Pritja me akses ssh ndoshta jo aq e zakonshme, të paktën në përvojën time. Pritja ime e fundit mbështet SSH, dhe vendosa ta provoj, dhe gjithashtu kisha një arsye të mirë për ta bërë këtë. Çështja është se pritja ime aktuale nuk tregon madhësitë e skedarëve në detaje.

Këtë nuk mund ta shihni as përmes klientit FTP, por më duhet shumë, pasi hapësira e pritjes mbaroi shpejt dhe më duhet të fshij të gjitha mbeturinat në mënyrë që të mos blej megabajt shtesë dhe të mos paguaj shtesë. Dhe kohët e fundit, faqet e mia u infektuan dhe unë, dhe pa akses ssh, do të ishte e pamundur.

Do ta dija që pritja ime nuk mbështet një funksion kaq të thjeshtë, mendova njëqind herë nëse do të kaloja në të apo jo. Por rishikimet e pritjes ishin të mira dhe bleva një vend në të për dy vjet menjëherë. Por meqenëse ai ka ssh, mendoj se pyetja mund të zgjidhet. Pra, hostimi SSH, si mund ta përdorni?

Çfarë është ssh hosting?

Por së pari, unë do t'ju tregoj se çfarë është SSH, sepse ndoshta jo të gjithë e dinë se çfarë lloj bishë është. Shkurtimisht, sipas Wikipedia, kjo është:

SSH (anglisht Secure SHell - "secure shell") është një protokoll rrjeti i nivelit të aplikacionit që lejon kontrollin në distancë të sistemit operativ dhe tunelizimin e lidhjeve TCP (për shembull, për transferimin e skedarëve). SSH lejon një zgjedhje të algoritmeve të ndryshme të kriptimit. Klientët SSH dhe serverët SSH janë të disponueshëm për shumicën e sistemeve operative të rrjetit.

Ssh mund të aksesohet direkt nga terminali duke përdorur komandat Linux. Lidhja me serverin është shumë e lehtë, duhet të shkruani komandën në këtë format:

Ssh emri i përdoruesit @ adresa_server

Siç mund ta shihni, gjithçka është shumë e thjeshtë. Do të përpiqem të lidhem përmes ssh me hostin tim. Por nuk ishte aty, pritësi refuzoi me kokëfortësi të më pranonte duke përdorur këtë protokoll. I shkrova shërbimit mbështetës dhe tani jam duke pritur për një përgjigje.

Ndërkohë, unë do t'ju tregoj se sa i përshtatshëm është të lidheni përmes ssh përmes menaxherit të skedarëve Nautilus. Duke u lidhur me të nëpërmjet SSH, do të punoni me skedarë që janë në host, sikur të ishin në kompjuterin tuaj. Hapni Nautilus dhe shtypni Ctrl + L në mënyrë që të shkruani shtegun për në serverin ssh në shiritin e adresave:

Sftp: // [email i mbrojtur]

Pastaj do t'ju kërkohet të vendosni një fjalëkalim dhe do t'i shihni të gjithë skedarët tuaj në menaxherin e skedarëve. Këto janë avantazhet e pritjes me ssh.

Prandaj, kur zgjidhni një host, kushtojini vëmendje kësaj. imja Pritja e IHOR jep akses në SSH dhe kjo është arsyeja pse unë e përdor atë prej disa vitesh ...

KËSHILLA PËR WEBMASTER: Aftësia për të fituar para në internet është vetëm gjysma e betejës, gjysma e dytë është aftësia për të arkëtuar para elektronike në mënyrë fitimprurëse. Këtu është një listë e kartave bankare në det të hapur që mund t'i përdorni për të tërhequr fonde dhe më pas për të tërhequr fatura të qarta prej tyre:

1. Payoneer- Sistemi më i popullarizuar i pagesave në botë për përkthyes të pavarur. Lëshimi i kartave, të vendosura në SHBA.

2. Shërbimi Epay- Sistemi amerikan i pagesave, shumë i popullarizuar në shumë vende, jep një kartë MasterCard në EVRO falas për banorët e CIS dhe Evropës.

3. Skrill- I vetmi sistem pagesash që punon me kriptovaluta dhe në të njëjtën kohë lëshon karta bankare MasterCard falas.

4. AdvCash- Banka në det të hapur ndodhet në Belize, ju mund të hapni një llogari në dollarë, euro, paund dhe rubla.

5. Paguesi- Selia e këtij sistemi pagesash ndodhet në Gjeorgji, këtu mund të hapni edhe një llogari në dollarë, euro dhe rubla.

Domeni RU - 99 rubla Domeni RF - 99 rubla

SSH (Secure Shell) është një protokoll i qasjes në distancë në rrjet që përdor enkriptimin dhe kompresimin për të dhënat e transmetuara. E thënë thjesht, është një mjet shumë i dobishëm dhe i fuqishëm që ju lejon të vërtetoni në sistem dhe të punoni plotësisht në emër të një përdoruesi lokal, duke qenë shumë kilometra larg një makinerie që funksionon. Gjithashtu, ndryshe nga telnet dhe rsh - SSH kodon të gjithë trafikun, në mënyrë që të gjitha informacionet e transmetuara të mbeten konfidenciale.

