SSH eng muhim tizim boshqaruv vositalaridan biridir.
SSH yoki Secure Shell - bu masofaviy tizimlarga xavfsiz ulanish uchun ishlatiladigan protokol. Bu uzoq Linux va Unix-ga o'xshash serverlarga (masalan, VPS) ulanishning eng keng tarqalgan usuli.
Ushbu qo'llanma masofaviy tizimga ulanish uchun SSH-dan foydalanishni o'z ichiga oladi.
Linuxda SSH yordamida masofaviy tizimga ulanish uchun xuddi shu nomdagi vosita - ssh mavjud.
Asosiy buyruq turi:
ssh remote_host
IN bu misolda"remote_host" iborasi IP manzilni almashtiradi yoki Domen nomi ulanish uchun xost.
Bu buyruq masofaviy va mahalliy tizimlardagi foydalanuvchi nomi bir xil deb hisoblaydi.
Agar masofaviy tizim boshqa foydalanuvchi nomiga ega bo'lsa, uni quyidagi sintaksis yordamida belgilashingiz kerak:
ssh username@remotehost
Serverga ulangandan so'ng, autentifikatsiya qilish uchun parolni kiritishingiz kerak.
Parol o'rniga ishlatilishi mumkin bo'lgan kalitlarni yaratish tartibi keyinroq tavsiflanadi.
Mahalliy seansga qaytish uchun shunchaki yozing:
SSH mijoz dasturini ssh serveriga ulash orqali ishlaydi.
Yuqoridagi buyruqlarda ssh mijoz dasturidir. Ssh server allaqachon belgilangan masofaviy hostda ishlamoqda.
Agar ssh serveri VPS-da ishlamasa, server sahifasida joylashgan "Konsolga kirish" tugmasini bosing. Bu tizimga kirish ekranini ochadi. Kirish uchun hisob ma'lumotlaringizdan foydalaning.
Umuman olganda, ssh serverini ishga tushirish jarayoni siz foydalanayotgan Linux distributiviga bog'liq.
Ubuntu-da VPS-da ssh serverini ishga tushirish uchun quyidagilarni kiritishingiz kerak:
Sudo xizmati sshd ishga tushirish
SSH sozlamalarini o'zgartirganingizda, ssh server sozlamalari ham o'zgaradi.
Ubuntu'da asosiy SSH konfiguratsiya fayli /etc/ssh/sshd_config ichida joylashgan.
Yaratmoq zaxira nusxasi joriy versiya ushbu faylni tahrirlashdan oldin:
Sudo cp /etc/ssh/sshd_config(,.bak)
Uni matn muharriri bilan oching:
Sudo nano /etc/ssh/sshd_config
Ba'zi sozlamalar alohida e'tibor talab qiladi, masalan:
Bu satr ssh serveri ulanishlar uchun qaysi portni tinglashini belgilaydi. Odatiy bo'lib, bu port 22.
Serverni tasodifiy portlarni skanerlashdan himoya qilish uchun nostandart portdan foydalanish tavsiya etiladi. Yangi portga qanday ulanishni keyinroq ko'rsatamiz.
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey satrlari xost kalitlari qaerda joylashganligini ko'rsatadi (keyinchalik xost kalitlari haqida).
SyslogFacility
LogLevel INFO
Ushbu qatorlar jurnal sozlamalarini o'z ichiga oladi va jurnal darajasini belgilaydi.
Agar siz SSH bilan bog'liq muammolarga duch kelsangiz, jurnal darajasini oshirish tavsiya etiladi (bu yozilgan ma'lumotlar miqdorini oshiradi).
LoginGraceTime 120
PermitRootLogin ha
StrictModes ha
Ushbu parametrlar ba'zi ro'yxatga olish ma'lumotlarini o'z ichiga oladi.
LoginGraceTime ruxsatsiz ulanish saqlanishi kerak bo'lgan soniyalar sonini ko'rsatadi.
Eslatma: Bu qatorni odatda roʻyxatdan oʻtish uchun talab qilinadigan vaqtdan bir oz koʻproq vaqtga oʻrnating.
PermitRootLogin root foydalanuvchi sifatida tizimga kirishingiz mumkinligini aniqlaydi.
Ko'pgina hollarda, yuqori imtiyozlarga (su yoki sudo) va ssh orqali ulanish imkoniyatiga ega foydalanuvchi yaratgandan so'ng, ushbu qatorni "yo'q" ga o'rnatish tavsiya etiladi.
qat'iy rejimlar autentifikatsiya fayllari hamma uchun ochiq bo'lsa, tizimga kirishni rad etadigan xavfsizlik qurilmasi.
Bu konfiguratsiya fayllari himoyalanmagan bo'lsa, tizimga kirishga urinishlarning oldini oladi.
X11 Forwarding ha
X11DisplayOffset 10
Ushbu sozlamalar X11 Forwarding deb nomlangan xususiyatni sozlaydi, bu sizga grafik ko'rish imkonini beradi foydalanuvchi interfeysi mahalliy tizimdagi masofaviy tizimning (GUI).
Ushbu parametr ham mahalliy, ham masofaviy mashinalarda yoqilgan bo'lishi kerak; Funktsiyadan foydalanish uchun mijoz va –X opsiyasidan o'tishingiz kerak.
Ushbu faylni tahrir qilgandan so'ng, kiritilgan o'zgarishlarni faollashtirish uchun ssh serverini qayta ishga tushirishni unutmang:
sudo xizmati sshd-ni qayta ishga tushiring
Bundan tashqari, kiritilgan o'zgarishlar hamma narsa kutilganidek ishlashini ta'minlash uchun yaxshilab tekshirilishi kerak.
Muammolarga duch kelsangiz, "Konsolga kirish" tugmasi yordamida ham tizimga kirishingiz mumkinligini unutmang.
Kalitga asoslangan autentifikatsiya odatda parol yordamida masofaviy tizimga kirishdan ko'ra ancha xavfsizroqdir.
