Pinapayagan ka ng teknolohiyang SSH (Secure Shell) na ligtas mong kontrolin ang iyong computer sa pamamagitan ng isang ligtas na koneksyon. In-encrypt ng SSH ang lahat ng mga nailipat na file, kasama ang mga password, at naghahatid din ng ganap na anumang protocol ng network. Para gumana nang tama ang tool, dapat itong hindi lamang mai-install, ngunit naka-configure din. Ito ay tungkol sa produkto ng pangunahing pagsasaayos na nais naming pag-usapan sa balangkas ng artikulong ito, na kinuha bilang isang halimbawa ang pinakabagong bersyon ng operating system ng Ubuntu kung saan matatagpuan ang server.
I-configure ang SSH sa Ubuntu
Kung hindi mo pa nakumpleto ang pag-install sa mga server ng server at kliyente, dapat mong gawin ito sa una, dahil ang buong pamamaraan ay medyo simple at hindi gaanong tumatagal ng maraming oras. Para sa detalyadong gabay sa paksang ito, tingnan ang aming iba pang artikulo sa sumusunod na link. Ipinapakita rin nito ang pamamaraan para sa pag-edit ng file ng pagsasaayos at pagsusuri sa pagpapatakbo ng SSH, kaya ngayon tutok tayo sa ilang iba pang mga gawain.
Magbasa nang higit pa: Pag-install ng SSH-server sa Ubuntu
Paglikha ng isang RSA Key Pares
Ang bagong naka-install na SSH ay wala pa ring tinukoy na mga susi para sa pagkonekta mula sa server sa kliyente at kabaligtaran. Ang lahat ng mga parameter na ito ay dapat na itakda nang manu-mano kaagad pagkatapos magdagdag ng lahat ng mga sangkap ng protocol. Ang pangunahing pares ay gumagana gamit ang RSA algorithm (maikli para sa mga pangalan ng mga developer Rivest, Shamir at Adleman). Salamat sa cryptosystem na ito, ang mga espesyal na susi ay naka-encrypt gamit ang mga espesyal na algorithm. Upang lumikha ng isang pares ng mga pampublikong key, kailangan mo lamang ipasok ang naaangkop na mga utos sa console at sundin ang mga tagubiling lilitaw.
- Pumunta upang gumana sa "Terminal" anumang maginhawang pamamaraan, halimbawa, pagbubukas nito sa pamamagitan ng isang menu o isang pangunahing kumbinasyon Ctrl + Alt + T.
- Ipasok ang utos
ssh-keygenat pagkatapos ay pindutin ang susi Ipasok. - Sasabihan ka upang lumikha ng isang file kung saan nai-save ang mga key. Kung nais mong iwanan ang mga ito sa default na lokasyon, mag-click lamang Ipasok.
- Ang pampublikong susi ay maaaring maprotektahan ng isang passphrase. Kung nais mong gamitin ang pagpipiliang ito, sumulat ng isang password sa linya na lilitaw. Ang mga pinapasok na character ay hindi ipapakita. Sa isang bagong linya, kakailanganin mong ulitin ito.
- Susunod, makakakita ka ng isang abiso na ang susi ay nai-save, at maaari mo ring maging pamilyar sa kanyang mga graphic na imahe.
Ngayon ay may isang nilikha na pares ng mga susi - lihim at pampubliko, na gagamitin para sa karagdagang koneksyon sa pagitan ng mga computer. Kailangan mo lamang ilagay ang susi sa server para magtagumpay ang pagpapatotoo ng SSH.
Kopyahin ang pampublikong susi sa server
Mayroong tatlong mga pamamaraan para sa pagkopya ng mga key. Ang bawat isa sa kanila ay magiging pinakamainam sa iba't ibang mga sitwasyon kung, halimbawa, ang isa sa mga pamamaraan ay hindi gumagana o hindi angkop para sa isang tiyak na gumagamit. Iminumungkahi namin na isinasaalang-alang ang lahat ng tatlong mga pagpipilian, na nagsisimula sa pinakasimpleng at pinaka-epektibo.