Pra, ne tashmë kemi ssh të instaluar dhe ssh-daemon i shtohet fillimit në fillimin e sistemit. Ju mund ta kontrolloni atë me komandë:

shërbimi ssh stop | start | rinis

Në Ubuntu, ose:

/etc/init.d/ssh (fillimi | ndalimi | ringarkimi | ringarkimi me forcë | rinisja | statusi)

Në Debian, ose:

systemctl start | stop | rinis sshd.service

Në ArchLinux (pas çdo redaktimi të konfigurimit, duhet të rinisni). Kompleti përfshin një klient dhe një server.

Le ta provojmë në veprim! Së pari, krijoni një dosje ~ / .ssh

mkdir ~ / .ssh

Gjeneroni çelësat për përdoruesin e caktuar të serverit me komandën:

ssh-keygen (si përdorues i rregullt).

Kur gjeneroni, mund të vendosni një frazë kalimi për çelësin (është e këshillueshme të vendosni një të gjatë - atëherë edhe pasi të keni marrë çelësin, por duke mos ditur fjalëkalimin nga çelësi, sulmuesi nuk do të jetë në gjendje të identifikohet), ose mundeni kalojeni thjesht duke shtypur "Enter" - në këtë rast, fjalëkalimi nuk do të kërkohet kurrë. Të njëjtët çelësa publikë dhe privatë u shfaqën në dosjen ~ / .ssh.

Gjeni një makinë tjetër (edhe një smartphone do të bëjë - ka disa klientë të shkëlqyer SSH në Android, si ConnectBot ose JuiceSSH), instaloni ssh në të dhe lidheni me serverin me komandën:

ssh [email i mbrojtur]

Nëse gjithçka është bërë në mënyrë korrekte, do t'ju kërkohet fjalëkalimi i përdoruesit dhe pas hyrjes do të gjeni veten në sistemin tuaj me një pamje nga vija e komandës.

Për Windows, nga rruga, ka edhe serverë dhe klientë ssh.

Pasi kemi shijuar rezultatin e punës sonë, le të kalojmë në një pjesë edhe më të mërzitshme - konfigurimin e klientit / serverit.

Konfigurimi nga ana e klientit është i përfshirë / etc / ssh / ssh_config, dhe serveri një - / etc / ssh / sshd_config... Udhëzuesi më i plotë i konfigurimit është ndoshta faqja man për man ssh dhe man sshd_config, kështu që ju rekomandojmë ta lexoni. Dhe në këtë artikull do të shqyrtojmë gjërat më të nevojshme.

Përshtatje

Porta standarde ssh është 22. Ajo mund të ndryshohet në çdo jo standarde (duke e bërë më të vështirë hakimin për shkak të sigurisë përmes errësirës, ​​ose për të tërhequr vëmendjen e sulmuesve të mundshëm :) - për ta bërë këtë, hiqni komentin nga rreshti:

#Port 22

Dhe shtoni çdo gjë që dëshironi deri në 65535 (duke u siguruar që porti të mos bie ndesh me shërbimet e tjera me komandën #netstat -tupln | grep Dëgjo).

Tani, kur lidhet me serverin, klienti do të duhet të shkruajë me çelësin:

ssh -p [port]:

Si parazgjedhje, qasja në rrënjë lejohet. Është shumë e këshillueshme që ta kufizoni atë (dhe në vend të kësaj të kufizoni siç duhet të drejtat e përdoruesve lokalë duke përdorur sudo). Për ta bërë këtë, gjeni rreshtin "PermitRootLogin" dhe ndryshoni vlerën në "jo". Ju gjithashtu mund ta ndryshoni atë në "pa fjalëkalim" - në këtë rast, identifikimi nën rrënjë do të lejohet vetëm nga nën makinat me një çelës të besuar.

Mund të çaktivizoni vërtetimin e fjalëkalimit dhe të punoni vetëm me çelësa - gjeni rreshtin: "PasswordAuthentication" dhe ndryshoni vlerën në "jo". Per cfare? Nëse dikush me të vërtetë dëshiron të fitojë akses në sistemin tuaj, atëherë ai ose mund ta detyrojë me forcë fjalëkalimin kur përpiqet të autorizojë, ose të dëgjojë dhe deshifrojë lidhjen tuaj. Nëse çaktivizoni vërtetimin e fjalëkalimit dhe shtoni në ~ / .ssh / autorized_keys në server çelësin publik të laptopit tuaj të punës, për shembull, atëherë, siç e kujtojmë, ne do të lejohemi menjëherë në server. Por, çka nëse jeni duke punuar në makinën e dikujt tjetër dhe keni nevojë urgjente për të hyrë në serverin ssh, por ai, siç pritej, nuk do të na lejojë të hyjmë? Atëherë nuk mund të çaktivizoni vërtetimin e fjalëkalimit, por përdorni mjetin fail2ban. Thjesht instaloni atë nga depoja juaj, pas së cilës do të aplikojë cilësimet e paracaktuara dhe të paktën do të mbrojë kanalin tuaj ssh nga sulmet e forcës brutale. Më shumë rreth fail2ban - http://putty.org.ru/articles/fail2ban-ssh.html.

Në rast se serveri juaj ruan çelësat për lëshimin e raketave bërthamore, mund të bëni diçka si kjo:

PermitRootLogin jo - identifikimi nën rrënjë është i ndaluar.

