CentOS 7-dagi SSH sozlamalari haqida malumot

centos 7 dagi ssh sozlamalari haqida malumot 65cd22507aacc

CentOS 7-dagi SSH sozlamalari haqida malumot

SSH (xavfsiz qobiq) — bu mijoz va server o’rtasida shifrlangan aloqani o’rnatish protokoli. Ushbu texnologiya yordamida kompyuterni masofadan boshqarish mumkin. Yordamchi dastur bilan o’zaro aloqa terminalda amalga oshiriladi va CentOS 7 operatsion tizimida u sukut bo’yicha qo’shiladi. Shuning uchun, bugungi kunda biz SSH bilan ishlaydigan har bir kishi uchun foydali bo’ladigan standart konfiguratsiya protsedurasini batafsil ko’rib chiqmoqchimiz.

CentOS 7-dagi SSH sozlamalari

O’rnatish jarayoni har bir sysadmin uchun har xil, ammo barcha foydalanuvchilar uchun foydali bo’lgan bir nechta fikrlar mavjud. Ushbu maqolada biz nafaqat server tomoni, balki mijoz tomoni haqida ham gaplashamiz va qaysi qurilmada ma’lum bir harakat amalga oshirilishini ko’rsatamiz.

Komponentni o’rnatish va server bilan ishlash

SSH sukut bo’yicha CentOS 7 tizim kutubxonalari ro’yxatiga qo’shiladi, deb aytgan edik, lekin ba’zida ba’zi sabablarga ko’ra kompyuterda kerakli komponentlar mavjud emas. Bunday holda siz ularni qo’shishingiz va keyin serverni faollashtirishingiz kerak bo’ladi.

  1. Ochish «Terminal». va buyruqni yozing sudo yum -y install openssh-server openssh-clients.
  2. Parolni kiritish orqali superuser hisobini tasdiqlang. Shu tarzda kiritilgan belgilar qatorda ko’rsatilmasligini unutmang.
  3. Buyruq bilan konfiguratsiyani tekshirishni bajaring sudo chkconfig sshd on.
  4. Keyin belgilab SSH xizmatini o’zi boshlang service sshd start.
  5. Faqatgina jalb qilingan standart portning ochiqligini tekshirish qoladi. Buning uchun chiziqdan foydalaning netstat -tulpn | grep :22.

Yuqoridagi ko’rsatmalar muvaffaqiyatli bajarilgandan so’ng, sozlashni boshlash uchun xavfsiz davom etishingiz mumkin. Buyruqlarni faollashtirishda ekrandagi bildirishnomalarni o’qish muhimligini unutmang. Ular ma’lum xatolarning ko’rinishini ko’rsatishi mumkin. Barcha muammolarni o’z vaqtida tuzatish boshqa muammolardan qochishga yordam beradi.

Konfiguratsiya faylini tahrirlash

Albatta, konfiguratsiya fayli faqat tizim ma’murining xohishiga ko’ra tahrir qilinadi. Biroq, biz uni matn muharririda qanday boshqarishni va qaysi elementlarga birinchi navbatda e’tibor qaratish kerakligini ko’rsatmoqchimiz.

  1. Biz muharrirdan foydalanishni taklif qilamiz Nanobuyrug’i yordamida tizimga o’rnatilishi mumkin sudo yum install nano. O’rnatish tugagandan so’ng, konfiguratsiya faylini orqali ishga tushiring sudo nano /etc/ssh/sshd_config.
  2. Siz barcha mavjud parametrlarni bilib olasiz. Ulardan ba’zilari sharhlanadi, ya’ni parametr oldida belgi mavjud #. Shunday qilib, ushbu belgini olib tashlash parametrni sharhlamaydi va uni haqiqiy qiladi. Ipning qiymatini o’zgartirib, standart portni o’zgartirishingiz mumkin «Port». boshqasiga. Bunga qo’shimcha ravishda, ikkinchi protokol yordamida tuzish tavsiya etiladi «Protokol 2». Keyinchalik xavfsizlik darajasi oshiriladi.
  3. Ushbu va boshqa parametrlar faqat administratorning qaroriga binoan o’zgartiriladi. Ularning har biri haqida batafsil ma’lumot olish uchun rasmiy SSH hujjatlarini ko’ring. Tahrirlashni tugatgandan so’ng, tezkor tugmani bosib o’zgartirishlaringizni saqlang Ctrl + O.
  4. Muharrirdan chiqish uchun kombinatsiya Ctrl + X.
  5. Xizmatni qayta yoqing sudo service sshd restarto’zgarishlar kuchga kirishi uchun.
  6. Keyin SSH holatini tekshirib ko’rishingiz mumkin service sshd status.

