Ssh-näppäinten asettaminen debian 9: lle

Secure Shell (SSH) on salausverkkoprotokolla, jota käytetään suojattuun yhteyteen asiakkaan ja palvelimen välillä ja joka tukee useita todennusmekanismeja.

Kaksi suosituinta mekanismia ovat salasanapohjainen ja julkiseen avaimeen perustuva todennus. SSH-avainten käyttö on turvallisempaa ja kätevämpää kuin perinteinen salasanatunnistus.

Tässä opetusohjelmassa kuvaamme kuinka luoda SSH-avaimia Debian 9 -järjestelmissä. Osoitamme sinulle myös kuinka määrittää SSH-avainpohjainen todennus ja muodostaa yhteys etä Linux-palvelimiin antamatta salasanaa.

SSH-avainten luominen Debianiin

Ennen kuin luot uuden SSH-avainparin, tarkista, onko Debian-asiakaskoneellasi olemassa olevia SSH-avaimia. Voit tehdä sen suorittamalla seuraavan ls-komennon:

ls -l ~/.ssh/id_*.pub

Jos yllä olevan komennon tulostuksessa on jotain, kuten No such file or directory tai hakutuloksia no matches found se tarkoittaa, että sinulla ei ole SSH-avaimia, ja voit jatkaa seuraavassa vaiheessa ja luoda uuden SSH-avainparin.

Jos avaimia on olemassa, voit joko käyttää niitä ja ohittaa seuraavan vaiheen tai varmuuskopioida vanhat avaimet ja luoda uusia.

Aloita luomalla uusi 4096-bittinen SSH-avainpari sähköpostiosoitteesi kanssa kommenttina seuraavan komennon avulla:

ssh-keygen -t rsa -b 4096 -C "[email protected]"

Tulos näyttää samanlaiselta seuraavalta:

Enter file in which to save the key (/home/yourusername/.ssh/id_rsa):

Hyväksy tiedoston oletuspaikka ja -nimi painamalla Enter painiketta.

Seuraavaksi sinua pyydetään kirjoittamaan turvallinen salasana. Haluatko käyttää salasanaa, se on sinun tehtäväsi. Tunnuslauseella avaimeen lisätään ylimääräinen suojaustaso.

Enter passphrase (empty for no passphrase):

Koko vuorovaikutus näyttää tältä:

Voit tarkistaa, että SSH-avainpari on luotu, kirjoittamalla:

ls ~/.ssh/id_*

Lähdön tulisi näyttää noin:

/home/yourusername/.ssh/id_rsa /home/yourusername/.ssh/id_rsa.pub

Kopioi julkinen avain palvelimelle

Nyt kun sinulla on SSH-avainparisi, seuraava vaihe on kopioida julkinen avain palvelimelle, jota haluat hallita.

Helpoin ja suositeltava tapa kopioida julkinen avain etäpalvelimelle on käyttää ssh-copy-id työkalua.

Viritä paikallisessa konepäätteessäsi seuraava komento:

ssh-copy-id remote_username@server_ip_address

Sinua pyydetään antamaan remote_username salasana:

remote_username@server_ip_address's password:

Kun käyttäjä on todennettu, julkinen avain ~/.ssh/id_rsa.pub lisätään etäkäyttäjän ~/.ssh/authorized_keys tiedostoon ja yhteys suljetaan.

Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'username@server_ip_address'" and check to make sure that only the key(s) you wanted were added.

Jos ssh-copy-id apuohjelma ei ole käytettävissä paikallisella tietokoneella, voit kopioida julkisen avaimen seuraavalla komennolla:

cat ~/.ssh/id_rsa.pub | ssh remote_username@server_ip_address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

Kirjaudu palvelimelle SSH-avaimilla

Tässä vaiheessa sinun pitäisi voida kirjautua sisään etäpalvelimeen ilman, että sinulta kysytään salasanaa.

Testaa se, yritä muodostaa yhteys palvelimeen SSH: n kautta:

ssh remote_username@server_ip_address

Poista SSH-salasanatunnistus käytöstä

Voit lisätä ylimääräisen suojauskerroksen palvelimellesi poistamalla käytöstä SSH: n salasanan todennuksen.

Ennen kuin poistat SSH-salasanatunnistuksen käytöstä, varmista, että voit kirjautua palvelimellesi ilman salasanaa. Käyttäjällä, johon kirjaudut sisään, on sudo-oikeudet.

Kirjaudu etäpalvelimeesi:

ssh sudo_user@server_ip_address

Avaa SSH-määritystiedosto /etc/ssh/sshd_config :

sudo nano /etc/ssh/sshd_config

Etsi seuraavat direktiivit ja muokkaa niitä seuraavasti:

/ Etc / ssh / sshd_config

PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no

Kun olet valmis, tallenna tiedosto ja käynnistä SSH-palvelu uudelleen seuraavalla komennolla:

sudo systemctl restart ssh

Tässä vaiheessa salasanapohjainen todennus poistetaan käytöstä.

johtopäätös

Tässä opetusohjelmassa olet oppinut luomaan uuden SSH-avainparin ja määrittämään SSH-avainpohjaisen todennuksen. Voit lisätä saman avaimen useisiin etäpalvelimiin.

Olemme myös osoittaneet sinulle, kuinka poistaa SSH-salasanan todennus käytöstä ja lisätä ylimääräinen suojaustaso palvelimellesi.

Oletuksena SSH kuuntelee porttia 22. Oletus SSH-portin muuttaminen vähentää automaattisten hyökkäysten riskiä.

debian ssh turvallisuus