PasswordAuthentication no - hyrje pa fjalëkalim

Le të gjenerojmë një çelës të gjatë në makinën në distancë (-t encryption_type, -b gjatësia e bitit):

ssh-keygen -t rsa -b 4096

Me një frazë kalimi po aq kompleks (meqë ra fjala, nuk mund të rikuperoni një fjalëkalim të harruar. Mund ta ndryshoni atë me komandën "ssh-keygen -p", por gjithsesi do t'ju kërkohet i vjetri). Le të transferojmë çelësin publik të makinës lokale në distancë në ~ / .ssh / autorized_keys në server, dhe voila - tani qasja mund të merret nga një makinë e vetme, duke përdorur frazën e kalimit të çelësit privat. SSH ju lejon të vendosni shumë konfigurime sigurie dhe ka shumë cilësime specifike për këtë - lexoni rreth tyre tek njeriu.

Dy opsione sshd_config shërbejnë për të njëjtin qëllim:

LoginGraceTime- cakton kohën pas së cilës lidhja do të shkëputet nëse nuk ndodh vërtetimi.

MaxAuthTries- cakton numrin e përpjekjeve të pasakta për të hyrë në hyrje, me arritjen e së cilës lidhja do të ndërpritet.

MaxSessions- numri i seancave të njëkohshme (nëse serveri është kompjuteri juaj i shtëpisë me të cilin do të lidheni nga universiteti ose nga puna, atëherë do të ishte e arsyeshme të kufizohej numri i seancave në një - një hyrje e refuzuar, në këtë rast, do të bëhet shkak për rritjen e paranojës, gjenerimin e çelësave të rinj dhe ndryshimin e fjalëkalimit). Megjithatë, nëse jeni të kujdesshëm, mund të keni vënë re se linja "Last Login" shfaqet në çdo hyrje në server. Përveç tij, mund të shtoni mesazhin tuaj përshëndetës - gjeni rreshtin "Banner" dhe në vend të asnjë, vendosni shtegun për në skedar me tekstin që do të lexohet dhe shfaqet në hyrje.

Ndër të tjera, ju mund të lejoni vetëm disa përdorues të identifikohen, ose të lejoni të gjithë, përveç përdoruesve të caktuar:

AllowUsers user1- lejo hyrjen vetëm të përdoruesit1.

Përdoruesi i DenyUsers1- lejoni të gjithë përveç përdoruesit 1.

Dhe parametra të ngjashëm për të hyrë në grupe të caktuara janë AllowGroups dhe DenyGroups.

Ju gjithashtu mund të SSH një sesion X11. Për ta bërë këtë, gjeni rreshtin "ForwardX11" dhe ndryshoni vlerën në "po".

Gjeni një linjë të ngjashme në konfigurimin e klientit - / etc / ssh / ssh_config, dhe gjithashtu ndryshoni në "po".

Tani ju duhet të lidheni me serverin përmes ssh me argumentin -X:

ssh -X [email i mbrojtur]>

Ju mund ta nisni menjëherë aplikacionin kur lidheni:

ssh -X [email i mbrojtur]"aplikacion"

Kështu duket një GIMP që funksionon në një seancë ssh:

Ose mund të merrni rezultatin nga uebkamera e laptopit të një përdoruesi që nuk dyshon :)

Llogaritjet kryhen direkt në server dhe dalja dërgohet në makinën e klientit (d.m.th., edhe nëse vetë serveri nuk ka X11, aplikacionet grafike mund të jepen në makinën tuaj në distancë). Kjo skemë funksionon mjaft ngadalë (mos harroni se i gjithë trafiku është i koduar në mënyrë dinamike) - por ky funksion është shumë i dobishëm.

Ju gjithashtu mund të kopjoni skedarë në një seancë SSH - ekziston një mjet i thjeshtë "scp" për këtë. Ju mund të transferoni skedarë direkt në seancë nga serveri te klienti:

scp [email i mbrojtur]: / shtegu / te / skedari / në / server / ku / ruaj / në / lokal / makinë

Pra, nga klienti në server:

shtegu scp / në / skedar / klient [email i mbrojtur]: / shteg / në / server

Kjo është mjaft e përshtatshme nëse keni nevojë të kopjoni një libër shkollor ose një foto, por po kur duhet të punoni me shumë skedarë? Ekziston një gjë shumë e përshtatshme për këtë - sshfs (e disponueshme për instalim në depot e shumicës së sistemeve * nix).

Thjesht vendosni shtegun si scp:

sshfs [email i mbrojtur]: / shtëpi / përdorues / mnt /

Dhe dosja e serverit / shtëpia / përdoruesi do të shfaqet në pikën e montimit / mnt të makinës lokale!

Çmontimi bëhet nëpërmjet umount.

Dhe së fundi, le të flasim për një veçori pak të njohur. Nëse krijoni një skedar /.ssh/config dhe mbusheni si kjo:

Pritësi [emri]

Emri i hostit

Përdoruesi [emri i përdoruesit të serverit]

opsionet e dëshiruara

si

PërparaX11 po

Porta 30,000

Atëherë ne mund të identifikohemi duke:

ssh [emri]

ssh -X -p 30000 [email i mbrojtur]

Dhe të gjitha opsionet do të merren automatikisht. Kështu, me vërtetimin e shpeshtë në një server specifik, ju do ta thjeshtoni këtë proces për disa momente.

