Telepítése és konfigurálása ssh - ubuntu

Telepítése és konfigurálása SSH - Ubuntu

Telepítése és konfigurálása ssh - ubuntu

Tehát, SSH (Secure Shell) - Secure Terminal Server távoli elérést biztosít a rendszer. biztonságos, mert minden forgalmat a kliens és a szerver titkosított. És hogy biztonságos-e az alapértelmezett beállításokat? Ha van egy szerver képes kapcsolódni SSH-n keresztül az interneten keresztül, biztos nem lesz hajlandó felvenni a jelszót. Nem kell magyarázni, hogy a támadó képes korlátlan hozzáférést a rendszerhez.

Minden modern Linux Ubuntu fejlesztők igyekeznek emelni a biztonsági szintet standard paraméterek, de ez nem mindig elég, és néha úgy döntünk, a rossz fogalmát, és hibázni.

Telepítése SSH szerver Ubuntu.

Telepítése SSH szerver Ubuntu történik a következő parancsot:

Miután telepítette az SSH szerver automatikusan regisztrálja a indításkor. Irányítsd a kiindulási, leállítása vagy újraindítása a következő paranccsal:

A fő konfigurációs fájl SSH - Szerver - az / etc / ssh / sshd_config. egy csak olvasható, vagy szerkeszti a (root). A módosítások alkalmazásához újra kell indítani az ssh-szerver.

szerver biztonsági beállításai SSH.

Az alapértelmezett protokoll.

Ismét újabb Linux alapértelmezésben megvalósított SSH2 protokollt. Ha az eset adott valami ilyesmit:

Meg kell hagyni, csak 2:

Használata nem biztonságos SSH1 nem ajánlott.

Alapértelmezésben a legújabb kiadások Ubuntu root felhasználó SSH-n keresztül korlátozott.

Azt javasoljuk, hogy módosítsa a paraméter nincs:

Továbbá, ez a lehetőség akkor hasznos, ha a szerver fut több rendszergazda a super felhasználói fiókot. A rendszergazdák fog menni a fiókját, és csak ezután kap root, ez nagyban megkönnyíti az ellenőrzési szerver és az intézkedéseket, amelyek a vezetők végre.

Egy kicsit többet a gyökér Ubuntu, hogy létrehozott egy alapértelmezett felhasználói (a telepítés során a rendszer) képes megoldani minden adminisztratív feladatokat a sudo. Aktiválja a root felhasználó a rendszer elérése nem tűnik számomra ésszerű megoldás.

Hozzáférés biztosítása csak meghatározott felhasználók vagy csoportok.

Képzeljük el, hogy a szerveren van egy bizonyos számú felhasználó, de biztosít SSH hozzáférést csak néhány szükséges. Úgyhogy korlátozhatja a felhasználók, akik hozzáférnek:

Azt is megadhatja a kívánt csoportot, például a rendszergazdák:

Megtagadja a hozzáférést az „üres” jelszavakat.

Meg kell kifejezetten tiltja a távoli hozzáférés segítségével üres jelszó:

Az alapértelmezett port.

SSH alapértelmezés porton fut 22. Ennek megfelelően, a nagy részét a támadások irányulhat kifejezetten a port, majd a kiválasztás egy felhasználói név és jelszó lesz megkísérlik a hozzáférést a szerverhez. Mi már zárni a legismertebb felhasználói nevet tartalmazó adatbázisban lehetséges támadó (root), és lehetővé teszi a hozzáférést csak bizonyos felhasználók, és most csökkenti a számos lehetséges támadások (botok keres réseket szabványos portok), hogy módosítsa a portot használja az alapértelmezett (az új port szabadon!) .

Változás, például a:

Megyünk be a felhasználó, aki fogja beállítani SSH hozzáférést a szerverhez.