Pagpipilian 1: utos ssh-copy-id
Ang pangkatssh-copy-idItinayo ito sa operating system, kaya hindi mo kailangang mag-install ng anumang mga karagdagang sangkap upang patakbuhin ito. Sundin ang simpleng syntax upang kopyahin ang isang susi. Sa "Terminal" dapat pumasokssh-copy-id username @ remote_hostsaan username @ remote_host ay ang pangalan ng malayong computer.
Sa unang pagkakakonekta mo, makakatanggap ka ng isang text na notification:
Ang pagiging tunay ng host '203.0.113.1 (203.0.113.1)' ay hindi maitatag.
Ang ECDSA key fingerprint ay fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Sigurado ka bang nais mong magpatuloy sa pagkonekta (oo / hindi)? oo
Dapat mong tukuyin ang isang pagpipilian oo upang ipagpatuloy ang koneksyon. Pagkatapos nito, ang utility ay nakapag-iisa na maghanap para sa susi sa anyo ng isang fileid_rsa.pubna nilikha bago. Kung matagumpay, ang mga sumusunod na resulta ay ipapakita:
/ usr / bin / ssh-copy-id: INFO: sinusubukang mag-log in gamit ang mga bagong susi, upang mai-filter ang anumang na-install na
/ usr / bin / ssh-copy-id: INFO: 1 key (s) ay mananatiling mai-install - kung sasabihan ka ngayon ay i-install ang mga bagong key
[email protected] ng password:
Tukuyin ang password mula sa remote host upang maipasok ito ng utility. Kopyahin ng tool ang data mula sa public key file ~ / .ssh / id_rsa.pub, at pagkatapos nito ay lilitaw ang isang mensahe sa screen:
Ngayon subukang mag-log in sa makina, kasama ang: "ssh '[email protected]'"Bilang ng mga susi (idinagdag): 1
at suriin upang matiyak na ang mga susi (mga) nais mo ay idinagdag.
Ang hitsura ng nasabing teksto ay nangangahulugan na ang susi ay matagumpay na na-download sa remote na computer, at ngayon ay walang mga problema sa koneksyon.
Pagpipilian 2: Kopyahin ang pampublikong susi sa pamamagitan ng SSH
Kung hindi mo nagamit ang utility na nabanggit sa itaas, ngunit mayroon kang isang password upang mag-log in sa malayong SSH server, maaari mong manu-manong mai-upload ang iyong susi ng gumagamit, sa gayon masisiguro ang karagdagang matatag na pagpapatotoo kapag kumokonekta. Ginamit para sa utos na ito pusa, na babasahin ang data mula sa file, at pagkatapos ay ipapadala sila sa server. Kailangan mong ipasok ang linya sa console
pusa ~ / .ssh / id_rsa.pub | ssh username @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / awtorisado_key && chmod -R go = ~ / .ssh && cat >> ~ / .ssh / awtorisadong_key".
Kapag lumilitaw ang isang mensahe
Ang pagiging tunay ng host '203.0.113.1 (203.0.113.1)' ay hindi maitatag.
Ang ECDSA key fingerprint ay fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Sigurado ka bang nais mong magpatuloy sa pagkonekta (oo / hindi)? oo
magpatuloy sa pagkonekta at ipasok ang password upang maipasok ang server. Pagkatapos nito, ang pampublikong susi ay awtomatikong makopya hanggang sa dulo ng file ng pagsasaayos. awtorisadong_key.
Pagpipilian 3: Manu-manong Pagkopya sa Public Key
Kung walang pag-access sa malayong computer sa pamamagitan ng SSH server, ang lahat ng mga hakbang sa itaas ay manu-mano gumanap. Upang gawin ito, alamin muna ang mga pangunahing impormasyon sa server ng PC sa pamamagitan ng utospusa ~ / .ssh / id_rsa.pub.
Ang sumusunod na linya ay ipapakita sa screen:ssh-rsa + character set key == demo @ pagsubok. Pagkatapos nito, pumunta sa trabaho sa remote na aparato, kung saan lumikha ng isang bagong direktoryomkdir -p ~ / .ssh. Karagdagan ito ay lumilikha ng isang fileawtorisadong_key. Susunod, ipasok ang susi na natutunan mo nang unaecho + public key string >> ~ / .ssh / awtorisadong_key. Pagkatapos nito, maaari mong subukang patunayan sa server nang hindi gumagamit ng mga password.
