La tecnologia SSH (Secure Shell) permet un control remot segur d'un ordinador mitjançant una connexió segura. SSH xifra tots els fitxers transferits, incloses les contrasenyes, i també transmet absolutament qualsevol protocol de xarxa. Perquè l’eina funcioni correctament, no només cal instal·lar-lo, sinó també configurar-lo. Ens agradaria parlar del producte de la configuració principal d’aquest article, prenent com a exemple la darrera versió del sistema operatiu Ubuntu en què s’ubicarà el servidor.
Configureu SSH a Ubuntu
Si no heu completat la instal·lació al servidor i al PC client, ho haureu de fer inicialment, ja que tot el procediment és bastant senzill i no necessita gaire temps. Per obtenir informació detallada sobre aquest tema, consulteu el nostre altre article al següent enllaç. També mostra el procediment per editar el fitxer de configuració i provar SSH, de manera que avui ens referirem a altres tasques.
Més informació: Instal·lació del servidor SSH a Ubuntu
Creació d'un parell de claus RSA
El SSH recentment instal·lat no té les tecles especificades per connectar-se des del servidor al client i viceversa. Tots aquests paràmetres s'han de configurar manualment immediatament després d’afegir tots els components del protocol. El parell de claus funciona utilitzant l'algoritme RSA (abreujament dels noms dels desenvolupadors de Rivest, Shamir i Adleman). Gràcies a aquest criptosistema, les claus especials es xifren amb algorismes especials. Per crear un parell de claus públiques, només cal que introduïu les ordres adequades a la consola i seguiu les instruccions que apareixen.
- Aneu a treballar "Terminal" qualsevol mètode convenient, per exemple, obrint-lo a través d'un menú o d'una combinació de tecles Ctrl + Alt + T.
- Introduïu l'ordre
ssh-keygeni després premeu la tecla Introduïu. - Se us demanarà que creeu un fitxer on es desaran les claus. Si voleu mantenir-los a la ubicació predeterminada, feu clic a Introduïu.
- La clau pública es pot protegir mitjançant una frase de codi. Si voleu utilitzar aquesta opció, a la línia que apareix escriviu la contrasenya. No es mostraran els caràcters introduïts. La nova línia haurà de repetir-la.
- A més, veureu una notificació de que la clau s’ha desat i, a més, podreu conèixer la seva imatge gràfica aleatòria.
Ara hi ha un parell de claus creades: secretes i obertes, que s’utilitzaran per a una connexió posterior entre ordinadors. Només cal que col·loqueu la clau al servidor perquè l’autenticació SSH tingui èxit.
S'està copiant la clau pública al servidor
Hi ha tres mètodes per copiar claus. Cadascun d’ells serà òptim en diverses situacions on, per exemple, un dels mètodes no funciona o no és adequat per a un usuari concret. Proposem considerar les tres opcions, començant per les més simples i eficaces.
Opció 1: ordre ssh-copy-id
Equipssh-copy-idintegrat en el sistema operatiu, de manera que per a la seva implementació no cal instal·lar cap component addicional. Seguiu la sintaxi simple per copiar la clau. In "Terminal" s’ha d’introduirssh-copy-id username @ remote_hoston username @ remote_host - el nom de l’ordinador remot.
Quan es connecta per primera vegada, rebrà un text de notificació:
No es pot establir l’autenticitat del servidor "203.0.113.1 (203.0.113.1)".
L’empremta digital de la clau ECDSA és fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: anunci: d6: 6d: 22: fe.
Esteu segur que voleu continuar connectant (sí / no)? Sí
Heu d’especificar una opció Sí per continuar la connexió. Després d'això, la utilitat cercarà independentment la clau en forma de fitxer.id_rsa.pubque s’ha creat anteriorment. Un cop detectada correctament, es mostra el següent resultat:
/ usr / bin / ssh-copy-id: INFO: Ja he instal·lat
/ usr / bin / ssh-copy-id: INFO: continuen sent instal·lats 1 tecla
contrasenya [email protected]:
Especifiqueu la contrasenya des de l’ordinador remot de manera que l’equip pugui entrar-hi. L’eina copiarà les dades del fitxer de clau pública. ~ / .ssh / id_rsa.pubi el missatge apareixerà a la pantalla:
Ara proveu de connectar-vos a la màquina amb: "ssh '[email protected]'"Nombre de claus afegides: 1
comproveu-ho.
L’aparença d’aquest text significa que la clau s’ha descarregat correctament a l’ordinador remot i ara no hi haurà problemes amb la connexió.
