סש (Secure Shell) טעכנאָלאָגיע אַלאַוז איר צו קאָנטראָלירן אַ קאָמפּיוטער דורך אַ זיכער קשר ווייַט קאָנטראָל. סש ענקריפּץ אַלע טראַנספערד טעקעס, אַרייַנגערעכנט פּאַסווערדז, און אויך טראַנסמיטט לעגאַמרע קיין נעץ פּראָטאָקאָל. פֿאַר די געצייַג צו אַרבעטן ריכטיק, עס איז נייטיק ניט בלויז צו ינסטאַלירן עס, אָבער אויך צו קאַנפיגיער עס. מיר וואָלט ווי צו רעדן וועגן דעם פּראָדוקט פון די הויפּט קאַנפיגיעריישאַן אין דעם אַרטיקל, גענומען ווי אַ בייַשפּיל די לעצט ווערסיע פון די ובונטו אַפּערייטינג סיסטעם אויף וואָס די סערווער וועט זיין ליגן.
קאַנפיגיער סש אין ובונטו
אויב איר האָבן ניט געענדיקט די ינסטאַלירונג אויף די סערווער און קליענט פּקס, איר זאָל טאָן עס טכילעס, זינט די גאנצע פּראָצעדור איז גאַנץ פּשוט און טוט נישט נעמען פיל צייַט. פֿאַר דיטיילד גיידאַנס אויף דעם טעמע, זען אונדזער אנדערע אַרטיקל בייַ די פאלגענדע לינק. עס אויך ווייַזן די פּראָצעדור פֿאַר עדיטינג די קאַנפיגיעריישאַן טעקע און טעסטינג סש, אַזוי הייַנט מיר וועלן וווינען אויף אנדערע טאַסקס.
לייענען מער: ינסטאָלינג סש-סערווירער אין ובונטו
שאפן אַן RSA שליסל פּאָר
די נייע אינסטאַלירן סש טוט נישט האָבן די ספּעסאַפייד קיז צו פאַרבינדן פון דעם סערווירער צו דער קליענט און וויצע ווערסאַ. אַלע די פּאַראַמעטערס מוזן זיין באַשטימט מאַניואַלי מיד נאָך לייגן אַלע די קאַמפּאָונאַנץ פון דעם פּראָטאָקאָל. דער שליסל פּאָר אַרבעט ניצן די RSA אַלגערידאַם (קורץ פֿאַר די נעמען פון די דעוועלאָפּערס פון ריוועסט, שאַמיר, און אַדלעמאַן). דאַנק צו דעם קריפּטאָסיסטעם, ספּעציעל שליסלען זענען ינקריפּטיד ניצן ספּעציעל אַלגערידאַמז. צו מאַכן אַ פּאָר פון ציבור שליסלען, איר נאָר דאַרפֿן צו אַרייַן די צונעמען קאַמאַנדז אין די קאַנסאָול און נאָכפאָלגן די ינסטראַקשאַנז אַז דערשייַנען.
- גיין צו אַרבעטן מיט "טערמינאַל" קיין באַקוועם אופֿן, פֿאַר בייַשפּיל, דורך עפן עס דורך אַ מעניו אָדער אַ קשר פון קיז קטרל + אַלט + ג.
- אַרייַן די באַפֿעל
ssh-keygen
און דעמאָלט דריקן די שליסל אַרייַן. - איר וועט זיין פּראַמפּטאַד צו שאַפֿן אַ טעקע ווו די שליסלען וועט ווערן געהאלפן. אויב איר ווילן צו האַלטן זיי אין די פעליקייַט אָרט, נאָר גיט אויף אַרייַן.
- דער ציבור שליסל קענען זיין פּראָטעקטעד דורך אַ קאָד פראַזע. אויב איר ווילן צו נוצן דעם אָפּציע, אין די באוויזן שורה שרייַבן די פּאַראָל. די אריין אותיות וועלן נישט ווייַזן. דער נייַ שורה וועט דאַרפֿן צו איבערחזרן עס.
- ווייַטערדיק איר וועט זען אַ אָנזאָג אַז די שליסל איז געראטעוועט, און איר וועט אויך קענען זיין באַקאַנט מיט זייַן טראַפיק בילד.