Epo, ne mbuluam gjithçka (dhe edhe më shumë) që ju duhet të dini për SSH për përdorimin e tij të përditshëm - mësuam se si të përdorim vërtetimin e çelësit, mbrojtëm serverin nga sulmet me forcë brutale dhe, në përgjithësi, rregulluam shumicën e vrimave të mundshme. Në fakt, SSH mund të bëjë shumë gjëra të tjera - për shembull, tunelimin dhe përcjelljen e portit përmes një sesioni ssh, por nuk ka gjasa që ju, si përdorues i zakonshëm, ta përdorni ndonjëherë këtë. Burime Shtesë

SSH - (Secure Shell) është një protokoll për kontrollin në distancë të një kompjuteri me Linux. Kryesisht ssh përdoret për të menaxhuar në distancë serverët përmes terminalit. Nëse jeni një administrator i disa serverëve apo edhe një webmaster i avancuar, atëherë me siguri shpesh përballeni me nevojën për të punuar me një ose një kompjuter tjetër përmes ssh. Në Linux, për këtë, përdoret një server ssh në makinën me të cilën duhet të lidheni dhe klientin me të cilin po lidheni.

Në këtë tutorial, ne do të shikojmë se si të përdorim ssh, si dhe veçoritë e tij për të cilat as nuk dinit. Me shumë mundësi, ju tashmë e dini se si të lidheni me një server duke përdorur ssh, por ky mjet ka shumë më tepër veçori, të tilla si transferimi i skedarëve ssh, lidhja pa fjalëkalim ose ekzekutimi i skriptit në një server të largët. Ne do t'i shqyrtojmë të gjitha këto më vonë në artikull.

Por le të fillojmë me bazat.

Sintaksa e komandës është si më poshtë:

$ ssh [opsione] Emri i përdoruesit@server [komandë]

Është e rëndësishme të theksohet se ssh mund të funksionojë në dy versione të protokollit. Versionet 1 dhe 2. Është e qartë se versioni 2 është më i mirë dhe mbështet më shumë lloje të kriptimit dhe vërtetimit. Ne nuk do të flasim më shumë për ndryshimet e protokollit në këtë artikull, dhe do të them që po përdorni versionin 2.

Opsionet e komandës SSH

Tani le të hedhim një vështrim në opsionet më themelore për komandën ssh:

• f- vendos ssh në sfond
• g- lejoni që makinat në distancë të kenë akses në portet lokale
• l- emri i përdoruesit në sistem
• n- ridrejtoni daljen standarde në / dev / null
• fq- porta ssh në makinën në distancë
• q- mos shfaq mesazhe gabimi
• v- modaliteti i korrigjimit
• x- çaktivizoni ridrejtimin X11
• X- aktivizoni ridrejtimin X11
• C- aktivizoni kompresimin

Këto nuk janë të gjitha opsionet e shërbimit, pjesa tjetër janë përtej qëllimit të këtij artikulli. Shumë cilësime ssh mund të ndryshohen përmes skedarit të konfigurimit ~ / .ssh / konfigurimit, por ne nuk do ta shqyrtojmë këtë në detaje as këtu.

Vendosja e një serveri SSH

Cilësimet e serverit SSH ndodhen në / etc / ssh / sshd_config. Ne nuk do të prekim as shumë prej tyre. Le të shqyrtojmë vetëm ato më interesantet. Fillimisht hapni skedarin /etc/ssh/sshd.conf

Porta Ssh

Si parazgjedhje, ssh funksionon në portin 22. Por kjo sjellje është e pasigurt sepse një sulmues e njeh këtë port dhe mund të përpiqet të kryejë një sulm bruteforce për të detyruar fjalëkalimin. Porti është vendosur nga linja:

Ndryshoni vlerën e portit sipas nevojës.

Protokolli SSH

Si parazgjedhje, serveri ssh mund të funksionojë në dy versione të protokollit, për pajtueshmëri. Për të përdorur vetëm versionin dy të protokollit, hiqni komentin nga rreshti:

Dhe silleni në këtë formë:

Qasja në rrugë

Si parazgjedhje, qasja në Root ssh lejohet, por kjo sjellje është shumë e pasigurt, kështu që hiqni komentin e rreshtit:

PermitRootLogin nr

Vetëm një përdorues specifik mund të hyjë në SSH

Ne mund të lejojmë aksesin ssh vetëm për një përdorues ose grup specifik. Për ta bërë këtë, shtoni rreshtat:

AllowUsers User1, User2, User3
AllowGroups Group1, Group2, Group3

Këtu User1 dhe Group1 janë përdoruesi dhe grupi në të cilin dëshironi të lejoni aksesin.

