Configuració de SSH en Debian

Com saps, la tecnologia SSH de codi obert et permet connectar-te remotament a un ordinador determinat i transmetre dades a través d'un protocol segur seleccionat. També permet el control total de l'dispositiu seleccionat, garantint l'intercanvi segur d'informació important i fins i tot de contrasenyes. De vegades els usuaris senten la necessitat de connectar-se a través de SSH, però a més d'instal·lar la utilitat han de fer alguns ajustos addicionals. D'això volem parlar avui, prenent com a exemple la distribució Debian.

Configuració de SSH en Debian

Dividirem el procés de configuració en diversos passos, ja que cada un és responsable d'una manipulació específica i pot simplement no ser útil per a certs usuaris, depenent de les preferències personals. Per començar, tota la manipulació es farà a través de la consola i necessitarem confirmar l'accés de root, així que prepara't per a això per endavant.

Instal·lació de servidor SSH i de el client SSH

Per defecte, SSH forma part del conjunt estàndard d'utilitats de sistema operatiu Debian, però a causa d'algunes peculiaritats dels arxius necessaris poden quedar obsolets o simplement faltar, per exemple quan l'usuari ha desinstal·lat manualment. Si necessita preinstal·lar SSH-servidor i SSH-client, feu el següent:

  1. Obrir el menú "Inici". i córrer des d'allà "Terminal".. També pot fer-ho amb la combinació de tecles estàndard Ctrl + Alt + T.
  2. Aquí és on t'interessa l'equip sudo apt install openssh-serverque s'encarrega d'instal·lar la part de servidor. Introduïu i feu clic a entre en per activar.
  3. Com ja saps, les accions realitzades amb l'argument suo, Haurà de ser activat especificant la contrasenya de root. Recordeu que els caràcters introduïts en aquesta línia no es mostren.
  4. Se li notificarà quan s'afegeixin o actualització dels paquets. Si SSH-server ja està instal·lat en Debian, se li notificarà si el paquet especificat està disponible.
  5. A continuació, haurà d'afegir també el costat de el client, que també s'aplica a l'ordinador a què es connectarà en el futur. Per això, utilitzeu una ordre semblant sudo apt-get install openssh-client.

No hi ha més components addicionals que instal·lar, ara pots passar amb seguretat a gestionar el servidor i configurar els fitxers de configuració per crear claus i preparar tot per a la posterior connexió a l'escriptori remot.

Gestionar el servidor i comprovar el seu funcionament

Vegem breument com es gestiona i verifica el servidor instal·lat. Això s'hauria de fer fins i tot abans de procedir a la configuració per assegurar-se que els components afegits funcionen correctament.

  1. Utilitzeu la comanda sudo systemctl enable sshdper afegir el servidor a l'autoarrencada si no es produeix automàticament. Si necessita cancel·lar l'inici amb el sistema operatiu, utilitzeu systemctl disable sshd. La posada en marxa manual requerirà llavors especificar systemctl start sshd.
  2. Totes les accions d'aquest tipus s'han de fer absolutament sempre en nom d'un superusuari, per la qual cosa cal introduir la contrasenya.
  3. Utilitzeu la comanda ssh localhost per comprovar que el servidor funciona correctament. substituir per localhost a l'adreça de l'ordinador local.
  4. La primera vegada que es connecti, se li notificarà que la font no està verificada. Això passa perquè encara no hem configurat els paràmetres de seguretat. Ara simplement confirmi per continuar la connexió introduint .