Kalitga asoslangan autentifikatsiya bir juft kalit yaratishni o'z ichiga oladi - shaxsiy va umumiy.
Maxfiy kalit mijoz mashinasida joylashgan bo'lib, himoyalangan va sir saqlanishi kerak.
Ochiq kalit har kimga berilishi va kirishga muhtoj bo'lgan istalgan serverga joylashtirilishi mumkin.
Kalitlar juftligi yordamida ulanishga urinayotganda, server mijoz kompyuteri uchun faqat shaxsiy kalit bilan o'qilishi mumkin bo'lgan xabar yaratish uchun ochiq kalitdan foydalanadi.
Keyin mijoz kompyuteri serverga tegishli javobni yuboradi, bu esa serverga mijozning qonuniy ekanligini bilish imkonini beradi.
Tugmalar sozlangandan so'ng, bu jarayon avtomatik ravishda fonda sodir bo'ladi.
SSH kalitlari ulanishni o'rnatmoqchi bo'lgan kompyuterda yaratilishi kerak (odatda mahalliy kompyuter).
Buyruqlar qatorida quyidagilarni kiriting:
ssh-keygen -t rsa
Standart sozlamalarni qabul qilish uchun Enter tugmasini bosing. Kalitlar ~/.ssh/id_rsa.pub va ~/.ssh/id_rsa da yaratiladi.
.ssh katalogiga o'ting:
Iltimos, fayl ruxsatlariga e'tibor bering:
ls -l
-rw-r--r-- 1 demo demo 807 9-sentabr 22:15 avtorlangan_kalitlar
-rw------- 1 demo demo 1679 9-sentabr 23:13 id_rsa
-rw-r--r-- 1 demo demo 396 9-sentabr 23:13 id_rsa.pub
Ko'rib turganingizdek, faqat egasi id_rsa faylini o'qish va o'zgartirish huquqiga ega. Bunday imtiyozlar asosiy sirni saqlash uchun talab qilinadi.
Shu bilan birga, id_rsa.pub fayli birgalikda bo'lishi mumkin, shuning uchun u tegishli imtiyozlarga ega.
Quyidagi buyruq ochiq kalitni masofaviy serverga ko'chiradi:
ssh-copy-id remote_host
Bu ochiladi SSH sessiyasi, kirish uchun parolni kiritishingiz kerak.
Parolni kiritgandan so'ng, ochiq kalit serverga ko'chiriladi va keyingi safar parolsiz tizimga kirish imkonini beradi.
SSH orqali ulanishda siz bir qator bayroqlardan foydalanishingiz mumkin.
Ulardan ba'zilari masofaviy xostning ssh faylida tegishli parametrlarni o'rnatish uchun kerak.
Misol uchun, agar localhost-dagi ssh konfiguratsiyasidagi port raqami o'zgartirilgan bo'lsa, siz mijoz tomonida tegishli portni kiritishingiz kerak:
ssh -p port_numeri remote_host
Agar siz masofaviy tizimda buyruqni ishga tushirishingiz kerak bo'lsa, uni quyidagicha belgilashingiz mumkin:
ssh remote_host required_command
Ushbu chiziq masofaviy mashinaga ulanishni o'rnatadi va belgilangan buyruqni bajaradi.
Yuqorida aytib o'tilganidek, agar X11 yo'naltirish xususiyati ikkala kompyuterda ham yoqilgan bo'lsa, undan quyidagini kiritish orqali foydalanish mumkin:
ssh -X remote_host
Mahalliy tizimda barcha tegishli vositalar mavjud bo'lsa, masofaviy tizimda ishlatiladigan GUI dasturlari mahalliy kompyuterda ochiladi.
SSH bilan ishlashni o'rganish juda muhim, agar faqat eng asosiy vazifalarni bajarish kerak bo'lsa.
Doimiy ravishda SSH-dan foydalanib, siz nafaqat serveringizni himoya qila olasiz, balki ilg'or foydalanuvchiga aylanasiz, bu esa hayotingizni ancha soddalashtiradi. SSH protokoli ommabopligicha qolmoqda, chunki u xavfsiz, ishonchli va turli vaziyatlarda foydalidir.
Teglar: ,O'rnatish standart Ubuntu omborlaridan amalga oshiriladi, shuning uchun sizga sozlangan Internet ulanishi kerak bo'ladi.
Ubuntu Server 12.04 o'rnatiladigan OpenSSH serveridan foydalanadi. Quyidagi buyruqni bajaring:
sudo apt-get install openssh-server
O'rnatish Internetga ulanish tezligiga qarab ko'p vaqt talab qilmaydi, ehtimol bir necha daqiqa. O'rnatish tugallangandan so'ng darhol sshd xizmatini ishga tushirishingiz va ssh serveridan foydalanishni boshlashingiz mumkin, chunki O'rnatish paytida o'rnatilgan barcha OpenSSH sozlamalari yuqori darajadagi xavfsizlikka ega. OpenSSH serverini ishga tushirish uchun:
Biroq, siz cheklovlar qo'shish va xavfsizlikni yaxshilashni xohlashingiz mumkin va bu sozlamalarga kichik o'zgarishlar kiritishni talab qiladi. Deyarli barcha server dasturlarida bo'lgani kabi, SSH sozlamalari konfiguratsiya faylidagi parametr nomlari va ularning qiymatlari o'rtasidagi yozishmalardir. Ushbu holatda- /etc/ssh/sshd_config).
