Phenquestions
Укратко, ССХ или „сигурна љуска“ је шифровани протокол помоћу којег се можете даљински повезати са сервером и имати приступ информацијама повезаним са њим. Пружа много сигурнији начин пријављивања како би обезбедио сигуран начин пријављивања без угрожавања сигурности.
Корак 1: Креирајте пар кључева
Почећемо са стварањем пара кључева на клијентском систему, прво са роот приступом по типу, у следећем:
$ ссх-кеиген
Ово покреће најновији ссх-кеиген у подразумевано стварање 3072-битног пара РСА кључева. Можете додати заставицу -б 4086 да бисте генерисали већи кључ. Притисните Ентер и у њега ће се сместити пар кључева .ссх / поддиректориј. Имајте на уму да ако сте гост на серверу на којем је већ инсталиран кључ, упит ће вас питати да ли желите да га препишете или не. Ако је то случај, унесите „и“ да бисте потврдили да.
Даље, упит ће вас питати да ли желите да додате приступну фразу. Можете да се одјавите, али препоручујемо вам да је додате. Ојачава сигурносни протокол пружајући додатни ниво заштите који заобилази неовлашћени корисник.
Корак 2: Копирајте јавни кључ на свој сервер
Даље, морамо да пренесемо јавни кључ на ваш убунту сервер.
Услужни програм ссх-цопи-ид можете користити помоћу следеће наредбе:
$ ссх-цопи-ид корисничко име @ сервер_хост
Ово би требало да уради трик за само неколико секунди. Ако је кључ успешно копиран, пређите на трећи корак.
Понекад се догоди да метода ссх-цопи-ид не успе или једноставно није доступна. У овом случају, мораћете да га копирате путем ССХ-а заснованог на лозинци. То можете учинити помоћу команде цат и обавезно додајте симбол >> да бисте га додали у садржај уместо да га препишете.
$ мачка ~ /.ссх / ид_рса.пуб | ссх ремоте_усернаме @ сервер_ип_аддресс"мкдир -п ~ /.ссх && цат >> ~ /.ссх / одобрени_кључеви "
Ако се ово први пут повезујете са новим хостом, систем ће вам показати нешто попут:
Само унесите да и притисните тастер Ентер. Затим унесите лозинку за кориснички рачун за приступ и јавни кључ ће се копирати на ваш Убунту сервер.
У случају да вам ССХ приступ на основу лозинке буде одбијен из неког разлога који не можете да одредите, увек можете ручно да копирате јавни кључ. Додајте ~ /.ссх / одобрени_кључеви до ид_рса.пуб датотеку на удаљеној машини. Затим се пријавите на свој налог удаљеног сервера и проверите да ли постоји ~ ССХ директоријум. Ако се не укуца:
$ мкдир -п ~ /.ссх
Сада морате само додати кључ:
$ ецхо публиц_кеи_стринг >> ~ /.ссх / одобрени_кључеви
Такође, уверите се да користите ~ ССХ / КОРИСНИК именик и НЕ основни директоријум:
$ цховн -Р иоунис: иоунис ~ /.ссх
Корак 3: Потврдите идентитет ССХ кључева
Следећи корак је потврда идентитета ССХ кључева на Убунту серверу. Прво се пријавите на удаљени хост:
$ ссх корисничко име @ ремоте_хост
Од вас ће бити затражено да унесете кључ приступне фразе који сте додали у кораку 2. Укуцајте и наставите. Аутентификација ће потрајати, а након што се заврши, бићете пребачени у нову интерактивну љуску на вашем Убунту серверу
Корак 4: Онемогућите потврду идентитета лозинком
Са потврђеном аутентичношћу ССХ кључева, више вам није потребан систем за потврду идентитета лозинком.
Ако је потврда идентитета лозинке омогућена на вашем серверу, и даље ће бити неовлашћен приступ корисника нападима грубе силе. Зато би било боље ако онемогућите било какву аутентификацију засновану на лозинци.
Прво проверите да ли је потврда идентитета заснована на ССХ кључу припремљена за корен налог на овом серверу. Ако јесте, требало би да га промените у судо привилеговани кориснички приступни налог на овом серверу, тако да вам је администраторски приступ отворен у случају хитних случајева или када се систем суочава са неким сумњивим активностима.
Доделивши администраторске привилегије вашем налогу за удаљени приступ, пријавите се на удаљени сервер помоћу ССХ кључева са роот или судо привилегијама. Затим користите следећу наредбу за приступ конфигурационој датотеци ССХ демона:
$ судо гедит / етц / ссх / ссхд_цонфиг
Када је датотека сада отворена, потражите директоријум 'ПассвордАутхентицатион' и откуцајте следеће да бисте онемогућили аутентификацију лозинке и ССХ пријаве засноване на лозинци.
$ / етц / ссх / ссхд_цонфиг…
ПассвордАутхентицатион бр
…
Да бисте видели ове промене на снази, мораћете поново да покренете ссхд услугу помоћу следеће наредбе:
$ судо системцтл рестарт ссх
Из предострожности отворите нови прозор терминала и тестирајте да ли ССХ услуга исправно функционише пре затварања тренутне сесије.
Са верификованим ССХ кључевима могли бисте да видите како све функционише нормално. Можете изаћи из свих тренутних сесија сервера.
Закључак
Сад кад имате успостављен систем за потврду идентитета заснован на ССХ кључу, више вам није потребан рањиви систем за потврду идентитета лозинком, јер се једноставно можете пријавити без лозинке. Надам се да вам је ово упутство било корисно.