Afegir un parell de claus RSA

La connexió de servidor a client i viceversa a través d'SSH es realitza introduint una contrasenya, però és possible i fins i tot recomanable crear un parell de claus que es desenvolupin mitjançant algoritmes RSA. Aquest tipus d'encriptació proporcionarà una protecció òptima que serà difícil d'eludir per un atacant quan intenti entrar. Només el portarà uns minuts afegir el parell de claus, i el procés té el següent aspecte

  1. Obrir "Terminal". i entrar-hi ssh-keygen.
  2. Vostè mateix pot seleccionar la ubicació on voleu desar la ruta de la clau. Si no vols canviar-lo, només has de prémer la tecla entre en.
  3. Ara s'està creant una clau pública. Es pot protegir amb una contrasenya. Poseu-lo a la línia que apareix, o deixeu-ho en blanc si no vol activar aquesta opció.
  4. Si introdueix una frase d'accés, haurà de especificar-la de nou per confirmar-la.
  5. Es mostrarà una notificació de creació de clau pública. Com pot veure, se li ha assignat un conjunt de caràcters aleatoris i s'ha creat una imatge utilitzant algoritmes aleatoris.

Gràcies a les accions que s'acaben de fer, s'han creat una clau secreta i una clau pública. S'utilitzaran per a la comunicació entre els dispositius. Ara cal copiar la clau pública al servidor, el que pot fer-se per diversos mètodes.

Copiar la clau pública al servidor

Hi ha tres opcions de Debian per copiar una clau pública al servidor. Suggerim que les tingui en compte totes, perquè pugui decidir quina és la millor per a vostè en el futur. Això és útil si un dels tres mètodes no funciona o no s'ajusta a les necessitats de l'usuari.

Mètode 1: comanda ssh-copy-id

Comencem per l'opció més senzilla, que consisteix a utilitzar la comanda ssh-copy-id. Per defecte, aquesta utilitat ja està integrada en el sistema operatiu, de manera que no cal instal·lar-la prèviament. La seva sintaxi també és el més senzilla possible, i heu de fer els següents passos:

  1. A la consola, introdueixi la comanda ssh-copy-id username@remote_host i activar-lo. substituir per nombre_de_usuario_remote_host a l'adreça de l'ordinador de destinació perquè la càrrega sigui reeixida.
  2. La primera vegada que intenti connectar-se, veureu un missatge "The authenticity of host '203.0.113.1 (203.0.113.1)' can't be established. ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe. Are you sure you want to continue connecting (yes/no)? yes". Seleccioneu "Sí" per continuar la connexió.
  3. La utilitat buscarà i copiarà la clau per si mateixa. Finalment, si té èxit, apareixerà una notificació a la pantalla "/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys username@203.0.113.1's password:". Això significa que pot introduir la contrasenya i procedir a el control directe de l'escriptori remot.

A més, especifiqui que després de la primera autorització reeixida, apareixerà la següent notificació a la consola:

Number of key(s) added: 1

Ara intenta entrar a la màquina, amb: "ssh 'username@203.0.113.1'"
i comprovi que només s'ha afegit la (es) clau (s) que volia.

Diu que la clau s'ha afegit amb èxit a l'ordinador remot i que ara no hi haurà problemes a l'intentar connectar-se.

Mètode 2: Exportar la clau a través de SSH

Com saps, exportar una clau pública et permetrà connectar-te a servidor especificat sense necessitat d'introduir la contrasenya. Ara, sempre que la clau no estigui ja a l'ordinador de destinació, pots connectar via SSH introduint la contrasenya, i després transferint manualment el fitxer necessari. Per a això, haurà d'escriure la següent comanda a la consola cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && touch ~/.ssh/authorized_keys && chmod -R go= ~/.ssh && cat >> ~/.ssh/authorized_keys".

Hauria d'aparèixer una notificació a la pantalla

The authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)?
.

Confirmeu-ho per continuar la connexió. La clau pública es copiarà automàticament a la fi de l'arxiu de configuració "Llaves_autorizadas". Així es completa el procediment d'exportació.

Mètode 3: Copiar manualment la clau

Aquest mètode és adequat per a aquells usuaris que no tenen la capacitat de crear una connexió remota a l'ordinador de destinació, però tenen accés físic a ell. En aquest cas, haurà de transferir la clau vostè mateix. En primer lloc, determini els seus detalls al PC servidor a través d' cat ~/.ssh/id_rsa.pub.