איצט עס איז אַ באשאפן פּאָר שליסלען - סוד און עפענען, וואָס וועט זיין געניצט פֿאַר ווייַטער קשר צווישן קאָמפּיוטערס. איר נאָר דאַרפֿן צו שטעלן די שליסל אויף די סערווירער אַזוי אַז סש אָטענטאַקיישאַן איז מצליח.
קאָפּי די ציבור שליסל צו די סערווירער
עס זענען דרייַ מעטהאָדס פֿאַר קאַפּיינג שליסלען. יעדער פון זיי וועט זיין אָפּטימאַל אין פארשיידענע סיטואַטיאָנס, וואָס, למשל, איינער פון די מעטהאָדס טוט נישט אַרבעטן אָדער איז ניט פּאַסיק פֿאַר אַ ספּעציפיש באַניצער. מיר פאָרשלאָגן צו באַטראַכטן אַלע דרייַ אָפּציעס, סטאַרטינג מיט די מערסט פּשוט און עפעקטיוו.
אָפּציע 1: ssh-copy-id command
מאַנשאַפֿטssh-copy-id
געבויט אין די אָפּערייטינג סיסטעם, אַזוי פֿאַר זייַן ימפּלאַמענטיישאַן טאָן ניט דאַרפֿן צו ינסטאַלירן קיין נאָך קאַמפּאָונאַנץ. גיי פּשוט סינטאַקס צו צייכענען שליסל. אין "טערמינאַל" מוזן זיין ארייןssh-copy-id נאמען @ remote_host
ווו username @ remote_host - די נאָמען פון די ווייַט קאָמפּיוטער.
ווען איר ערשטער פאַרבינדן, איר וועט באַקומען אַ אָנזאָג טעקסט:
די אָביעקטיוו פון באַלעבאָס '203.0.113.1 (203.0.113.1)' קענען ניט זיין געגרינדעט.
עקדסאַ שליסל פינגערפּרינט איז פד: פד: ד 4: פ 9: 77: פע: 73: 84: ע 1: 55: 00: אַד: ד 6: 6: 22: פע.
זענט איר זיכער איר ווילן צו פאָרזעצן קאַנעקטינג (יאָ / ניט)? yes
איר מוזן ספּעציפיצירן אַן אָפּציע yes צו פאָרזעצן דעם קשר. נאָך דעם, די נוצן וועט דורכפירן זוכן פֿאַר די שליסל אין די פאָרעם פון אַ טעקע.id_rsa.pub
וואָס איז געווען באשאפן פריער. אויף דערפֿאָלג דיטעקשאַן, די ווייַטערדיק רעזולטאַט איז געוויזן:
/ וסר / בין / סש-קאָפּיע-id: אינפֿאָרמאַציע: איך האב שוין אינסטאַלירן
/ וסר / בין / ssh-קאָפּיע-id: אינפֿאָרמאַציע: 1 שליסל (s) בלייַבן צו זיין אינסטאַלירן
[email protected]'s פּאַראָל:
ספּעציפיצירן די פּאַראָל פון די ווייַט באַלעבאָס אַזוי אַז די נוצן קען זיין אַרייַן. די געצייַג וועט נאָכמאַכן די דאַטן פון דעם ציבור שליסל טעקע. ~ /. ssh / id_rsa.pubאון דעמאָלט דער אָנזאָג וועט ווייַזן אויף די פאַרשטעלן:
איצט פּרובירן צו אַרייַנלאָגירן אין די מאַשין, מיט: "ssh '[email protected]'"נומער פון שליסל (s) צוגעלייגט: 1
טשעק עס אויס.
דער אויסזען פון אַזאַ טעקסט מיטל אַז דער שליסל איז הצלחה דאַונלאָודיד צו די ווייַט קאָמפּיוטער, און איצט עס וועט זיין קיין פראבלעמען מיט די קשר.