Létrehoz egy RSA kulcs hossza 4096, a rendszer kérni fogja, hogy meghatározza a tárolási helyét, hagyja meg az alapértelmezett (/home/UserName/.ssh/id_rsa), akkor is meg kell kérni, hogy állítson be jelszót a generált kulcsot. Ha a jelszó nincs megadva, akkor az nem kell, hogy adja meg azt a hitelesítési tanúsítványt a kiszolgáló kevésbé megbízható. Azt javasoljuk, hogy adjon meg egy jelszót:

Az említett két kulcsa van létrehozott könyvtárba:

Nézze meg, hogy fájlok jönnek létre:

Engedélyeket állítson be a mappát, és fájlok:

A privát kulcs kell továbbítani a kliens biztonságos módon, és távolítsa el a szerver, hogy ne veszélyeztesse a kulcsokat.

Key id_rsa küldött az ügyfélnek:

Ekkor törlődik a szerverről:

Hozzunk létre a authorized_keys fájlt (a rendszer ugyanolyan felhasználó „felhasználónév”, amelyre a tanúsítvány létrehozása), és másolja a tartalmát id_rsa.pub fájl határozza meg és állítsa be a tulajdonos a jogot, hogy a könyvtárak és fájlok.

Azt ellenőrzik, hogy a másolt szöveget:

Ha a szöveg másolt sikeres, a nyilvános kulcsot el lehet távolítani:

Meg kell megjegyzésből vonal és tegye ki a következő paraméterek szerint:

Indítsa újra az SSH szerver:

Miután beállította a bizonyítványokat az összes felhasználó (akiknek biztonságos SSH), azt javasoljuk, hogy tiltsa jelszó hitelesítés, szerkesztheti ugyanazt a fájlt az / etc / ssh / sshd_config

Figyelmeztetés kikapcsolás előtt jelszó hitelesítési ellenőrzés kulcsfontosságú elérhetőség

Csatlakozás az SSH szerver a gitt, használja a tanúsítványt.

Először, meg kell alakítani a saját kulcs (felhasználónév felhasználói kulcs), amelyet már korábban felvett a szerverről.

Ehhez szükségünk van PuTTYgen programot.

Töltsük be a privát kulcsot „konverziók - Import Key”.

Ha beállított egy jelszót, írja be azt.

Válassza ki a „Save private key”, és tárolja a PPK fájlt. Tartsd meg állva egy helyre, ahol nem sérülhet.

Nyissa meg a programot gitt és a kapcsolat konfigurálásához:

Session - Port megadott port a szerver beállításait SSH;

Kapcsolat - Adat - Autologin felhasználónév felhasználói név;

Connection - SSH - Auth - Saját kulcs fájl hitelesítési útvonal a PPK file;

Session - Mentés A munkamenet;

Session - Mentett Session (válassza ülésünk) - Load - Open - Session kell kezdeni;

Írja be a jelszót, és nyomja meg az Enter, majd bejutni a rendszerbe.

Ha egy felhasználó tanúsítvány sérült, akkor felülvizsgálja a tanúsítvány és tagadja a felhasználói hozzáférést.

Hogy megtagadja a hozzáférést a felhasználói felhasználónév házigazdák a tanúsítványt, keresse meg a mappát, ahol a tárolás tanúsítvány:

A fájl törlése a nyilvános igazolás authorized_key a OpenSSH szerver, ha nem véletlenül eltávolított id_rsa.pub és id_rsa fájlokat. távolítsa el őket. Tekintse meg a tartalmát egy könyvtárba kommandó „ls”.

Törölje a szükséges fájlokat:

Az alábbi példában, ez az idő legfeljebb 30 másodperc:

A timeout hiányában egy vegyület aktivitásának.

Automatikus kapcsolat le egy idő után, amely alatt felvett kihagyva a konzol.

ClientAliveCountMax - A paraméter jelzi a teljes számát az elküldött üzeneteket az ssh-szerver ismeri az ssh-ügyfél tevékenységét. Az alapértelmezett érték 3.

ClientAliveInterval - A paraméter jelzi a timeout másodpercekben. A lejárati ssh-szerver küld egy kérést üzenetet küld a kliensnek. Az alapértelmezett paraméter értéke - 0. A szerver nem küld egy üzenetet az ellenőrzést.

ssh-kliens kilépése után automatikusan 5 perc (300 másodperc):

Kapcsolódó cikkek