Реклама
ССХ је одличан начин да добијете даљински приступ вашем рачунару. Слично ФТП-у, можете се повезати преко ССХ ФТП Шта је ССХ и како се разликује од ФТП-а [објашњена технологија] Опширније да бисте добили сигуран приступ серверу датотека са вашим омиљеним ФТП клијент Мастер ФТП пренос датотека на свим вашим сајтовима помоћу ФилеЗиллаВелики број старих ФТП клијената имао је проблема када је у питању пренос великих датотека. Апликације су искусиле уобичајено временско ограничење које бисте очекивали када рачунар стоји тамо 15 до... Опширније , брзо приступање удаљеним датотекама или чак монтирање мрежног диска на рачунар. Али ССХ има више од удаљеног приступа датотекама. Пријављивање преко ССХ у терминалу (или коришћењем ПуТТИ на Виндовс-у) вам даје даљински приступ љусци (на крају крајева, ССХ је скраћеница од Сецуре Схелл). Тако управљам својим медијским сервером из даљине.
Када ти отворите портове Шта је прослеђивање портова и како ми може помоћи? [МакеУсеОф објашњава]Да ли мало плачете изнутра када вам неко каже да постоји проблем са прослеђивањем портова и зато ваша сјајна нова апликација неће радити? Ваш Ксбок вам не дозвољава да играте игрице, ваша преузимања торента одбијају... Опширније на вашем рутеру (тачније порт 22) не можете приступити свом ССХ серверу само из ваше локалне мреже, већ и са било ког места у свету.
Међутим, не желите да ризикујете да користите слабу лозинку за аутентификацију. Ако неко добије приступ вашем рачунару преко ССХ-а, добија потпун приступ љусци. Само да буде јасно, то није нешто што желимо. Срећом, веома је лако подесити ваш глобални ССХ сервер на веома безбедан начин коришћењем провере аутентичности засноване на кључу и потпуног онемогућавања аутентификације лозинком на вашем серверу.
Да ли је ово за мене?
Примамљиво је опустити се уз личну сигурност. Ако користите сервер за приватне сврхе, можда мислите да људи једноставно не знају за ваш сервер и стога неће покушати да га хакују – сигурност кроз таму. То би било а врло погрешна претпоставка. Пошто се (већина) ССХ саобраћаја преноси на порт 22, нападачи рутински проверавају видљивост порта 22 на насумичним ИП адресама, након чега следи напад грубе силе. Ово је један од начина на који се ботнети праве за употребу ДДОС напади Шта је ДДоС напад? [МакеУсеОф објашњава]Термин ДДоС прође кад год се сајбер-активизам масовно подиже. Овакви напади доспевају на међународне наслове из више разлога. Питања која покрећу те ДДоС нападе су често контроверзна или веома... Опширније .
Да скратимо причу: ако емитујете свој ССХ сервер преко интернета (тј. проследите порт 22), онда да, ово је за вас.
Идеја ССХ пријављивања на основу кључа
ССХ пријаве засноване на кључу се ослањају на идеју о криптографија са јавним кључем. Одвело би нас предалеко да објаснимо замршености, али покушаћемо да насликамо једноставну слику онога што се дешава иза кулиса.
У процесу испод, ваш клијентски рачунар генерише два кључа: јавни кључ и приватни кључ. Општа идеја је да податке можете шифровати јавним кључем, али их само дешифровати приватним кључем. Ставићемо јавни кључ на сервер и замолити га да шифрује сву одлазну комуникацију са њим. Ово осигурава да само они клијенти са приватним кључем могу дешифровати и читати податке.
1. Инсталирајте ОпенССХ
Прво ћемо подесити ССХ сервер користећи ОпенССХ. Ако већ имате покренут ССХ сервер и само желите да знате како да подесите аутентификацију засновану на кључу, можете прескочити овај корак. Користите свој омиљени менаџер пакета да инсталирате ОпенССХ серверску апликацију. Најједноставнији начин би и даље могао бити покретање апт-гет команду са терминала.