/etc/ssh/sshd_config konfiguratsiya fayliga o'zgartirishlar kiritishni boshlashdan oldin, har qanday holatda uning nusxasini yaratishingiz kerak. Masalan, faylni uy papkangizga nusxalashingiz mumkin:
sudo cp /etc/ssh/sshd_config ~
Endi siz ssh serverini sozlashni boshlashingiz mumkin. Vi kabi matn muharririda /etc/ssh/sshd_config faylini oching:
sudo vi /etc/ssh/sshd_config
Ssh server foydalanadigan standart TCP/IP porti 22. Buni bilgan holda, ko'plab avtomatik xakerlik dasturlari tarmoqni skanerlaydi, ochiq 22 portni aniqlaydi va ssh protokoli orqali ulanishga harakat qiladi va parolni taxmin qiladi. Agar foydalanuvchi nomi va parol oddiy bo'lsa (bu, albatta, qabul qilinishi mumkin emas), siz ularni taxmin qilish va tajovuzkor tizimingizga kirish xavfini tug'dirasiz. Portni boshqa istalgan portga o'zgartirish ko'p hollarda ssh serveringizni avtomatik xakerlik tizimlaridan yashiradi. Portni o'zgartirish uchun konfiguratsiya faylida "Port 22" qatorini toping va port qiymatini o'zgartiring, masalan:
Shuni esda tutingki, ssh portini o'zgartirish har doim ham juda yaxshi yechim bo'lmasligi mumkin, masalan, serverga ulanishga urinayotganda hech bo'lmaganda port raqamini eslab qolishingiz kerak bo'ladi. O'zingizni parolni qo'pol kuchdan himoya qilish uchun parollar o'rniga ssh tugmalaridan foydalaning.
Root foydalanuvchiga ssh orqali kirishni taqiqlash ham xavfsizlikni biroz yaxshilaydi, chunki agar tajovuzkor parolni topib, tizimingizga root sifatida kirishga muvaffaq bo'lsa, u darhol tizimni to'liq nazorat qiladi. PermitRootLogin" parametrini o'zgartiring va uning qiymatini "ha" dan "yo'q" ga o'zgartiring:
Xavfsizlikni yaxshilashning yana bir usuli - ssh orqali kirishga ruxsat berilgan foydalanuvchilar sonini cheklash. Buni "AllowUsers" direktivasi yordamida amalga oshirish mumkin. Agar u konfiguratsiya faylida mavjud bo'lsa, tizimga faqat unda tasvirlangan foydalanuvchilarga ruxsat beriladi. Masalan, siz faqat "howtoit" foydalanuvchisiga ssh orqali kirishga ruxsat bermoqchisiz, buning uchun /etc/ssh/sshd_config faylining oxiriga quyidagi qatorni qo'shing:
Agar siz bir nechta foydalanuvchilarni ro'yxatga kiritmoqchi bo'lsangiz, ularni bo'sh joy bilan ajratib qo'shing, masalan:
AllowUsers howtoitru someuser
O'rnatishni tugatgandan so'ng, konfiguratsiya faylini saqlang va yoping va ssh serverini qayta ishga tushiring:
Endi siz tarmoqqa ulanishingiz mumkin Ubuntu tizimi Server 12.04 ssh mijozi yordamida boshqa mashinadan.
VA Vino. Umumiy ishlash printsipi: Windows kompyuteridan Ubuntu-ga xavfsiz SSH tunneli yaratiladi va u orqali VNC ulanishi (masofaviy ish stoli) yaratiladi.
Maqola to'rt qismga bo'lingan:
22-port ochiqligini tekshirish (SSH tomonidan ishlatiladigan standart port):
Netstat -tulpan | grep:22 tcp 0 0 0.0.0.0:22 0.0.0.0:* TINGLASH -
Linuxda SSH orqali ulanish uchun mahalliy portni yo'naltirish ishlatiladi umumiy ko'rinish keyingi buyruq
Ssh -C
Bu port orqali mahalliy kompyuterdan (localhost) kelib chiqadigan har qanday ulanishni anglatadi<локальный_порт>SSH tunneli orqali yo'naltiriladi<удаленный_порт>masofaviy mashina.
Qaysi IP-ni kiritish haqida ba'zi chalkashliklar mavjud
Tunnel qazish haqida xulosa qilish uchun misolni ko'rib chiqing:
Ssh -l myuserid -L 7777: ish: 22 darvoza ssh -p 7777 localhost
Bu buyruq quyidagilarni bajaradi: foydalanuvchi myuserid ostidagi darvoza mashinasiga xavfsiz SSH ulanishini yaratadi. Shu bilan birga, tinglash 7777 portdagi mahalliy mashinada (ulanish o'rnatilgan) boshlanadi. Agar ulanish ushbu portda (yana mahalliy mashinaning o'zidan) tashkil qilingan bo'lsa, u holda bu ulanish ssh ulanishiga tunnel qilinadi. , darvoza mashinasiga etib boradi va undan 22-portdagi ish mashinasida ulanish amalga oshiriladi. Shundan so'ng biz tunnelning ishlashini tekshiramiz - ssh orqali mahalliy 7777 portiga ulanish orqali biz oxir-oqibat ish mashinasiga ulanamiz (uning 22-portda sozlangan ssh serveri mavjudligini hisobga olgan holda).
SSH tunnelidan foydalanishda xavfsizlikning kuchaytirilganligiga erishiladi, chunki faqat bitta port tashqi (SSH) uchun ochiq bo'lishi kerak va shifrlangan ulanish faqat shu port orqali o'tadi.
Biz papkaning serverda mavjudligini tekshiramiz
/uy/<имя_пользователся>/.ssh
/uy/<имя_пользователся>/.ssh/authorized_keys
unda, agar bo'lmasa, uni foydalanuvchi ostida yarating<имя_пользователся>(odatda bu tizimdagi birinchi foydalanuvchi yoki administrator)
Mkdir ~/.ssh cd ~/.ssh vakolatli_tugmalarga teging
Kattaroq xavfsizlik uchun ssh sozlanmoqda. Sozlamalar fayli quyidagi manzilda joylashgan
/etc/ssh/sshd_config
Zaxira nusxasini yaratish
Sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original
Umuman olganda, siz o'zgartirishingiz kerak:
Kattaroq xavfsizlik uchun siz ochiq kalit yordamida SSH autentifikatsiyasini sozlashingiz kerak.