Konfiguratsiya faylini tahrirlash orqali ko’plab parametrlar o’zgartiriladi, ammo asosiy jarayon — tugmachalarni qo’shish va sozlash — bu maxsus buyruqlar yordamida amalga oshiriladi, biz bundan keyin gaplashmoqchimiz.

RSA kalit juftligini yarating

SSH xizmati kalit juftligini yaratish uchun RSA kriptografik algoritmidan (Rivest, Shamir va Adleman qisqartmasi) foydalanadi. Ushbu harakat ulanishlarni o’rnatishda mijoz va server tomonidan maksimal darajada xavfsizlikni ta’minlashga imkon beradi. Kalit juftlikni yaratish uchun ikkala zanjir ham ishtirok etishi kerak.

  1. Birinchidan, mijoz kompyuteriga o’ting va konsolga kiring ssh-keygen.
  2. Faollashtirishdan so’ng parolni saqlash yo’lini so’raydigan yangi satr paydo bo’ladi. Agar siz standart manzilni tark etmoqchi bo’lsangiz, hech narsa kiritmang va shunchaki tugmachani bosing Men kirdim.
  3. Keyin parol yaratiladi. Bu tizimga ruxsatsiz kirishdan xavfsizlikni ta’minlaydi. Parol yaratilgandan so’ng uni takrorlash kerak bo’ladi.
  4. Bu ishlab chiqarish jarayonini yakunlaydi. Ekranda siz kalitning o’zi va unga tayinlangan tasodifiy rasmni ko’rasiz.

Agar yuqoridagi naqsh muvaffaqiyatli bo’lsa, server bilan autentifikatsiya qilish uchun foydalaniladigan ochiq va yopiq kalit paydo bo’ladi. Biroq, bu kalitni serverga uzatishni va parol bilan kirishni o’chirib qo’yishni talab qiladi.

Ochiq kalitni serverga nusxalash

Yuqorida ta’kidlab o’tilganidek, kalit nusxasi keyinchalik parolsiz autentifikatsiya qilish uchun talab qilinadi. Buni uchta usulda amalga oshirish mumkin, ularning har biri muayyan vaziyatlarda yaxshiroq bo’ladi. Keling, barchasini tartibda ko’rib chiqaylik.

Ssh-copy-id yordam dasturi

Yordamchi dastur orqali ochiq kalitni nusxalash ssh-nusxa ko’chirish-id — bu eng oddiy usul. Ammo, bu sizning kompyuteringizda ushbu vosita bo’lsa, mos keladi. Siz faqat buyruq kiritishingiz kerak ssh-copy-id username@remote_hostqaerda host_remote_user_name — masofaviy serverning foydalanuvchi nomi va xosti.

Agar ulanish birinchi marta amalga oshirilsa, ekranda siz bunday xabarni ko’rasiz:

The authenticity of host '111.111.11.111 (111.111.11.111)' can't be established.
ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
Are you sure you want to continue connecting (yes/no)?

Bu server ishonchli manbalar ro’yxatida yo’qligini ko’rsatadi va siz ulanishni davom ettirishni xohlaysizmi, deb so’raydi. Variantni tanlang yes.

Faqatgina server hisob qaydnomasining parolini kiritish qoladi va shu bilan nusxa ko’chirish jarayoni yuqorida aytib o’tilgan yordam dasturi orqali muvaffaqiyatli yakunlanadi.