Ang pagpapatunay sa server gamit ang nabuong susi
Sa nakaraang seksyon, nalaman mo ang tungkol sa tatlong mga pamamaraan para sa pagkopya ng isang malayuang computer key sa isang server. Ang ganitong mga pagkilos ay magpapahintulot sa iyo na kumonekta nang hindi gumagamit ng isang password. Ang pamamaraang ito ay isinasagawa sa pamamagitan ng linya ng command sa pamamagitan ng pagpasokshh ssh username @ remote_hostsaan username @ remote_host - username at host ng nais na computer. Sa unang pagkakataon na kumonekta ka, sasabihan ka ng isang hindi pamilyar na koneksyon at maaari kang magpatuloy sa pamamagitan ng pagpili oo.
Ang koneksyon ay awtomatikong magaganap kung walang passphrase na tinukoy sa panahon ng paglikha ng pangunahing pares. Kung hindi, kailangan mo munang ipasok ito upang magpatuloy sa pagtatrabaho sa SSH.
Hindi pagpapagana ang pagpapatunay ng password
Ang isang matagumpay na pagsasaayos ng pangunahing pagkopya ay isinasaalang-alang sa sitwasyon kung posible na ipasok ang server nang hindi gumagamit ng isang password. Gayunpaman, ang kakayahang patunayan sa ganitong paraan ay nagpapahintulot sa mga umaatake na gumamit ng mga tool sa pag-crack ng password at basag ang isang ligtas na koneksyon. Posible na maprotektahan ang iyong sarili mula sa mga naturang kaso sa pamamagitan ng ganap na hindi paganahin ang pagpasok ng password sa file ng pagsasaayos ng SSH. Mangangailangan ito:
- Sa "Terminal" buksan ang file ng pagsasaayos sa pamamagitan ng editor gamit ang utos
sudo gedit / etc / ssh / sshd_config. - Hanapin ang linya "PasswordAuthentication" at alisin ang tanda # sa simula upang i-uncomment ang parameter.
- Baguhin ang halaga sa hindi at i-save ang kasalukuyang pagsasaayos.
- Isara ang editor at i-restart ang server
sudo systemctl i-restart ang ssh.
Ang pagpapatunay ng password ay hindi pinagana, at posible na makapasok lamang sa server gamit lamang ang mga susi na espesyal na nilikha para sa algorithm ng RSA.
I-configure ang isang karaniwang firewall
Sa Ubuntu, ang default na firewall ay Uncomplicated Firewall (UFW). Pinapayagan ka nitong payagan ang mga koneksyon para sa mga napiling serbisyo. Lumilikha ang bawat application ng sariling profile sa tool na ito, at pinangangasiwaan ng UFW ang mga ito, pinapayagan o hindi pinapagana ang mga koneksyon. Ang pag-set up ng isang SSH profile sa pamamagitan ng pagdaragdag nito sa listahan ay ang mga sumusunod:
- Buksan ang listahan ng mga profile ng firewall sa pamamagitan ng utos
listahan ng app ng sudo ufw. - Ipasok ang password ng iyong account upang maipakita ang impormasyon.
- Makakakita ka ng isang listahan ng mga magagamit na aplikasyon, bukod sa mga ito ay dapat na OpenSSH.
- Ngayon ay dapat mong payagan ang mga koneksyon sa pamamagitan ng SSH. Upang gawin ito, idagdag ito sa listahan ng mga pinapayagan na profile na gumagamit
sudo ufw payagan ang OpenSSH. - I-on ang firewall sa pamamagitan ng pag-update ng mga patakaran,
paganahin ang sudo ufw. - Upang matiyak na pinapayagan ang mga koneksyon, dapat kang magreseta
katayuan ng sudo ufw, pagkatapos nito makikita mo ang katayuan sa network.
Natapos nito ang aming mga tagubilin sa pagsasaayos ng SSH sa Ubuntu. Ang karagdagang mga setting ng file ng pagsasaayos at iba pang mga parameter ay isinasagawa nang personal ng bawat gumagamit sa ilalim ng kanyang mga kahilingan. Maaari kang makilala ang pagkilos ng lahat ng mga sangkap ng SSH sa opisyal na dokumentasyon ng protocol.