Ssh ulanishlari uchun ruxsat berilgan ochiq kalitlar faylda saqlanadi
~/.ssh/authorized_keys
Biz ulanadigan mashinada umumiy/maxfiy kalit juftligini yaratamiz (keyinroq tavsiflanadi) va ochiq kalitni ushbu faylga nusxalash.
Formatlashga alohida e'tibor berilishi kerak - butun kalit bir qatorga joylashtirilishi va "ssh-rsa" va faylga kirish (-rw——- (600)) bilan boshlanishi kerak.
Kalit faylga to'g'ri kirishni sozlash
Chmod go-w $HOME $HOME/.ssh chmod 600 $HOME/.ssh/authorized_key chown `whoami` $HOME/.ssh/authorized_keys
Sozlamalar faylida /etc/ssh/sshd_config o'zgartirish
StrictModes raqami
O'rnatilgan sozlamalarni faylga qo'llash uchun /etc/ssh/sshd_config, sshd demonini qayta ishga tushirishingiz kerak.
Sudo /etc/init.d/ssh qayta ishga tushiring
Xavfsizlikni yaxshilash uchun quyidagilar qo'llaniladi:
Agar siz VNC (masofaviy ish stoli) orqali kirish uchun SSH ulanishidan foydalansangiz, portni yo'naltirishni sozlashingiz kerak. mahalliy portni yo'naltirish. U xavfsizlikni yaxshilash uchun ishlatiladi, chunki VNC-dan foydalanganda ma'lumotlar aniq matnda uzatiladi.
Putty-da portlarni yo'naltirish uchun menyuga o'ting Ulanish -> SSH -> Tunnellar va qo'shing 5900 "Manba porti" kabi localhost: 5900"Maqsad" bo'limida va Qo'shish tugmasini bosing.
Umumiy/maxfiy kalit juftligini yaratish uchun Puttygen-dan foydalanishingiz mumkin. Puttygen.exe faylini yuklab oling. Parametrlarda SSH-2 RSA ni tanlang, bitlar sonini 2048 ga o'rnating va Generate tugmasini bosing.
Qo'shimcha xavfsizlik uchun siz "parol" ni ikki marta kiritishingiz mumkin. Agar SSH ulanishi paytida darhol konsolga kirish zarurati tug'ilsa, maydon bo'sh qolishi mumkin.
Ochiq kalit faqat Putty tushunadigan formatda saqlanadi. Shuning uchun uni Linux-ga o'rnatish uchun siz quyidagilarni bajarishingiz kerak:
Biz boshlaymiz Windows mashinasi TightVNC va uni maydonga kiriting
Mahalliy xost: 5900
Ubuntu Server qo'llanmasining ushbu bo'limi OpenSSH deb nomlangan tarmoqqa ulangan kompyuterlarni masofadan boshqarish va ma'lumotlarni uzatish uchun kuchli vositalar to'plamini taqdim etadi. Shuningdek, siz OpenSSH server ilovasi bilan mumkin bo'lgan ba'zi konfiguratsiya sozlamalari va ularni Ubuntu tizimingizda qanday o'zgartirish haqida bilib olasiz.
OpenSSH - bu kompyuterlar o'rtasida fayllarni masofadan boshqarish yoki uzatish uchun Secure Shell (SSH) protokollari oilasining bepul mavjud versiyasi. Telnet yoki rcp kabi bu funksiyalarni bajarish uchun ishlatiladigan an'anaviy vositalar xavfsiz emas va foydalanilganda foydalanuvchi parolini aniq matnda uzatadi. OpenSSH xavfsiz, shifrlangan masofadan boshqarish va fayl uzatish operatsiyalarini osonlashtirish uchun server demoni va mijoz vositalarini taqdim etadi. eski vositalar.
OpenSSH server komponenti sshd har qanday mijoz vositalaridan mijoz ulanishlarini doimiy ravishda tinglaydi. Ulanish so'rovi paydo bo'lganda, sshd ulanish vositasi turiga qarab to'g'ri ulanishni o'rnatadi. Masalan, agar masofaviy kompyuter ssh mijoz ilovasiga ulansa, autentifikatsiyadan so'ng OpenSSH serveri masofadan boshqarish seansini o'rnatadi. Agar masofaviy foydalanuvchi OpenSSH serveriga scp bilan ulansa, OpenSSH server demoni autentifikatsiyadan so'ng server va mijoz o'rtasida fayllarning xavfsiz nusxasini ishga tushiradi. OpenSSH ko'plab autentifikatsiya usullaridan, jumladan oddiy parol, ochiq kalit va Kerberos chiptalaridan foydalanishi mumkin.
OpenSSH mijoz va server ilovalarini o'rnatish juda oddiy. OpenSSH mijoz ilovalarini Ubuntu tizimingizga o'rnatish uchun terminalda ushbu buyruqdan foydalaning:
sudo apt install openssh-client
OpenSSH server ilovasini va tegishli qo'llab-quvvatlash fayllarini o'rnatish uchun terminal so'rovida ushbu buyruqdan foydalaning:
sudo apt install openssh-server
Openssh-server paketini Server Edition o'rnatish jarayonida o'rnatish uchun ham tanlash mumkin.
Siz /etc/ssh/sshd_config faylini tahrirlash orqali OpenSSH server ilovasining standart xatti-harakatini sozlashingiz mumkin, sshd . Ushbu faylda ishlatiladigan konfiguratsiya ko'rsatmalari haqida ma'lumot olish uchun siz terminalda berilgan buyruq bilan tegishli qo'llanma sahifasini ko'rishingiz mumkin:
man sshd_config
Sshd konfiguratsiya faylida aloqa sozlamalari va autentifikatsiya rejimlari kabi narsalarni boshqaradigan ko'plab ko'rsatmalar mavjud. Quyida /etc/ssh/sshd_config faylini tahrirlash orqali o'zgartirilishi mumkin bo'lgan konfiguratsiya ko'rsatmalariga misollar keltirilgan.