Ekzekutimi i aplikacioneve X11

Jo të gjithë e dinë, por është e mundur të përdoret ssh për të ekzekutuar aplikacione të plota X11. Ne do të flasim për këtë më poshtë, por që gjithçka të funksionojë, duhet ta aktivizoni këtë veçori në anën e serverit, shtoni rreshtin e mëposhtëm:

X11 Përcjellja po

Opsionet kryesore merren parasysh, përpara se të vazhdoni, mos harroni të rinisni serverin ssh për të ruajtur ndryshimet:

rinisja e shërbimit sshd

Duke përdorur SSH

Qëllimi kryesor i këtij artikulli është t'ju tregojë mënyra interesante dhe të dobishme për të përdorur ssh për të cilat mund të mos keni ditur. Le të kalojmë në pjesën e shijshme - aftësitë ssh.

Lidhja e serverit

Për t'u lidhur thjesht me serverin përmes SSH, përdorni komandën e mëposhtme:

Ekzekutoni komandën

Jemi mësuar të lidhemi me një server të largët dhe vetëm atëherë të ekzekutojmë komandat e nevojshme, por në fakt, mjeti ssh ju lejon të ekzekutoni menjëherë komandën e kërkuar pa hapur terminalin e makinës në distancë. Për shembull:

ssh [email i mbrojtur] ls

Ekzekuton komandën ls në serverin e largët dhe kthen daljen e tij në terminalin aktual.

Ekzekutoni skriptin lokal

Le të ekzekutojmë interpretuesin bash në serverin e largët dhe ta ushqejmë atë skriptin tonë lokal duke përdorur ridrejtimin e hyrjes Bash:

ssh [email i mbrojtur]"bash -s"< script.sh

Rezervimi në një server të largët dhe rikuperimi

Ne mund të ruajmë një kopje rezervë të diskut menjëherë në një server të largët duke përdorur ssh. Le të ridrejtojmë daljen e dd duke përdorur operatorin e ridrejtimit |, më pas ta ruajmë në atë anë në një skedar:

sudo dd nëse = / dev / sda | ssh [email i mbrojtur]"dd of = sda.img"

Tani, për të rivendosur gjendjen e diskut nga kopja e bërë, ekzekutoni:

ssh [email i mbrojtur]"dd if = sda.img" | dd e = / dev / sda

Këtu dhe më lart / dev / sda është emri i skedarit të hard drive tuaj.

Vërtetim pa fjalëkalim

Përdorimi i një fjalëkalimi ssh për të hyrë në server nuk është vetëm i papërshtatshëm, por edhe i pasigurt, sepse ky fjalëkalim mund të jetë i ashpër në çdo kohë. Metoda më e sigurt dhe më e përdorur e vërtetimit është me një palë çelësash RSA. Çelësi privat ruhet në kompjuter dhe çelësi publik përdoret në server për të vërtetuar përdoruesin.

Është shumë e lehtë të konfigurosh këtë sjellje. Së pari, krijoni një çelës me komandën:

ssh-keygen -t rsa

Gjatë krijimit të çelësit, do t'ju duhet t'i përgjigjeni disa pyetjeve, lini vendndodhjen e paracaktuar, nëse dëshironi të lidheni pa fjalëkalim, lini gjithashtu bosh fushën Passphare.

Pastaj ne dërgojmë çelësin në server:

ssh-copy-id -i ~ / .ssh / id_rsa.pub [email i mbrojtur]

Merrni fjalëkalimin nga skedari lokal

Më lejoni t'ju kujtoj se ruajtja e fjalëkalimeve në skedarë teksti të rregullt është e pasigurt, por nëse dëshironi, atëherë po - është e mundur. Për këtë, përdoret operatori i ridrejtimit të hyrjes Bash:

ssh [email i mbrojtur] < local_file.txt

Ndrysho përshëndetjen SSH

Kur hyni përmes ssh, mund të shfaqet një përshëndetje dhe është shumë e lehtë ta ndryshoni atë. Skedari / etc / problemi është përgjegjës për këtë. Thjesht hapni këtë skedar dhe shkruani tekstin që dëshironi:

Shikimi i përpjekjeve të pasuksesshme të hyrjes në SSH

Dëshironi të shihni nëse ka pasur ndonjë përpjekje për të hyrë pa sukses në serverin tuaj nëpërmjet ssh dhe nga cilat adresa IP? Lehtësisht, të gjitha kërkesat regjistrohen në skedarin / var / log / safe, ne filtrojmë vetëm të dhënat e nevojshme me komandën:

cat / var / log / sigurt | grep "Fjalëkalimi i dështuar për"

Transferimi i skedarëve SSH

Përveç ekzekutimit të komandave, mund të kopjoni skedarë përmes ssh. Për këtë përdoret programi scp. Thjesht specifikoni skedarin për transferim, serverin në distancë dhe dosjen në server, këtu:

$ scp / adresa / lokale / skedar përdorues @ host: shtues / dosje

Për shembull:

scp ~ / test.txt [email i mbrojtur]: dokumente

Përveç mjetit scp, transferimet e skedarëve ssh mund të bëhen në një mënyrë më të ndërlikuar. Le të lexojmë skedarin dhe duke përdorur cat, ta transferojmë atë dhe më pas ta ruajmë transmetimin në një skedar:

skedari lokal i maceve | ssh [email i mbrojtur]"cat> skedar në distancë"

ssh [email i mbrojtur]"cat> skedar në distancë"< localfile

tar czf - / shtëpi / përdorues / skedar | ssh [email i mbrojtur] tar -xvzf -C / shtëpi / përdorues në distancë /

Kopjimi i skedarëve ssh në këtë mënyrë lejon që të gjithë dosjet të dërgohen menjëherë.