Opció 2: copieu la clau pública mitjançant SSH
Si no podeu utilitzar l’eina anteriorment utilitzada, però teniu una contrasenya per iniciar sessió al servidor SSH remot, podeu carregar manualment la vostra clau d’usuari, garantint així una autenticació estable en connectar-vos. S'utilitza per a aquesta ordre gatque llegirà les dades del fitxer i després s'enviarà al servidor. A la consola, haureu d’introduir la línia
cat ~ / .ssh / id_rsa.pub | ssh nom d'usuari @ remot_host "mkdir -p ~ / .ssh && tacte ~ / .ssh / authorized_keys && chmod -R go = ~ / .ssh && cat >>.
Quan aparegui un missatge
No es pot establir l’autenticitat del servidor "203.0.113.1 (203.0.113.1)".
L’empremta digital de la clau ECDSA és fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: anunci: d6: 6d: 22: fe.
Esteu segur que voleu continuar connectant (sí / no)? Sí
continueu connectant i introduïu la contrasenya per iniciar sessió al servidor. Després, la clau pública es copiarà automàticament al final del fitxer de configuració. author_keys.
Opció 3: copiar manualment la clau pública
En cas de manca d'accés a un ordinador remot a través d'un servidor SSH, tots els passos anteriors es realitzen manualment. Per fer-ho, primer obtingueu informació sobre la clau del PC del servidor a través de la comandacat ~ / .ssh / id_rsa.pub.
La pantalla mostrarà alguna cosa així:tecla ssh-rsa + com a joc de caràcters == demo @ test. Després, aneu a treballar amb el dispositiu remot, on podeu crear un nou directorimkdir -p ~ / .ssh. A més, crea un fitxer.author_keys. A continuació, inseriu la clau que vau aprendre anteriormentecho + cadena de clau pública >> ~ / .ssh / authorized_keys. Després d'això, podeu intentar autenticar-vos amb el servidor sense necessitat d'utilitzar contrasenyes.
Autenticació al servidor mitjançant la clau generada
A la secció anterior, vàreu aprendre sobre els tres mètodes per copiar la clau d’una computadora remota a un servidor. Aquestes accions us permetran connectar sense utilitzar una contrasenya. Aquest procediment es realitza des de la línia d’ordres mitjançant l’escripturashh ssh username @ remote_hoston username @ remote_host - nom d’usuari i host de l’ordinador desitjat. Quan primer us connecteu, se us notificarà una connexió desconeguda i podeu continuar seleccionant l’opció Sí.
La connexió es produirà automàticament si durant la creació del parell de claus no s’ha especificat una frase de pas. En cas contrari, primer heu d’introduir-lo per continuar treballant amb SSH.
Desactiva l’autenticació de contrasenyes
La configuració satisfactòria de la còpia de claus es considera en la situació en què podeu entrar al servidor sense necessitat d’utilitzar una contrasenya. Tanmateix, la possibilitat d’autenticar d’aquesta manera permet als atacants utilitzar eines per trobar una contrasenya i entrar en una connexió segura. Per protegir-se d'aquests casos, es podrà desactivar completament la contrasenya d'inici de sessió al fitxer de configuració SSH. Això requerirà:
- In "Terminal" obriu el fitxer de configuració a través de l’editor mitjançant l’ordre
sudo gedit / etc / ssh / sshd_config. - Cerqueu la línia Autenticació per contrasenya i traieu la marca # al principi per descomentar el paràmetre.
- Canvieu el valor a no i deseu la configuració actual.
- Tanqueu l’editor i reinicieu el servidor.
sudo systemctl restart ssh.
L’autenticació de la contrasenya s’inhabilitarà i només podreu iniciar la sessió al servidor utilitzant les tecles creades especialment per a això amb l’algorisme RSA.
Configuració d'un tallafoc estàndard
A Ubuntu, el tallafocs predeterminat és el Firewall sense complicacions (UFW). Li permet permetre connexions per a serveis seleccionats. Cada aplicació crea el seu propi perfil en aquesta eina i UFW els gestiona permetent o negant les connexions. Configurar un perfil SSH afegint-lo a la llista es fa de la manera següent:
- Obriu la llista de perfils de tallafocs utilitzant l’ordre
sudo la llista d'aplicacions ufw. - Introduïu la contrasenya del compte per mostrar informació.
- Veuràs una llista d’aplicacions disponibles, OpenSSH hauria d’estar entre elles.
- Ara heu de permetre connexions per SSH. Per fer-ho, afegiu-lo a la llista de perfils permesos utilitzant
sudo ufw permet OpenSSH. - Activeu el tallafoc actualitzant les regles
sudo ufw enable. - Per assegurar-vos que les connexions estan permeses, heu d’escriure
estat de sudo ufw, llavors veuràs l’estat de la xarxa.
Això completa les nostres instruccions de configuració SSH per a Ubuntu. La configuració addicional del fitxer de configuració i altres paràmetres es realitza personalment per cada usuari segons les seves peticions. Podeu familiaritzar-vos amb el funcionament de tots els components de SSH a la documentació oficial del protocol.