Konfiguratsiya faylini tahrirlashdan oldin siz asl faylning nusxasini yaratishingiz va uni yozishdan himoya qilishingiz kerak, shunda siz asl sozlamalarni havola sifatida olishingiz va kerak bo'lganda qayta ishlatishingiz mumkin.
/etc/ssh/sshd_config faylidan nusxa oling va terminalda berilgan quyidagi buyruqlar yordamida uni yozishdan himoya qiling:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original sudo chmod a-w /etc/ssh/sshd_config.original
Quyida siz o'zgartirishingiz mumkin bo'lgan konfiguratsiya ko'rsatmalariga misollar keltirilgan:
OpenSSH-ni standart TCP port 22 o'rniga 2222 TCP portida tinglash uchun sozlash uchun Port direktivasini shunday o'zgartiring:
Sshd-ga ochiq kalitga asoslangan login hisob ma'lumotlariga ruxsat berish uchun qatorni qo'shing yoki o'zgartiring:
PubkeyAuthentication ha
Agar chiziq allaqachon mavjud bo'lsa, u izohlanmaganligiga ishonch hosil qiling.
OpenSSH serveringiz /etc/issue.net fayli tarkibini kirishdan oldingi banner sifatida ko'rsatishi uchun qatorni qo'shing yoki o'zgartiring:
Banner /etc/issue.net
/etc/ssh/sshd_config faylida.
/etc/ssh/sshd_config fayliga o'zgartirish kiritgandan so'ng, faylni saqlang va terminal so'rovida quyidagi buyruq yordamida o'zgarishlarni amalga oshirish uchun sshd server ilovasini qayta ishga tushiring:
sudo systemctl sshd.service ni qayta ishga tushiring
Server ilovasining xatti-harakatlarini ehtiyojlaringizga mos ravishda o'zgartirish uchun sshd uchun boshqa ko'plab konfiguratsiya ko'rsatmalari mavjud, ammo agar siz serverga kirishning yagona usuli ssh bo'lsa va siz /etc /ssh orqali sshd ni sozlashda xato qilsangiz, maslahat bering. /sshd_config fayli bo'lsa, uni qayta ishga tushirgandan so'ng siz uni bloklab qo'yishingiz mumkin. Bundan tashqari, agar noto'g'ri konfiguratsiya direktivasi taqdim etilsa, sshd serveri ishga tushirishdan bosh tortishi mumkin, shuning uchun bu faylni masofaviy serverda tahrirlashda ehtiyot bo'ling.
SSH nima va u nima uchun kerak?
Xavfsiz qobiq (SSH) hisoblanadi tarmoq protokoli, xavfsiz kanal orqali masofaviy mashinada qobiq funktsiyalarini ta'minlash. SSH foydalanuvchi/xost autentifikatsiyasi, ma'lumotlarni shifrlash va ma'lumotlar yaxlitligini o'z ichiga olgan turli xil xavfsizlik yaxshilanishlari bilan birga keladi, bu esa tinglash, DNS/IP soxtalashtirish, ma'lumotlarni soxtalashtirish va ulanishni o'g'irlash kabilarni imkonsiz qiladi aniq matnda ma'lumotlarni uzatuvchi protokol SSH ga o'tish tavsiya etiladi.
OpenSSH ochiq kodli dasturdir manba kodi SSH protokoli, bu sizga dasturlar to'plamidan foydalangan holda tarmoqdagi ulanishni shifrlash imkonini beradi. Agar siz Linuxda SSHga ega bo'lishni istasangiz, OpenSSH serveri va mijoz paketlaridan tashkil topgan OpenSSH-ni o'rnatishingiz mumkin.
OpenSSH server/mijoz paketlari quyidagi yordamchi dasturlar bilan birga keladi:
Agar siz OpenSSH serverini/mijozini o'rnatmoqchi bo'lsangiz va OpenSSH serverini avtomatik ishga tushirish uchun sozlamoqchi bo'lsangiz, tarqatilishiga qarab o'zgarib turadigan quyidagi ko'rsatmalarga amal qiling.
Debian, Ubuntu yoki Linux Mint
$ sudo apt-get install openssh-server openssh-client
Debian-ga asoslangan tizimlarda, o'rnatilgandan so'ng, OpenSSH yuklashda avtomatik ravishda ishga tushadi. Agar biron sababga ko'ra tizim ishga tushganda OpenSSH serveri avtomatik ravishda ishga tushmasa, tizim ishga tushganda yuklash uchun ssh-ni aniq qo'shish uchun quyidagi buyruqni bajarishingiz mumkin.
$ sudo update-rc.d ssh standarti
Fedora yoki CentOS/RHEL 7$ sudo yum -y openssh-server openssh-clientsni o'rnating $ sudo systemctl sshd xizmatini ishga tushiring $ sudo systemctl sshd.serviceni yoqing
CentOS/RHEL 6$ sudo yum -y openssh-server openssh-clients-ni o'rnatish $ sudo xizmati sshd ishga tushirish $ sudo chkconfig sshd yoqilgan
Arch Linux$ sudo pacman -Sy openssh $ sudo systemctl sshd xizmatini ishga tushirish $ sudo systemctl sshd.service xizmatini yoqish
OpenSSH serverini sozlashAgar siz OpenSSH serverini sozlamoqchi bo'lsangiz, /etc/ssh/sshd_config manzilida joylashgan butun tizim konfiguratsiya faylini tahrirlashingiz mumkin.
Qiziqarli bo'lishi mumkin bo'lgan bir nechta OpenSSH variantlari mavjud:
Odatiy bo'lib, sshd 22-portni tinglaydi va kiruvchi ssh ulanishlarini tinglaydi. Ssh uchun standart portni o'zgartirish orqali siz turli xil avtomatlashtirilgan xakerlik hujumlarining oldini olishingiz mumkin.