La consola hauria de mostrar la línia ssh-rsa + ключ в виде набора символов== demo@test. Ara pots anar a un altre ordinador, on has de crear un nou directori introduint mkdir -p ~/.ssh. En el mateix directori un arxiu de text anomenat authorized_keys. Només queda inserir-hi la clau prèviament definida a través d' echo + строка публичного ключа >> ~/.ssh/authorized_keys. L'autenticació està llavors disponible sense haver d'introduir primer les contrasenyes. Això es fa amb la comanda ssh username@remote_hoston nombre_de_usuario_remote_host ha de ser substituït pel nom de l'amfitrió desitjat.

Els mètodes que acabem de comentar van traslladar la clau pública a un nou dispositiu perquè fos possible connectar-se sense introduir la contrasenya, però ara segueix apareixent el formulari per introduir-la. Aquest estat de coses permet als atacants accedir a l'escriptori remot simplement forçant les contrasenyes. A continuació, us suggerim que s'ocupi de la seguretat realitzant certs ajustos.

Desactivar l'autenticació de la contrasenya

Com s'ha esmentat anteriorment, l'opció d'autenticació per contrasenya pot ser una baula feble en la seguretat d'una connexió remota, ja que hi ha mitjans per anul · lar les claus. Us recomanem que marqueu aquesta opció si està interessat en mantenir el seu servidor el més segur possible. Pots fer-ho així:

  1. Obrir l'arxiu de configuració /etc/ssh/sshd_config a través de qualsevol editor de text convenient, això pot ser, per exemple, gedit o nano.
  2. A la llista que s'obre, busqui la línia "PasswordAuthentication". i treure el cartell #per activar aquesta comanda. Canvia el valor de en noper desactivar l'opció d'interès.
  3. En acabar, feu clic a Ctrl + Oper guardar els canvis.
  4. No canvieu el nom de l'arxiu, només feu clic a entre en per aplicar l'ajust.
  5. Pot sortir de l'editor de text fent clic Ctrl + X.
  6. Tots els canvis no tindran efecte fins que es reiniciï el servei SSH, així que faci-ho immediatament a través de sudo systemctl restart ssh.

Això deshabilitarà la funció d'autenticació per contrasenya i farà que l'inici de sessió estigui disponible a través d'l'aparellament de claus RSA. Tingui-ho en compte a l'hora de realitzar aquesta configuració.

Configura l'ajust de l'tallafocs

Per concloure el material d'avui, volem parlar de la configuració de l'tallafocs que s'utilitzarà per a permetre o denegar les connexions. Anem a repassar només el bàsic, prenent com a exemple el Firewall sense complicacions (UFW).

  1. En primer lloc, donem una ullada a la llista de perfils existents. Entrar. sudo ufw app list i feu clic a entre en.
  2. Confirmeu l'acció especificant la contrasenya de root.
  3. A la llista, busqui SSH. Si aquesta línia està present allà, llavors tot està funcionant correctament.
  4. Per permetre la connexió a través d'aquesta utilitat escrivint sudo ufw allow OpenSSH.
  5. Activeu el tallafocs per actualitzar les regles. Això es fa a través d'una ordre sudo ufw enable.
  6. Podeu comprovar l'estat actual de l'tallafocs en qualsevol moment introduint sudo ufw status.

Això completa el procés de configuració de SSH en Debian. Com podeu veure, hi ha molts detalls i regles diferents que cal seguir. Per descomptat, un article no pot abastar absolutament tota la informació, així que només hem tocat els aspectes bàsics. Si està interessat en obtenir informació més detallada sobre aquesta eina, us recomanem que llegeixi la seva documentació oficial.

Ens alegrem que hàgim pogut ajudar amb el seu problema.

Descriviu el que no li ha funcionat.
Els nostres especialistes intentaran respondre amb la major rapidesa possible.

Li ha ajudat aquest article?