Mae technoleg SSH (Secure Shell) yn caniatáu ichi reoli'ch cyfrifiadur o bell trwy gysylltiad diogel. Mae SSH yn amgryptio pob ffeil a drosglwyddir, gan gynnwys cyfrineiriau, ac mae hefyd yn trosglwyddo unrhyw brotocol rhwydwaith yn llwyr. Er mwyn i'r offeryn weithio'n gywir, rhaid nid yn unig ei osod, ond ei ffurfweddu hefyd. Mae'n ymwneud â chynnyrch y prif gyfluniad yr hoffem siarad amdano yn fframwaith yr erthygl hon, gan gymryd fel enghraifft y fersiwn ddiweddaraf o system weithredu Ubuntu y bydd y gweinydd wedi'i lleoli arni.
Ffurfweddu SSH yn Ubuntu
Os nad ydych eto wedi cwblhau'r gosodiad ar y gweinydd a chyfrifiaduron personol y cleient, dylech wneud hyn i ddechrau, gan fod y weithdrefn gyfan yn eithaf syml ac nid yw'n cymryd llawer o amser. I gael arweiniad manwl ar y pwnc hwn, gweler ein herthygl arall trwy'r ddolen ganlynol. Mae hefyd yn dangos y weithdrefn ar gyfer golygu'r ffeil ffurfweddu a phrofi gweithrediad SSH, felly heddiw byddwn yn canolbwyntio ar ychydig o dasgau eraill.
Darllen mwy: Gosod SSH-server yn Ubuntu
Creu Pâr Allweddol RSA
Nid oes gan yr SSH sydd newydd ei osod yr allweddi penodedig ar gyfer cysylltu o'r gweinydd â'r cleient ac i'r gwrthwyneb. Rhaid gosod yr holl baramedrau hyn â llaw yn syth ar ôl ychwanegu'r holl gydrannau protocol. Mae'r pâr allweddol yn gweithio gan ddefnyddio'r algorithm RSA (yn fyr ar gyfer enwau'r datblygwyr Rivest, Shamir ac Adleman). Diolch i'r cryptosystem hon, mae allweddi arbennig yn cael eu hamgryptio gan ddefnyddio algorithmau arbennig. I greu pâr o allweddi cyhoeddus, dim ond y gorchmynion priodol sydd eu hangen arnoch chi i mewn i'r consol a dilyn y cyfarwyddiadau sy'n ymddangos.
- Ewch i weithio gyda "Terfynell" unrhyw ddull cyfleus, er enghraifft, ei agor trwy ddewislen neu gyfuniad allweddol Ctrl + Alt + T..
- Rhowch orchymyn
ssh-keygenac yna pwyswch yr allwedd Rhowch i mewn. - Fe'ch anogir i greu ffeil lle mae'r allweddi yn cael eu cadw. Os ydych chi am eu gadael yn y lleoliad diofyn, cliciwch ar Rhowch i mewn.
- Gellir diogelu'r allwedd gyhoeddus gan gyfrinair. Os ydych chi am ddefnyddio'r opsiwn hwn, ysgrifennwch gyfrinair yn y llinell sy'n ymddangos. Ni fydd cymeriadau sydd wedi'u cofrestru yn cael eu harddangos. Mewn llinell newydd, bydd angen i chi ei ailadrodd.
- Nesaf, fe welwch hysbysiad bod yr allwedd wedi'i harbed, a gallwch hefyd ymgyfarwyddo â'i delwedd graffig ar hap.
Nawr mae pâr o allweddi wedi'u creu - cyfrinachol a chyhoeddus, a fydd yn cael eu defnyddio ar gyfer cysylltiad pellach rhwng cyfrifiaduron. Nid oes ond angen i chi roi'r allwedd ar y gweinydd er mwyn i ddilysiad SSH lwyddo.
Copïwch yr allwedd gyhoeddus i'r gweinydd
Mae yna dri dull ar gyfer copïo allweddi. Bydd pob un ohonynt ar ei orau mewn amrywiol sefyllfaoedd pan, er enghraifft, nad yw un o'r dulliau'n gweithio neu pan nad yw'n addas ar gyfer defnyddiwr penodol. Awgrymwn ystyried pob un o'r tri opsiwn, gan ddechrau gyda'r symlaf a'r mwyaf effeithiol.
Opsiwn 1: gorchymyn ssh-copy-id
Y tîmssh-copy-idMae wedi'i ymgorffori yn y system weithredu, felly nid oes angen i chi osod unrhyw gydrannau ychwanegol i'w redeg. Dilynwch y gystrawen syml i gopïo allwedd. Yn "Terfynell" rhaid mynd i mewnenw defnyddiwr ssh-copy-id @ remote_hostlle enw defnyddiwr @ remote_host yw enw'r cyfrifiadur anghysbell.