Agar mashinangizda bir nechta jismoniy tarmoq interfeysi bo'lsa, qaysi biri sshd bilan bog'langanligini tekshirishni xohlashingiz mumkin, buning uchun ListenAddress opsiyasidan foydalanishingiz mumkin. Ushbu parametr kiruvchi SSHni faqat ma'lum bir interfeys bilan cheklash orqali xavfsizlikni yaxshilashga yordam beradi.
HostKey /etc/ssh/ssh_host_key
HostKey opsiyasi shaxsiy xost kaliti qayerda joylashganligini aniqlaydi.
PermitRootLogin raqami
PermitRootLogin opsiyasi - root ssh orqali tizimga kirishi mumkinmi.
AllowUsers Alice Bob
AllowUsers opsiyasidan foydalanib, ma'lum Linux foydalanuvchilari uchun ssh xizmatini tanlab o'chirib qo'yishingiz mumkin. Siz bo'sh joylar bilan ajratilgan bir nechta foydalanuvchini belgilashingiz mumkin.
/etc/ssh/sshd_config o'zgartirilgandan so'ng, ssh xizmatini qayta ishga tushirganingizga ishonch hosil qiling.
Debian, Ubuntu yoki Linux Mint-da OpenSSH-ni qayta ishga tushirish uchun:
$ sudo /etc/init.d/ssh qayta ishga tushiring
Fedora, CentOS/RHEL 7 yoki Arch Linux-da OpenSSH-ni qayta ishga tushirish uchun:$ sudo systemctl sshd.service ni qayta ishga tushiring
CentOS/RHEL 6 da OpenSSH-ni qayta ishga tushirish uchun:$ sudo xizmati sshd-ni qayta ishga tushiring
SSH ga qanday ulanish mumkinLinuxdan SSH ga ulanish
Linux foydalanuvchilari qo'shimcha dasturlarni o'rnatishlari shart emas.
Windows-dan SSH-ga ulanish
Mehmonlardan yashirin
.Cygwin shunchaki SSH mijozi emas. Bu ko'plab Linux buyruqlarini qo'llab-quvvatlaydigan kuchli birlashtiruvchi. Masalan, Cygwin SSL sertifikatlarini yaratishni juda oson qiladi (xuddi Linux kabi). Windows-da o'z-o'zidan imzolangan sertifikatlarni yaratish uchun siz daf bilan raqsga tushishingiz kerak. Cygwin-da cURL-dan foydalanish juda qulay (alohida hech narsa o'rnatish shart emas) va hokazo Windowsda etishmayotganlar. buyruq qatori Va Linux dasturlari, ular Cygwin shahridagi savdo nuqtasini topadilar.
Cygwin-ni o'rnatish oson. Keling, boraylik
Mehmonlardan yashirin
Va yuklab oling
Mehmonlardan yashirin
Mehmonlardan yashirin
Kichkina fayl yuklab olinadi - bu o'rnatuvchi. Grafik o'rnatuvchi. U juda ko'p variantlarni o'z ichiga olgan bo'lsa-da, ularning barchasi juda oddiy va ko'plari boshqa grafik o'rnatuvchilardan tanish. Agar biror narsa aniq bo'lmasa, "Keyingi" tugmasini bosing. Ehtimol, faqat quyidagi oyna chalkashlikka olib kelishi mumkin:
O'rnatish uchun mavjud bo'lgan barcha elementlar bu erda keltirilgan. Biz ularni hozir tushunishimiz shart emas. Chunki eng mashhurlari allaqachon o'rnatish uchun belgilangan. Va agar kelajakda biror narsa etishmayotgan bo'lsa, kerakli narsani osongina o'rnatishingiz mumkin.
SSH ulanishi (Linux va Windows uchun umumiy)
Linux foydalanuvchilari konsolni ochadilar, Windows foydalanuvchilari Cygwin-da yozadilar.
SSH ulanish uchun quyidagi ma'lumotlarga muhtoj:
Ssh 192.168.1.36
Men quyidagilarni ko'raman
Aleks @ Miel-PC ~ $ sSh 192.168.1.36. "192.168.1.36" (192.168.1.36).
Men xostga birinchi marta ulanayotganim uchun u notanish xost. Ular mendan davom etishni xohlaysizmi, deb so'rashadi. Men telefon qilyapman ha:
Ogohlantirish: "192.168.1.36" (ECDSA) ma'lum xostlar ro'yxatiga doimiy ravishda qo'shildi. [elektron pochta himoyalangan]"s parol:
Yaxshi, 192.168.1.36 xost tanish xostlar ro'yxatiga qo'shildi. Mendan Aleks foydalanuvchisi uchun parol so'rashadi. Chunki SSH bilan serverda bunday foydalanuvchi yo'q, lekin men bosaman Ctrl+C(buzish uchun) va masofaviy tizimning foydalanuvchi nomi bilan birga buyruqni kiriting. Foydalanuvchi masofaviy mashina manzilidan oldin kiritiladi va manzildan @ belgisi bilan ajratiladi. Ingliz tilidagi @ belgisi at sifatida o'qiladi va "in" deb tarjima qilinishi mumkin. Bular. rekord [elektron pochta himoyalangan]"192.168.1.36 mashinasida mial foydalanuvchisi" deb talqin qilinishi mumkin.
