Telepítése és konfigurálása ssh - ubuntu
Telepítése és konfigurálása SSH - Ubuntu
Tehát, SSH (Secure Shell) - Secure Terminal Server távoli elérést biztosít a rendszer. biztonságos, mert minden forgalmat a kliens és a szerver titkosított. És hogy biztonságos-e az alapértelmezett beállításokat? Ha van egy szerver képes kapcsolódni SSH-n keresztül az interneten keresztül, biztos nem lesz hajlandó felvenni a jelszót. Nem kell magyarázni, hogy a támadó képes korlátlan hozzáférést a rendszerhez.
Minden modern Linux Ubuntu fejlesztők igyekeznek emelni a biztonsági szintet standard paraméterek, de ez nem mindig elég, és néha úgy döntünk, a rossz fogalmát, és hibázni.
Telepítése SSH szerver Ubuntu.
Telepítése SSH szerver Ubuntu történik a következő parancsot:
Miután telepítette az SSH szerver automatikusan regisztrálja a indításkor. Irányítsd a kiindulási, leállítása vagy újraindítása a következő paranccsal:
A fő konfigurációs fájl SSH - Szerver - az / etc / ssh / sshd_config. egy csak olvasható, vagy szerkeszti a (root). A módosítások alkalmazásához újra kell indítani az ssh-szerver.
szerver biztonsági beállításai SSH.
Az alapértelmezett protokoll.
Ismét újabb Linux alapértelmezésben megvalósított SSH2 protokollt. Ha az eset adott valami ilyesmit:
Meg kell hagyni, csak 2:
Használata nem biztonságos SSH1 nem ajánlott.
Alapértelmezésben a legújabb kiadások Ubuntu root felhasználó SSH-n keresztül korlátozott.
Azt javasoljuk, hogy módosítsa a paraméter nincs:
Továbbá, ez a lehetőség akkor hasznos, ha a szerver fut több rendszergazda a super felhasználói fiókot. A rendszergazdák fog menni a fiókját, és csak ezután kap root, ez nagyban megkönnyíti az ellenőrzési szerver és az intézkedéseket, amelyek a vezetők végre.
Egy kicsit többet a gyökér Ubuntu, hogy létrehozott egy alapértelmezett felhasználói (a telepítés során a rendszer) képes megoldani minden adminisztratív feladatokat a sudo. Aktiválja a root felhasználó a rendszer elérése nem tűnik számomra ésszerű megoldás.
Hozzáférés biztosítása csak meghatározott felhasználók vagy csoportok.
Képzeljük el, hogy a szerveren van egy bizonyos számú felhasználó, de biztosít SSH hozzáférést csak néhány szükséges. Úgyhogy korlátozhatja a felhasználók, akik hozzáférnek:
Azt is megadhatja a kívánt csoportot, például a rendszergazdák:
Megtagadja a hozzáférést az „üres” jelszavakat.
Meg kell kifejezetten tiltja a távoli hozzáférés segítségével üres jelszó:
Az alapértelmezett port.
SSH alapértelmezés porton fut 22. Ennek megfelelően, a nagy részét a támadások irányulhat kifejezetten a port, majd a kiválasztás egy felhasználói név és jelszó lesz megkísérlik a hozzáférést a szerverhez. Mi már zárni a legismertebb felhasználói nevet tartalmazó adatbázisban lehetséges támadó (root), és lehetővé teszi a hozzáférést csak bizonyos felhasználók, és most csökkenti a számos lehetséges támadások (botok keres réseket szabványos portok), hogy módosítsa a portot használja az alapértelmezett (az új port szabadon!) .
Változás, például a:
Megyünk be a felhasználó, aki fogja beállítani SSH hozzáférést a szerverhez.