Y tro cyntaf y byddwch chi'n cysylltu, byddwch chi'n derbyn testun hysbysu:
Ni ellir sefydlu dilysrwydd gwesteiwr '203.0.113.1 (203.0.113.1)'.
Olion bysedd allweddol ECDSA yw fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Ydych chi'n siŵr eich bod chi eisiau parhau i gysylltu (ie / na)? ie
Rhaid i chi nodi opsiwn ie i barhau â'r cysylltiad. Ar ôl hynny, bydd y cyfleustodau'n chwilio'n annibynnol am yr allwedd ar ffurf ffeilid_rsa.pubcrëwyd hynny yn gynharach. Os bydd yn llwyddiannus, bydd y canlyniad canlynol yn cael ei arddangos:
/ usr / bin / ssh-copy-id: INFO: ceisio mewngofnodi gyda'r allwedd (au) newydd, i hidlo unrhyw rai sydd eisoes wedi'u gosod
/ usr / bin / ssh-copy-id: INFO: Mae 1 allwedd (au) yn dal i gael eu gosod - os cewch eich annog nawr mae i osod yr allweddi newydd
cyfrinair enw [email protected]:
Nodwch y cyfrinair o'r gwesteiwr anghysbell fel y gall y cyfleustodau ei nodi. Bydd yr offeryn yn copïo data o'r ffeil allwedd gyhoeddus ~ / .ssh / id_rsa.pub, ac ar ôl hynny bydd neges yn ymddangos ar y sgrin:
Nawr ceisiwch fewngofnodi i'r peiriant, gyda: "ssh 'enw [email protected]'"Nifer yr allwedd (au) a ychwanegwyd: 1
a gwiriwch i sicrhau mai dim ond yr allwedd (au) yr oeddech chi eu heisiau a ychwanegwyd.
Mae ymddangosiad testun o'r fath yn golygu bod yr allwedd wedi'i lawrlwytho'n llwyddiannus i'r cyfrifiadur anghysbell, ac yn awr ni fydd unrhyw broblemau cysylltu.
Opsiwn 2: Copïwch yr allwedd gyhoeddus trwy SSH
Os na allwch ddefnyddio'r cyfleustodau a grybwyllir uchod, ond mae gennych gyfrinair i fewngofnodi i'r gweinydd SSH anghysbell, gallwch uwchlwytho'ch allwedd defnyddiwr â llaw, a thrwy hynny sicrhau dilysiad sefydlog pellach wrth gysylltu. Defnyddir ar gyfer y gorchymyn hwn cath, a fydd yn darllen y data o'r ffeil, ac yna fe'u hanfonir at y gweinydd. Bydd angen i chi nodi'r llinell yn y consol
cath ~ / .ssh / id_rsa.pub | enw defnyddiwr ssh @ remote_host "mkdir -p ~ / .ssh && touch ~ / .ssh / awdurdodedig_keys && chmod -R go = ~ / .ssh && cat >> ~ / .ssh / awdurdodedig_keys".
Pan fydd neges yn ymddangos
Ni ellir sefydlu dilysrwydd gwesteiwr '203.0.113.1 (203.0.113.1)'.
Olion bysedd allweddol ECDSA yw fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe.
Ydych chi'n siŵr eich bod chi eisiau parhau i gysylltu (ie / na)? ie
parhau i gysylltu a nodi'r cyfrinair i fynd i mewn i'r gweinydd. Ar ôl hynny, bydd yr allwedd gyhoeddus yn cael ei chopïo'n awtomatig hyd at ddiwedd y ffeil ffurfweddu. awdurdodedig_keys.
Opsiwn 3: Copïo'r Allwedd Cyhoeddus â Llaw
Os nad oes mynediad i'r cyfrifiadur anghysbell trwy'r gweinydd SSH, mae'r holl gamau uchod yn cael eu perfformio â llaw. I wneud hyn, yn gyntaf darganfyddwch y wybodaeth allweddol ar gyfrifiadur y gweinydd trwy'r gorchymyncath ~ / .ssh / id_rsa.pub.
Bydd y llinell ganlynol yn cael ei harddangos ar y sgrin:allwedd set cymeriad ssh-rsa + == demo @ prawf. Ar ôl hynny, ewch i weithio ar y ddyfais bell, lle crëwch gyfeiriadur newydd drwyddomkdir -p ~ / .ssh. Mae hefyd yn creu ffeilawdurdodedig_keys. Nesaf, mewnosodwch yr allwedd y gwnaethoch chi ei dysgu yn gynharach drwyddoadleisio + llinyn allwedd gyhoeddus >> ~ / .ssh / awdurdodedig_keys. Ar ôl hynny, gallwch geisio dilysu gyda'r gweinydd heb ddefnyddio cyfrineiriau.