судо апт-гет инсталл опенссх-сервер
Унесите лозинку, потврдите је и сачекајте минут да се заврши инсталација. Честитамо, сада имате ССХ сервер. (То је лако!)
Можете да користите апликацију каква јесте или да је уредите /etc/ssh/sshd_config да га конфигуришете. Покренути ман ссхд_цонфиг команду у терминалу да бисте добили више информација. Још један сјајан ресурс за сазнање више о ОпенССХ-у је релевантна страница помоћи за Убунту.
2. Генеришите кључеве
Направићемо сет кључева. Покрените следеће команде (прилагођене из ОпенССХ/Кључеви Убунту страница помоћи).
мкдир ~/.ссхцхмод 700 ~/.ссхссх-кеиген -т рса
Прва команда креира скривени директоријум „.ссх“ у вашој почетној фасцикли, друга команда мења дозволе приступа фасцикли док трећа команда заправо генерише скуп РСА кључеви. Прво ће вам бити затражено место за чување кључева (оставите празно и притисните ентер да бисте сачували на подразумеваној локацији), а друго за приступну фразу.
Ова приступна фраза даље шифрује приватни кључ који је ускладиштен на вашем рачунару, што вам у суштини даје више времена да обезбедите ССХ сервер ако ваш приватни кључ икада буде украден. Уверите се да сте изабрали приступну фразу коју можете да запамтите, јер ћете морати да је унесете када покушате да користите свој кључ.
3. Пренесите јавни кључ
Затим ћете морати да пренесете јавни кључ који сте генерисали у претходном кораку на рачунар ССХ сервера. Ако ваша клијентска машина такође користи Линук, то се може врло лако постићи покретањем доње команде (замена
ссх-цопи-ид @
Ако ваш клијент не подржава команду ссх-цопи-ид, уместо ње можете користити наредбу испод. Мало је сложенији, али у суштини постиже исте резултате.
мачка ~/.ссх/ид_рса.пуб | ссх @ "мкдир ~/.ссх; мачка >> ~/.ссх/аутхоризед_кеис"
Од вас ће се тражити да унесете корисничку лозинку за ССХ сервер. Ако се команде извршавају без грешака, ваш јавни кључ ће бити копиран на сервер.
4. Онемогућите аутентификацију лозинком
Имајте на уму да ваш систем и даље није сигурнији него након првог корака. Иако је најмање један клијент конфигурисан да користи аутентификацију засновану на кључу, ово и даље оставља простор другим клијентима да се повежу помоћу лозинке. Да бисмо завршили, потпуно ћемо онемогућити аутентификацију лозинке. Након овог корака, само рачунари који су прошли горе наведени процес могу да се повежу на ваш ССХ сервер.
Да бисте онемогућили аутентификацију лозинком, уредите /etc/ssh/sshd_config датотеку у вашем омиљеном уређивачу. Један од најлакших начина за уређивање ограничене датотеке је, опет, коришћење терминала. (Ја сам пристрасан за нано, али можете користити оно што вам највише одговара.)
судо нано /етц/ссх/ссхд_цонфиг
Око 40 редова од дна датотеке, наћи ћете
#ПассвордАутхентицатион да
Уклоните знак броја (#) и промените поставку на „не“, као у наставку.
ПассвордАутхентицатион бр
Коначна датотека би требала изгледати отприлике овако:
Сачувајте датотеку притиском на ЦТРЛ+Кс. Потврдите измену и назив датотеке и скоро сте готови. Само поново покрените ССХ сервер да бисте га покренули са овим новим подешавањима.
судо рестарт ссх
Такође ћете приметити да ће ваш клијент престати да тражи приступну фразу за дешифровање вашег кључа ако је аутентификација лозинке онемогућена на серверу. Сада када имате сигуран ССХ сервер, како намеравате да га користите? Као безбедни сервер датотека, удаљена шкољка или за прослеђивање других услуга преко ССХ-а? Обавестите нас у одељку за коментаре испод!
Кредит за слику: Схуттерстоцк
Ја сам писац и студент информатике из Белгије. Увек ми можете учинити услугу са добром идејом за чланак, препоруком књиге или идејом за рецепт.