אָפּציע 2: קאָפּי די ציבור שליסל דורך SSH
אויב איר קען נישט נוצן די אויבן נוצן, אָבער האָבן אַ פּאַראָל צו אַרייַנלאָגירן צו די ווייַט סש סערווירער, איר קענען מאַניואַלי מאַסע דיין באַניצער שליסל, דערמיט ינשורינג ווייַטער סטאַביל אָטענטאַקיישאַן ווען קאַנעקטינג. געניצט פֿאַר דעם באַפֿעל קאַץוואָס וועט לייענען די דאַטן פון די טעקע, און דאַן זיי וועלן געשיקט צו די סערווירער. אין די קאַנסאָול, איר דאַרפֿן צו אַרייַן די שורה
קאַץ ~ /. ssh / id_rsa.pub | ssh username @ remote_host "mkdir -p ~ /. ssh && touch ~ / .ssh / authorized_keys && chmod -R go = ~ / .ssh && cat >> ~ / .ssh / authorized_keys"
.
ווען אַ אָנזאָג אויס
די אָביעקטיוו פון באַלעבאָס '203.0.113.1 (203.0.113.1)' קענען ניט זיין געגרינדעט.
עקדסאַ שליסל פינגערפּרינט איז פד: פד: ד 4: פ 9: 77: פע: 73: 84: ע 1: 55: 00: אַד: ד 6: 6: 22: פע.
זענט איר זיכער איר ווילן צו פאָרזעצן קאַנעקטינג (יאָ / ניט)? yes
פאָרזעצן קאַנעקטינג און אַרייַן די פּאַראָל צו קלאָץ אין צו די סערווירער. נאָך דעם, דער ציבור שליסל וועט זיין אויטאָמאַטיש קאַפּיד צו די סוף פון די קאַנפיגיעריישאַן טעקע. authorized_keys.
אָפּציע 3: מאַניואַלי קאַפּיינג די ציבור שליסל
אין פאַל פון פעלן פון צוטריט צו אַ ווייַט קאָמפּיוטער דורך אַ סש סערווירער, אַלע די אויבן טריט זענען מאַנואַל. צו טאָן דאָס, ערשטער לערנען וועגן די שליסל אויף די סערווירער פּיסי דורך די באַפֿעלקאַץ ~ /. ssh / id_rsa.pub
.
די פאַרשטעלן וועט אַרויסווייַזן עפּעס ווי דאָס:סש-רסאַ + שליסל ווי אַ כאַראַקטער שטעלן == דעמאָ @ פּרובירן
. נאָך וואָס גיין צו אַרבעטן אויף די ווייַט מיטל, ווו שאַפֿן אַ נייַע וועגווייַזערmkdir -p ~ /. ssh
. עס אַדישנאַלי קריייץ אַ טעקע.authorized_keys
. ווייַטער, טאָן די שליסל אַז איר געלערנט פריער איןעאַקאָ + ציבור שליסל שטריקל >> ~ / .סש / אָטערייזד_קייס
. נאָך דעם, איר קענען פּרובירן צו אָטענטאַקייט מיט די סערווירער אָן ניצן פּאַסווערדז.
אַוטהענטיקאַטיאָן אויף די סערווער דורך די דזשענערייטאַד שליסל
אין דעם פריערדיקן אָפּטיילונג, איר געלערנט וועגן די דרייַ מעטהאָדס פֿאַר קאַפּיינג די שליסל פון אַ ווייַט קאָמפּיוטער צו אַ סערווירער. אַזאַ אַקשאַנז לאָזן איר צו פאַרבינדן אָן ניצן אַ פּאַראָל. דעם פּראָצעדור איז געטאן פון די באַפֿעלן שורה דורך טייפּינגשה ssh נאמען @ ווייַט_האָסט
ווו username @ remote_host - נאמען און באַלעבאָס פון דער געוואלט קאָמפּיוטער. ווען איר ערשטער פאַרבינדן, איר וועט זיין נאָוטאַפייד דורך אַ אַנפאַמיליער פֿאַרבינדונג און איר קענען פאָרזעצן דורך סעלעקטינג די אָפּציע yes.
דער קשר וועט פאַלן אויטאָמאַטיש אויב בעשאַס דער שליסל פּאָר שאַפונג אַ פּאַסאַפראַס איז נישט ספּעסאַפייד. אַנדערש, איר מוזן ערשטער אַרייַן עס צו פאָרזעצן מיט סש.