Ssh [elektron pochta himoyalangan]
Alex@MiAl-PC taklifnomasi mial@mint taklifnomasi bilan almashtirildi. Bu shuni anglatadiki, biz allaqachon masofaviy mashinadamiz, ya'ni biz allaqachon aloqa o'rnatdik. Agar siz portni ko'rsatishingiz kerak bo'lsa (agar u standartdan farq qilsa), u holda port -p kalitidan keyin ko'rsatilishi kerak. Masalan, shunday:
Ssh [elektron pochta himoyalangan]-p 10456
Ulanishdan so'ng bizni shunday bir narsa kutib oladi:
Linux mint 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt11-1 (2015-05-24) x86_64 Debian GNU/Linux tizimiga kiritilgan dasturlar bepul dastur hisoblanadi; Har bir dastur uchun aniq tarqatish shartlari /usr/share/doc/*/copyright-dagi alohida fayllarda tasvirlangan. Debian GNU/Linux amaldagi qonunchilikda ruxsat etilgan darajada MUTLAQO KAFOLAT YO'Q. Oxirgi kirish: 2015-yil 16-iyun, 15:32:25, 192.168.1.35 da
Bundan kelib chiqadiki, masofaviy mashina Linux Mint bo'lib, yadro 3.16, 64-bitli versiyaga ega. Shuningdek, muhim ma'lumotlar - oxirgi kirish vaqti va ulanishning IP-manzili. Agar vaqt va IP sizga notanish bo'lsa va siz yagona foydalanuvchi bo'lsangiz, tizimingiz buzilgan va siz tegishli choralarni ko'rishingiz kerak.
Qaerda ekanligimiz va kim ekanligimizga ishonch hosil qilish uchun bir nechta buyruqlarni yozamiz: pwd, [B]name -a va hokazo.:
Seansni tugatish (chiqish) uchun tering
Yoki bosing Ctrl+D.
Parolni kiritmasdan SSH tizimiga kiring
Birinchidan, bu qulayroq. Ikkinchidan, bu xavfsizroq.
Birinchidan, biz rsa kalitlarini yaratishimiz kerak. Agar siz Linux foydalanuvchisi bo'lsangiz, unda siz yaxshisiz. Agar siz Windows foydalanuvchisi bo'lsangiz, lekin siz mening maslahatlarimni tinglamagan bo'lsangiz va PuTTY ni tanlagan bo'lsangiz, unda sizda muammo bor va uni qanday hal qilishni o'zingiz o'ylab ko'ring. Agar sizda Cygwin bo'lsa, unda hamma narsa tartibda.
Agar siz masofaviy tizimga kirishga muvaffaq bo'lsangiz, tizimdan chiqing. Shundan so'ng yozing
Ssh-keygen -t rsa
Bizdan fayl nomi so'raladi, hech narsa kiritishimiz shart emas, standart nom ishlatiladi. Shuningdek, u parol so'raydi. Men parolni kiritmayman.
Endi masofaviy mashinada biz .ssh katalogini yaratishimiz kerak. Buyruqni masofaviy mashinada bajarish quyida muhokama qilinadi. Hozircha IP-manzil va foydalanuvchi nomini o'zingizga o'zgartirishni unutmang, shunchaki buyruqni nusxa ko'chiring:
Ssh [elektron pochta himoyalangan] mkdir.ssh
Endi biz id_rsa.pub faylining mazmunini masofaviy mashinaga nusxalashimiz kerak. Buni qilish juda oson (ma'lumotlarni o'zingizga o'zgartirishni unutmang):
Cat .ssh/id_rsa.pub | ssh [elektron pochta himoyalangan]"mushuk >> .ssh/authorized_keys"
Endi biz shunchaki tizimga kiramiz va ular endi bizdan hech qanday parol so'ramaydilar. Va hozir hamisha shunday bo'ladi.
Shell seansini yaratmasdan masofaviy serverda buyruqlarni bajarish
Masofaviy tizimda qobiq seansini ochishdan tashqari, ssh ham masofaviy tizimda individual buyruqlarni bajarishga imkon beradi. Misol uchun, remote-sys nomli masofaviy xostda daraxt buyrug'ini ishga tushirish va natijalarni mahalliy tizimda ko'rsatish uchun siz buni qilasiz:
Ssh remote-sys daraxti
Mening haqiqiy misolim:
Ssh [elektron pochta himoyalangan] daraxt
Ushbu texnikadan foydalanib, siz qiziqarli narsalarni qilishingiz mumkin, masalan, masofaviy tizimda ls buyrug'ini ishga tushirish va chiqishni mahalliy tizimdagi faylga yo'naltirish:
Ssh remote-sys "ls *" > dirlist.txt
Haqiqiy misol:
Ssh [elektron pochta himoyalangan]"ls *" > dirlist.txt cat dirlist.txt
e'tibor bering yagona tirnoq yuqoridagi buyruqda. Buning sababi, biz mahalliy mashinada yo'lni kengaytirishni xohlamaymiz; chunki biz masofaviy tizimda bu ijroga muhtojmiz. Bundan tashqari, agar biz standart chiqishni masofaviy kompyuterdagi faylga yo'naltirmoqchi bo'lsak, biz qayta yo'naltirish bayonotini va fayl nomini bitta tirnoq ichiga qo'yishimiz mumkin:
Ssh remote-sys "ls * > dirlist.txt"
Translyatsiya standart chiqish mahalliy mashinadan ssh orqali masofaviy mashinagaBuyruqlarni bajarish uchun bir xil qiziqarli variant biroz yuqoriroq berilgan:
Cat .ssh/id_rsa.pub | ssh [elektron pochta himoyalangan]"mushuk >> .ssh/authorized_keys"
Keyingi hiyla uchun sizga ikkita kompyuter kerak bo'ladi Linux tizimi. Afsuski, hatto Cygwin ham bu hiylani bajara olmaydi. Bundan tashqari, ikkala Linux tizimi ham grafik foydalanuvchi interfeysiga ega bo'lishi kerak.
SSH bilan tunnel qilish
SSH orqali masofaviy xost bilan aloqa o'rnatilganda sodir bo'ladigan boshqa narsalar qatorida mahalliy va uzoq tizimlar o'rtasida hosil bo'ladigan shifrlangan tunnelni yaratishdir. Odatda, bu tunnel mahalliy mashinada terilgan buyruqlar uzoqdagi mashinaga xavfsiz uzatilishini ta'minlash uchun ishlatiladi va natija ham xavfsiz tarzda qaytariladi.