Ekzekutimi i aplikacioneve grafike mbi ssh

Nëse keni nevojë të ekzekutoni këtë ose atë aplikacion grafik në një makinë të largët, nuk është e nevojshme të përdorni VNC për këtë, mund ta kaloni me ssh. Programi do të funksionojë në anën e serverit dhe do t'ju transmetohet vetëm një dritare në mënyrë që të mund të bëni gjithçka që duhet të bëni. Për më tepër, të gjitha të dhënat janë të koduara. Që kjo veçori të funksionojë, duhet ta aktivizoni në anën e serverit.

Pastaj ne thjesht ekzekutojmë komandën për të nisur aplikacionin grafik në serverin e largët si kjo:

ssh -XC [email i mbrojtur]"Eklips"

Siç e keni parë, opsioni X lejon ridrejtimin X11 në anën e klientit, dhe opsioni C lejon kompresimin e të dhënave.

Përfundimi i seancës ssh

Nëse keni përdorur ssh me internet të paqëndrueshëm, kur lidhja ndërpritet herë pas here, atëherë me siguri tashmë jeni lodhur nga mbyllja e terminalit, sepse përndryshe, në shikim të parë, seanca nuk do të ndërpritet. Kur lidhja me serverin në distancë shkëputet, nuk mund të futni asnjë komandë dhe shkurtoret e tastierës Ctrl + C, Ctrl + Z, Ctrl + D nuk funksionojnë. Dhe ato nuk do të funksionojnë sepse klienti përpiqet t'i dërgojë këto komanda në server. Por ka një zgjidhje - Sekuencat e arratisjes. Për të aktivizuar mbështetjen e tyre, shtoni linjën:

Te skedari / etc / ssh / ssh_config

Ky artikull është shënuar i papërfunduar. Shihni shënimin në fund të artikullit.

Ky artikull ka të bëjë me klientin dhe serverin e sigurt të guaskës në Ubuntu, si t'i konfiguroni dhe përdorni ato. SSH është një protokoll i veçantë rrjeti që ju lejon të përdorni nga distanca një kompjuter me një lidhje shumë të sigurt. Mund të lexoni më shumë rreth protokollit ssh.

Përshkrimi i parimeve të funksionimit dhe aplikimet e përdorura

Në thelb, SSH zbatohet si dy aplikacione - një server SSH dhe një klient SSH. Ubuntu përdor një implementim falas të një klienti dhe serveri SSH - OpenSSH. Kur lidhet, klienti kalon procedurën e autorizimit në server dhe krijohet një lidhje e koduar midis tyre. Serveri OpenSSH mund të punojë me protokollet ssh1 dhe ssh2. Protokolli ssh1 aktualisht konsiderohet i pasigurt, kështu që përdorimi i tij është shumë i dekurajuar. Me qëllim kam lënë jashtë detaje të ndryshme teknike të protokollit, pasi qëllimi kryesor i këtij manuali është të përshkruajë konfigurimin dhe përdorimin e tij. Ka shumë artikuj në internet në lidhje me vetë protokollin, parimet e tij të funksionimit, algoritmet e kriptimit, etj., Për shembull, mund të lexoni në lidhje me të në detaje.

Instalimi

Instaloni OpenSSH mund të përdorni komandën nga terminali:

sudo apt-get install ssh

Metapaketa ssh përmban si klientin ashtu edhe serverin, por kjo ka shumë të ngjarë të instalojë vetëm serverin pasi klienti është përfshirë tashmë në Ubuntu si parazgjedhje.

Akordimi i serverit

Gjatë instalimit, serveri SSH regjistrohet automatikisht për fillimin. Ju mund të kontrolloni fillimin, ndalimin ose rinisjen e tij duke përdorur komandat:

shërbimi sudo ssh stop | fillimi | Rifillo, fillo përsëri

Skedari kryesor i konfigurimit të serverit SSH është / etc / ssh / sshd_config, i cili është i lexueshëm ose i modifikueshëm vetëm nga superpërdoruesi. Pas çdo ndryshimi në këtë skedar, duhet të rinisni serverin ssh për të aplikuar ndryshime të tilla.

Një shembull i një konfigurimi të paracaktuar të serverit SSH në Ubuntu:

# Një shembull i një konfigurimi të serverit të hapur ssh me # # komente ruse..2010. # # # # # # Legjenda: # # Si parazgjedhje, sshd është menduar të sillet kur # # një direktivë eksplicite nuk është specifikuar. Vlen të përmendet se në Ubuntu # # skedari sshd_config përmban tashmë një numër cilësimesh, të cilat # # janë cilësimet e paracaktuara për Ubuntu-në në mënyrë specifike. # # Këto cilësime janë të specifikuara në këtë skedar. # # # ############################################ ############ ################ Cilësimet e adresës / portit, etj. ############################################### ##################### # ### Port ####################### ############################ # # # # Porta e përdorur. Ju mund të specifikoni disa, për shembull: # # Porta 22 # # Porta 23 # # Porta 24 # # Rekomandohet të përdorni një port jo standard, sepse Standardi # # shpesh skanohet nga robotët për # # "vrima" të mundshme. Mund të hiqet nëse # # është specifikuar përmes adresës. Shihni gjithashtu parametrin ListenAddress. # # # Porta 22 # # ## Dëgjoni Adresa ##################################### ## # # # Adresa e rrjetit në të cilën serveri "dëgjon". Adresa # # mund të shkruhet kështu: # # ListenAddress host | IPv4_addr | IPv6_addr # # ListenAddress host | IPv4_addr: port # # ListenAddress: port # # Nëse nuk specifikohet asnjë port, sshd do të dëgjojë në këtë adresë dhe # # në porti i specifikuar në opsionin Port. Nëse përdorni # # ListenAddress pa specifikuar një port, atëherë opsioni # # Port duhet t'i paraprijë opsionit ListenAddress. Nëse # # nuk është specifikuar, atëherë si parazgjedhje dëgjon të gjitha adresat lokale # #. Mund të specifikohen adresa të shumta. # # # ## Adresa e familjes ######################################### # Përcakton se cila familje e adresave IP # # duhet të përdoret nga sshd. Opsionet e mundshme: # # "çdo" - çdo # # "inet" (vetëm IPv4) # # "inet6" (vetëm IPv6) # # Parazgjedhja është "çdo". # Adresa e familjes inet # # ## UseDNS ######################################## ####### # # # Përcakton nëse sshd duhet të kontrollojë emrin e hostit dhe # # duke përdorur këtë emër kontrolloni adresën IP të transmetuar nga klienti me # # të marrë nga DNS. # # Parazgjedhja është "po". # # # ############################################ ############# ############# Cilësimet e aksesit të përdoruesit ###################### ############################################### ## # # # Filloni / bllokoni një përdorues të përcaktuar nga direktivat # # DenyUsers, AllowUsers, DenyGroups dhe AllowGroups. # # në këtë rast, kontrolli shkon nga lart poshtë përgjatë zinxhirit: # # ## DenyUsers ## # # || # # ## Lejo Përdoruesit ## # # || # # ## DenyGroups ## # # || # # ## AllowGroups ## # # Pranohen vetëm emrat e përdoruesve dhe emrat e grupeve, identifikuesit numerik # # (UserID) nuk njihen. Korrigjo # # duke shkruar disa përdorues / grupe me radhë, të ndarë me # # hapësirë. Nëse shkruhet në formën user @ host - atëherë # # përdorues dhe host kontrollohen veçmas, kjo lejon # # të kufizojë aksesin e përdoruesve të caktuar me # # të hosteve të caktuar. Vlen të kujtohet se # # direktivat DenyUsers dhe AllowUsers marrin # # një emër përdoruesi si parametër, dhe DenyGroups dhe AllowGroups marrin një emër grupi # #. Shih PATTERNS në man ssh_config për më shumë informacion # # se si shkruhen emrat e përdoruesve dhe grupeve. # # # ## DenyUsers ######################################### ## # # # Lista e përdoruesve që NUK MUND të përdorin sshd. # # Si parazgjedhje - nuk specifikohet = askush nuk është i ndaluar. ato. nëse këtu është specifikuar # # një përdorues, atëherë atij do t'i mohohet qasja # # në serverin ssh. # # # ## Lejo Përdoruesit ########################################## # # # # Lista e përdoruesve që MUND të përdoren nga sshd, # # Si parazgjedhje - nuk specifikohet = të gjithë lejohen. ato. nëse # # është specifikuar të paktën një përdorues, qasja ssh në serverin # # është e disponueshme vetëm për të. # # # ## DenyGroups ######################################### # # # # Lista e GRUPET që NUK MUND të përdoren nga sshd. # # Si parazgjedhje - nuk specifikohet = asnjë grup nuk është i ndaluar. # # Dmth nëse specifikohet të paktën një grup, atëherë përdoruesve # # të përfshirë në këtë grup do t'u mohohet qasja në serverin ssh # #. # # # ## Lejo grupet ######################################### # # # Lista e GRUPES që mund të përdoren nga sshd. # # Si parazgjedhje - nuk specifikohet = lejohet për të gjithë. ato. nëse # # është specifikuar të paktën një grup, atëherë vetëm ata përdorues # # që janë në të do të lejohen të hyjnë në serverin ssh. # # # ################## ## ############################################## Opsionet që përcaktojnë statusin e lidhjes ########################################### ######################### # ## TCPKeepAlive ##################### ## ###################### # # # Tregon nëse sistemi duhet t'i dërgojë mesazhe TCP klientit # # për të ruajtur lidhjen. Nëse i dërgoni këto pako, # # mund