SSH orqali ochiq kalitni nusxalash

Yordamchi dastur bo’lmasa ssh-nusxa ko’chirish-id SSH vositasining standart funktsiyalaridan foydalanishni tavsiya etamiz, agar sizda server hisob qaydnomasiga kirish imkoni bo’lmasa. Kalit oddiy ulanish orqali zaryadlanadi, ya’ni:

  1. Buyruq gato bu darhol o’qish va server kompyuteridagi faylga kalitni qo’shish imkonini beradi. Buning uchun faqat yozing cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"qaerda host_remote_user_name — masofaviy kompyuterning hisob qaydnomasi va xost nomi. Variant ekanligini unutmang ..; u faylni to’liq ustiga yozish o’rniga uning oxiriga kalitni qo’shib qo’yadi. Shuning uchun ilgari kiritilgan kalitlar ham saqlanadi.
  2. Ulanish uchun parolni kiriting.
  3. Serverni qayta ishga tushirishni unutmang sudo service sshd restartasosiy ro’yxatlar yangilanishi uchun.

Ochiq kalitni qo’lda nusxalash

Ba’zida yordam dasturidan foydalanib bo’lmaydigan holatlar mavjud ssh-nusxa ko’chirish-idva parolga kirish imkoni yo’q. Keyin nusxa qo’lda amalga oshiriladi.

  1. Birinchidan, taniqli buyruq orqali ushbu kalitni toping gatokonsolda yozish cat ~/.ssh/id_rsa.pub.
  2. Kontentingizni alohida faylga nusxalash.
  3. Masofali kompyuterga istalgan qulay usul bilan ulang va katalog yarating mkdir -p ~/.ssh. Agar katalog allaqachon mavjud bo’lsa, buyruq hech narsa qilmaydi.
  4. Faqat faylga ma’lumotlarni kiritish qoladi «Vakolatli kalitlar». Buyruq echo public_key_string >> ~/.ssh/authorized_keys faylga kalitni qo’shadi yoki yo’q bo’lsa, avval faylni yaratadi. Ning o’rniga «Public_key_string» ilgari olingan kalitlar zanjirini kiritishingiz kerak.

Bu kalit nusxa ko’chirish protsedurasini muvaffaqiyatli yakunlaydi. Bu serverga kirish orqali autentifikatsiya qilish imkonini beradi ssh username@remote_host. Shu bilan birga, parol yordamida ulanish ham mumkin, bu esa ushbu tarmoq xavfsizligini pasaytiradi.

Parolni tasdiqlashni o’chirib qo’ying

Parolni autentifikatsiya qilishni o’chirib qo’yish, parolni chetlab o’tish, masofadan ulanishni xavfsizligini kamaytiradi. Shuning uchun buzg’unchilar tomonidan ruxsatsiz autentifikatsiyani oldini olish uchun ushbu xususiyatni o’chirib qo’yish tavsiya etiladi.

  1. Masofaviy serverda SSH konfiguratsiya faylini ishlatib ishga tushiring sudo nano /etc/ssh/sshd_config.
  2. Parametrni toping «Parolni tasdiqlash» va qiymatini o’zgartiring no.
  3. O’zgarishlarni saqlang va o’z ishingizni matn muharririda yakunlang.
  4. Yangi sozlamalar xizmat qayta ishga tushirilgandan keyingina kuchga kiradi sudo systemctl restart sshd.service.

Shu bilan SSH protokolining asosiy konfiguratsiya nuqtalari kiritilgan maqola yakunlanadi. Buyruqlarni faollashtirgandan so’ng chiqishni o’rganishingizni qat’iy tavsiya qilamiz, chunki u ba’zida xato tavsiflarini o’z ichiga oladi. O’zingizning echimingizni vositaning rasmiy hujjatlarida yoki CentOS tarqatishda qidiring.

Muammoni hal qilishda sizga yordam bera olganimizdan xursandmiz.

Siz uchun nima ishlamaganligini tasvirlab bering.
Bizning mutaxassislarimiz imkon qadar tezroq javob berishga harakat qilishadi.

Ushbu maqola sizga yordam berdimi?

Linux, Texnologiyalar
CentOS 7-dagi SSH sozlamalari