudo gedit / etc / ssh / sshd_config.
  2. Finndu línuna PasswordAuthentication og fjarlægðu merkið # í byrjun að uncomment breytu.
  3. Breyta gildinu til nr og vista núverandi stillingu.
  4. Lokaðu ritlinum og endurræstu miðlara.sudo systemctl endurræsa ssh.

Lykilorð staðfesting verður slökkt, og þú verður aðeins hægt að skrá þig inn á netþjóninn með því að nota takkana sem eru sérstaklega búnar til fyrir þetta með RSA reikniritinu.

Setja upp staðlaða eldvegg

Í Ubuntu er sjálfgefið eldveggur eldveggurinn (Uncomplicated Firewall (UFW)). Það gerir þér kleift að leyfa tengingar fyrir tiltekna þjónustu. Hvert forrit skapar eigin prófíl í þessu tóli og UFW stýrir þeim með því að leyfa eða afneita tengingum. Stilling SSH sniðs með því að bæta því við listann er gerð sem hér segir:

  1. Opnaðu lista yfir eldvegg snið með því að nota skipuninasudo ufw app listanum.
  2. Sláðu inn aðgangsorðið þitt til að birta upplýsingar.
  3. Þú munt sjá lista yfir tiltæk forrit, OpenSSH ætti að vera á meðal þeirra.
  4. Nú ættir þú að leyfa tengingar yfir SSH. Til að gera þetta skaltu bæta því við listann yfir leyfðar snið með því að notasudo ufw leyfa OpenSSH.
  5. Virkja eldvegginn með því að uppfæra reglurnarsudo ufw virkja.
  6. Til að tryggja að tengingar séu leyfðar ættir þú að skrifasudo ufw stöðu, þá muntu sjá staðarnetið.

Þetta lýkur SSH uppsetningarleiðbeiningum fyrir Ubuntu. Frekari stillingar stillingarskrárinnar og aðrar breytur eru gerðar persónulega af hverjum notanda samkvæmt beiðnum hans. Þú getur kynnt þér rekstur allra hluta SSH í opinberum skjölum siðareglunnar.