באַשטעטיק פּאַראָל אָטענטאַקיישאַן
דער מצליח באַשטעטיקן פון שליסל קאַפּיינג איז באַטראַכט אין דער סיטואַציע ווען איר קענען אַרייַן די סערווירער אָן ניצן אַ פּאַראָל. אָבער, די פיייקייַט צו אָטענטירן אין דעם וועג אַלאַוז אַטאַקערז צו נוצן מכשירים צו געפֿינען אַ פּאַראָל און ברעכן אין אַ זיכער קשר. צו באַשיצן זיך פון אַזאַ פאלן, לאָזן אַ פול דיסאַבלינג פון די לאָגין פּאַראָל אין די SSH קאַנפיגיעריישאַן טעקע. דאָס וועט דאַרפן:
- אין "טערמינאַל" עפענען די קאַנפיגיעריישאַן טעקע דורך די רעדאַקטאָר ניצן דעם באַפֿעל
sudo gedit / עטק / ssh / sshd_config
. - געפֿינען די שורה PasswordAuthentication און אַראָפּנעמען די מארק # אין די אָנהייב צו ונקאָממענט די פּאַראַמעטער.
- טוישן די ווערט צו no און ראַטעווען די קראַנט קאַנפיגיעריישאַן.
- נאָענט די רעדאַקטאָר און אָנהייבן די סערווירער.
sudo systemctl restart ssh
.
שפּריכוואָרט אָטענטאַקיישאַן וועט זיין פאַרקריפּלט, און איר וועט זיין ביכולת צו קלאָץ אין צו די סערווער בלויז ניצן די קיז ספּעשאַלי באשאפן פֿאַר דעם מיט די רסאַ אַלגערידאַם.
באַשטעטיקן אַ נאָרמאַל פיירוואַל
אין Ubuntu, די פעליקייַט פיירוואַל איז אַנקאַמפּלאַקייטיד פירעוואַלל (UFW). עס אַלאַוז איר צו לאָזן קאַנעקשאַנז פֿאַר אויסגעקליבן באַדינונגען. יעדער אַפּלאַקיישאַן קריייץ זייַן אייגן פּראָפיל אין דעם געצייַג, און UFW מאַנידזשיז זיי דורך אַלאַוינג אָדער פארלייקענען קאַנעקשאַנז. קאַנפיגיערינג אַ סש פּראָפיל דורך לייגן עס צו די רשימה איז געטאן ווי גייט:
- עפענען די רשימה פון פיירוואַל פּראָופיילז ניצן די באַפֿעל
sudo ufw app list
. - אַרייַן דיין חשבון פּאַראָל צו אַרויסווייַזן אינפֿאָרמאַציע.
- איר וועט זען אַ רשימה פון פאַראַנען אַפּלאַקיישאַנז, אָפּענסש זאָל זיין צווישן זיי.
- איצט איר זאָל לאָזן קאַנעקשאַנז איבער סש. צו טאָן דאָס, לייגן עס צו די רשימה פון דערלויבט פּראָופיילז ניצן
סודאָ ופוו לאָזן OpenSSH
. - געבן די פיירוואַל דורך אַפּדייטינג די כּללים
סודאָ און געבן
. - צו מאַכן זיכער אַז די קאַנעקשאַנז זענען ערלויבט, איר זאָל שרייַבן
סודאָ וופוו סטאַטוס
, דעמאָלט איר וועט זען די נעץ סטאַטוס.
דעם קאַמפּליץ אונדזער סש קאַנפיגיעריישאַן ינסטראַקשאַנז פֿאַר ובונטו. ווייַטערדיק קאַנפיגיעריישאַן פון די קאַנפיגיעריישאַן טעקע און אנדערע פּאַראַמעטערס זענען געפירט אויס פּערסאַנאַלי דורך יעדער באַניצער אונטער זיין ריקוועס. איר קענען באקענען זיך מיט די אָפּעראַציע פון אַלע קאַמפּאָונאַנץ פון סש אין דער באַאַמטער דאָקומענטאַטיאָן.