Dilysu ar y gweinydd gan ddefnyddio'r allwedd a gynhyrchir
Yn yr adran flaenorol, fe wnaethoch chi ddysgu am dri dull ar gyfer copïo allwedd cyfrifiadur anghysbell i weinydd. Bydd gweithredoedd o'r fath yn caniatáu ichi gysylltu heb ddefnyddio cyfrinair. Perfformir y weithdrefn hon trwy'r llinell orchymyn trwy fynd i mewnenw defnyddiwr shh ssh @ remote_hostlle enw defnyddiwr @ remote_host - enw defnyddiwr a gwesteiwr y cyfrifiadur a ddymunir. Y tro cyntaf y byddwch chi'n cysylltu, fe'ch hysbysir o gysylltiad anghyfarwydd a gallwch barhau trwy ddewis ie.
Bydd y cysylltiad yn digwydd yn awtomatig os na nodwyd cyfrinair wrth greu'r pâr allweddol. Fel arall, rhaid i chi ei nodi yn gyntaf er mwyn parhau i weithio gyda SSH.
Analluogi dilysu cyfrinair
Mae cyfluniad llwyddiannus o gopïo allweddol yn cael ei ystyried yn y sefyllfa pan fydd yn bosibl mynd i mewn i'r gweinydd heb ddefnyddio cyfrinair. Fodd bynnag, mae'r gallu i ddilysu fel hyn yn caniatáu i ymosodwyr ddefnyddio offer cracio cyfrinair a chracio cysylltiad diogel. Bydd yn bosibl amddiffyn eich hun rhag achosion o'r fath trwy analluogi cofnod cyfrinair yn llwyr yn ffeil ffurfweddu SSH. Bydd hyn yn gofyn am:
- Yn "Terfynell" agor y ffeil ffurfweddu trwy'r golygydd gan ddefnyddio'r gorchymyn
sudo gedit / etc / ssh / sshd_config. - Dewch o hyd i'r llinell "CyfrinairAuthentication" a thynnwch yr arwydd # ar y dechrau i uncment y paramedr.
- Newid y gwerth i na ac arbed y cyfluniad cyfredol.
- Caewch y golygydd ac ailgychwynwch y gweinydd
sudo systemctl ailgychwyn ssh.
Bydd dilysu cyfrinair yn anabl, a bydd yn bosibl mynd i mewn i'r gweinydd gan ddefnyddio'r allweddi a grëwyd yn arbennig ar gyfer hyn gyda'r algorithm RSA.
Ffurfweddu wal dân safonol
Yn Ubuntu, y wal dân ddiofyn yw Mur Tân Cymhleth (UFW). Mae'n caniatáu ichi ganiatáu cysylltiadau ar gyfer gwasanaethau dethol. Mae pob cymhwysiad yn creu ei broffil ei hun yn yr offeryn hwn, ac mae PCA yn eu rheoli, gan ganiatáu neu anablu cysylltiadau. Mae sefydlu proffil SSH trwy ei ychwanegu at y rhestr fel a ganlyn:
- Agorwch y rhestr o broffiliau wal dân trwy'r gorchymyn
rhestr ap sudo ufw. - Rhowch gyfrinair eich cyfrif i arddangos y wybodaeth.
- Fe welwch restr o'r cymwysiadau sydd ar gael, yn eu plith dylai fod OpenSSH.
- Nawr dylech ganiatáu cysylltiadau trwy SSH. I wneud hyn, ychwanegwch ef at y rhestr o broffiliau a ganiateir gan ddefnyddio
sudo ufw caniatáu OpenSSH. - Trowch wal dân ymlaen trwy ddiweddaru'r rheolau,
sudo ufw galluogi. - Er mwyn sicrhau bod cysylltiadau'n cael eu caniatáu, dylech chi ragnodi
statws sudo ufw, ac ar ôl hynny fe welwch statws y rhwydwaith.
Mae hyn yn cwblhau ein cyfarwyddiadau cyfluniad SSH yn Ubuntu. Mae gosodiadau pellach o'r ffeil ffurfweddu a pharamedrau eraill yn cael eu cyflawni'n bersonol gan bob defnyddiwr o dan ei geisiadau. Gallwch ymgyfarwyddo â gweithredoedd holl gydrannau SSH yn nogfennaeth swyddogol y protocol.