Létrehoz egy RSA kulcs hossza 4096, a rendszer kérni fogja, hogy meghatározza a tárolási helyét, hagyja meg az alapértelmezett (/home/UserName/.ssh/id_rsa), akkor is meg kell kérni, hogy állítson be jelszót a generált kulcsot. Ha a jelszó nincs megadva, akkor az nem kell, hogy adja meg azt a hitelesítési tanúsítványt a kiszolgáló kevésbé megbízható. Azt javasoljuk, hogy adjon meg egy jelszót:
Az említett két kulcsa van létrehozott könyvtárba:
Nézze meg, hogy fájlok jönnek létre:
Engedélyeket állítson be a mappát, és fájlok:
A privát kulcs kell továbbítani a kliens biztonságos módon, és távolítsa el a szerver, hogy ne veszélyeztesse a kulcsokat.
Key id_rsa küldött az ügyfélnek:
Ekkor törlődik a szerverről:
Hozzunk létre a authorized_keys fájlt (a rendszer ugyanolyan felhasználó „felhasználónév”, amelyre a tanúsítvány létrehozása), és másolja a tartalmát id_rsa.pub fájl határozza meg és állítsa be a tulajdonos a jogot, hogy a könyvtárak és fájlok.
Azt ellenőrzik, hogy a másolt szöveget:
Ha a szöveg másolt sikeres, a nyilvános kulcsot el lehet távolítani:
Meg kell megjegyzésből vonal és tegye ki a következő paraméterek szerint:
Indítsa újra az SSH szerver:
Miután beállította a bizonyítványokat az összes felhasználó (akiknek biztonságos SSH), azt javasoljuk, hogy tiltsa jelszó hitelesítés, szerkesztheti ugyanazt a fájlt az / etc / ssh / sshd_config
Figyelmeztetés kikapcsolás előtt jelszó hitelesítési ellenőrzés kulcsfontosságú elérhetőség
Csatlakozás az SSH szerver a gitt, használja a tanúsítványt.
Először, meg kell alakítani a saját kulcs (felhasználónév felhasználói kulcs), amelyet már korábban felvett a szerverről.
Ehhez szükségünk van PuTTYgen programot.
Töltsük be a privát kulcsot „konverziók - Import Key”.
Ha beállított egy jelszót, írja be azt.
Válassza ki a „Save private key”, és tárolja a PPK fájlt. Tartsd meg állva egy helyre, ahol nem sérülhet.
Nyissa meg a programot gitt és a kapcsolat konfigurálásához:
Session - Port megadott port a szerver beállításait SSH;
Kapcsolat - Adat - Autologin felhasználónév felhasználói név;
Connection - SSH - Auth - Saját kulcs fájl hitelesítési útvonal a PPK file;
Session - Mentés A munkamenet;
Session - Mentett Session (válassza ülésünk) - Load - Open - Session kell kezdeni;
Írja be a jelszót, és nyomja meg az Enter, majd bejutni a rendszerbe.
Ha egy felhasználó tanúsítvány sérült, akkor felülvizsgálja a tanúsítvány és tagadja a felhasználói hozzáférést.
Hogy megtagadja a hozzáférést a felhasználói felhasználónév házigazdák a tanúsítványt, keresse meg a mappát, ahol a tárolás tanúsítvány:
A fájl törlése a nyilvános igazolás authorized_key a OpenSSH szerver, ha nem véletlenül eltávolított id_rsa.pub és id_rsa fájlokat. távolítsa el őket. Tekintse meg a tartalmát egy könyvtárba kommandó „ls”.
Törölje a szükséges fájlokat:
Az alábbi példában, ez az idő legfeljebb 30 másodperc:
A timeout hiányában egy vegyület aktivitásának.
Automatikus kapcsolat le egy idő után, amely alatt felvett kihagyva a konzol.
ClientAliveCountMax - A paraméter jelzi a teljes számát az elküldött üzeneteket az ssh-szerver ismeri az ssh-ügyfél tevékenységét. Az alapértelmezett érték 3.
ClientAliveInterval - A paraméter jelzi a timeout másodpercekben. A lejárati ssh-szerver küld egy kérést üzenetet küld a kliensnek. Az alapértelmezett paraméter értéke - 0. A szerver nem küld egy üzenetet az ellenőrzést.
ssh-kliens kilépése után automatikusan 5 perc (300 másodperc):