Ushbu asosiy funktsiyaga qo'shimcha ravishda, SSH protokoli ko'pgina trafik turlarini shifrlangan tunnel orqali jo'natish imkonini beradi, bu esa VPN turini (virtual) yaratadi. xususiy tarmoq) mahalliy va masofaviy tizimlar o'rtasida.
Ehtimol, bu xususiyatlardan eng ko'p foydalaniladigani X Window tizimlari trafigini translyatsiya qilish qobiliyatidir. X serverida ishlaydigan tizimda (bular grafik foydalanuvchi interfeysiga ega mashinalar) X mijoz dasturini ishga tushirish mumkin ( grafik dastur) masofaviy tizimda va uning ish natijalarini mahalliy tizimda ko'ring. Buni qilish oson. Masalan, men masofaviy host-sys-ga ulanishni xohlayman va unda xload dasturini ishga tushirmoqchiman. Shu bilan birga, men ushbu dasturning grafik chiqishini mahalliy kompyuterda ko'rish imkoniyatiga ega bo'laman. Bu shunday amalga oshiriladi:
Ssh -X masofaviy tizim xload
Haqiqiy misol:
Ssh -X [elektron pochta himoyalangan] gedit
Bular. SSH -X kaliti bilan boshlanadi. Va keyin dastur oddiygina boshlanadi. Skrinshotga qarang.
Men Kali Linuxdaman. SSH orqali masofaviy kompyuterga muvaffaqiyatli kirdim. Shundan so'ng men gedit dasturini ishga tushirdim. Bu dastur hatto Kali Linux-da ham bo'lmasligi mumkin, lekin u, albatta, men ulangan Linux Mint-da. Men ushbu dasturning natijasini ekranda dastur mahalliy sifatida ishlayotgandek ko'rishim mumkin. Lekin yana bir bor shuni tushunishingizni istayman, mahalliy kompyuterda gedit dasturi ishlamaydi. Agar men gedit (yoki shu tarzda ochilgan boshqa dastur) natijasini saqlamoqchi bo'lsam, u masofaviy kompyuter muhitida ishlaydi, uni ko'radi. fayl tizimi va hokazo. Bu siz moslashtirmoqchi bo'lganingizda qulaydir masofaviy kompyuter GUI yordamida.
Tasvirni butun ish stolidan qanday o'tkazishni keyinroq xuddi shu maqolada "VNC-ni SSH orqali qanday sozlash" bo'limida bilib olasiz.
Ba'zi tizimlarda bu hiyla -X opsiyasi o'rniga -Y variantidan foydalanishni talab qiladi.
Masofaviy kompyuterdan nusxa ko'chirish (scp va sftp)
scp
OpenSSH paketi shuningdek, tarmoq orqali fayllarni nusxalash uchun shifrlangan SSH tunnelidan foydalanadigan ikkita dasturni o'z ichiga oladi. Birinchi dastur - scp("xavfsiz nusxa") - fayllarni nusxalash uchun shunga o'xshash cp dasturi kabi tez-tez ishlatiladi. Eng sezilarli farq shundaki, faylning manbai masofaviy xost bo'lishi mumkin, undan keyin ikkita nuqta va faylning joylashuvi. Misol uchun, agar biz mahalliy tizimimizdagi joriy ishchi katalogdagi document.txt nomli hujjatni uy katalogimizdan remote-sys-ga nusxalashni istasak, buni qilishimiz mumkin:
Scp remote-sys:document.txt . document.txt 100% 177 0,2KB/s 00:00
Haqiqiy misol:
# agar mavjud bo'lsa, mahalliy kompyuterda faylni o'chirish rm dirlist.txt # masofaviy kompyuterda fayl yaratish ssh [elektron pochta himoyalangan]"ls * > dirlist.txt" # ssh mavjudligini tekshiring [elektron pochta himoyalangan]"ls -l" # uni mahalliy scp mashinasiga nusxalash [elektron pochta himoyalangan]:dirlist.txt. # uning mazmunini tekshiring cat dirlist.txt
sftpB ga kirganingizda faylni B dan A ga nusxalash uchun:
scp /path/to/file username@a:/path/to/destination
A ga kirganingizda faylni B dan A ga nusxalash:
scp username@b:/path/to/file /path/to/destination
Fayllarni SSH orqali nusxalash uchun ikkinchi dastur sftp. Nomidan ko'rinib turibdiki, bu xavfsiz ftp dasturini almashtirish. sftp asl nusxa kabi ishlaydi ftp dasturi. Biroq, aniq matnni yuborish o'rniga, u shifrlangan SSH tunnelidan foydalanadi. Sftp ning ftp ga nisbatan muhim afzalligi shundaki, u masofaviy xostda ishlaydigan FTP serverini talab qilmaydi. Bu faqat SSH serverini talab qiladi. Bu shuni anglatadiki, SSH mijozi orqali ulangan har qanday masofaviy mashina ham FTP-ga o'xshash server sifatida ishlatilishi mumkin. Mana misol sessiyasi:
Alex@MiAl-PC ~ $ sftp [elektron pochta himoyalangan] 192.168.1.36 ga ulangan. sftp> ls dirlist.txt newfile.txt nfile.txt temp Videolar Hujjatlar Yuklashlar Rasmlar Musiqa Umumiy ish stoli andozalari sftp> lls dirlist.txt nfile.txt sftp> ls temp temp/TakeMeHome sftp> cd temp/ sftp> Fetch / TakeMeho mial/temp/TakeMeHome-dan TakeMeHome-ga sftp>xayr
SFTP protokoli Linux distributivlarida topilishi mumkin bo'lgan ko'plab grafik fayl boshqaruvchilari tomonidan qo'llab-quvvatlanadi. Nautilus (GNOME) va Konqueror (KDE) dan foydalanib, biz o'tish satriga sftp:// bilan boshlanadigan URI (havolalar) ni kiritishimiz va SSH serverida ishlaydigan masofaviy tizimda joylashgan fayllar bilan ishlashimiz mumkin.