të përcaktoni nëse lidhja është e prishur. Megjithatë, gjithashtu # # do të thotë që lidhja mund të ndërpritet në rast # # të një ndërprerjeje momentale në rrugë dhe # # kjo është shumë e bezdisshme për disa. Nga ana tjetër, nëse # # mesazhe të tilla nuk dërgohen, seancat në server # # mund të vazhdojnë pafundësisht, duke krijuar # # përdorues - "fantazma", # # dhe duke gllabëruar burimet e serverit. Parazgjedhja është "po", # # d.m.th. dërgoni mesazhe të tilla. Për të çaktivizuar dërgimin # # të mesazheve të tilla, vendosni vlerën në "jo". Ky opsion # # quhej më parë KeepAlive. Vlen të përmendet se # # ka mënyra më të sigurta për të kontrolluar statusin e lidhjes # # (shih më poshtë). # # # TCPKeepAlive po # # ## ClientAliveCountMax ##################################################################### #### # # # Përcakton numrin e mesazheve për klientët që sshd # # dërgon me radhë pa marrë asnjë përgjigje nga # # klient. Nëse arrihet pragu dhe klienti # # nuk është përgjigjur ende, sshd do të shkëputë klientin, duke ndërprerë seancën # # ssh. Duhet të theksohet se përdorimi i mesazheve të tilla # # është thelbësisht i ndryshëm nga direktiva TCPKeepAlive. # # Mesazhet për / nga klientët dërgohen përmes një kanali # # të koduar dhe për këtë arsye nuk i nënshtrohen mashtrimit. Mesazhet # # TCPKeepAlive janë të ndjeshëm ndaj mashtrimit. Mekanizmi "klient i gjallë # # është veçanërisht i vlefshëm në rastet kur serveri dhe klienti kanë nevojë për # # për të ditur kur një lidhje është bërë joaktive. Vlera e paracaktuar # # është 3. Nëse ClientAliveInterval # # është vendosur në 15 dhe ClientAliveCountMax është lënë në # # parazgjedhje, klientët që nuk përgjigjen do të shkëputen afërsisht # # pas 45 sekondash. Kjo direktivë funksionon vetëm për protokollin # # ssh2. # # # ## ClientAliveInterval ################################## # # # Vendos intervalin kohor në sekonda. Nëse gjatë këtij intervali # # nuk ka pasur asnjë komunikim me klientin, sshd # # dërgon një mesazh përmes një kanali të koduar, # # duke kërkuar një përgjigje nga klienti. Parazgjedhja është 0, d.m.th. # # mos dërgoni mesazhe të tilla. Kjo direktivë funksionon # # vetëm për protokollin ssh2. # # # ############################################ ############ ################ Opsione të përgjithshme të vërtetimit #################### ############################################### ####### # # ## Dosja e çelësave të autorizuar ################################### # # Përcakton një skedar që përmban çelësat publikë # # të përdorur për të vërtetuar përdoruesit. Direktiva # # mund të përmbajë shënues si% M, të cilët zëvendësohen në # # gjatë vendosjes së lidhjes. # # Përcaktohen shenjat e mëposhtme: # # %% - zëvendësuar me fjalë për fjalë "%" # #% h - zëvendësuar nga drejtoria kryesore # # e përdoruesit vërtetues # #% u - zëvendësuar nga emri i përdoruesit vërtetues # # Kështu, skedari i çelësit mund të specifikohet si # # shteg absolut (d.m.th. një skedar i përbashkët me çelësa) dhe # # në mënyrë dinamike - në varësi të përdoruesit (d.m.th. skedar # # për çdo përdorues). # # Parazgjedhja është ".ssh / çelësat e autorizuar". # # Shembull për një skedar kyç në dosjen kryesore të përdoruesit: # # AuthorizedKeysFile% h / .ssh / authorized_key # # Shembull për një skedar të përbashkët: # # Authorized KeysFile / etc / ssh / autorized_keys # # Shikoni përshkrimin e skedarit të autorizuar_çelësat për më shumë # # informacion. # # # ## ChallengeResponseAuthentication ######################## # # # Përcakton nëse do të aktivizohet vërtetimi sfidë-përgjigje # # (autentifikimi sfidë-përgjigje ) . Mbështeten të gjitha llojet # # të vërtetimit nga login.conf. Si parazgjedhje - "po", # # d.m.th. lejojnë. # # Në Ubuntu, i çaktivizuar për arsye sigurie. # # # ChallengeResponseAuthentication no # # ## HostbasedUsesNameFromPacketOnly ######################## # # # Specifikon se si serveri duhet të marrë emrin e hostit të klientit # # kur një skemë vërtetimi e bazuar në vërtetimin e hostit. # # Nëse vendoset në "po", sshd # # do të përdorë emrin e hostit të ofruar nga klienti kur kontrollon për përputhje në skedarët # # ~ / .shosts, ~ / .rhosts ose /etc/hosts.equiv. # # (duke bërë rezolucionin e kundërt të DNS) Nëse vendoset në "jo" # # - sshd do të zgjidhë emrin nga vetë lidhja TCP. # # Parazgjedhja është "jo". # # # ## IgnoreRhosts ########################################## # # Parandalon përdorimin e skedarëve .rhosts dhe.shosts # # gjatë vërtetimit të bazuar në host. # # (Autentifikimi RhostsRSAA ose Vërtetimi i bazuar në Host). # # Skedarët /etc/hosts.equiv dhe /etc/ssh/shosts.equiv janë ende # # në përdorim. # # Parazgjedhja është "po". # # # IgnoreRhosts po # # ## IgnoreUserNjownHosts ################################## # # # Tregon nëse sshd duhet të injorojë skedarin e përdoruesit # # "njohur hostet" ~ / .ssh /known_hosts gjatë # # vërtetimit të bazuar në host # # (RhostsRSAAautentication ose HostbasedAuthentication). # # Parazgjedhja është "jo". # # # ## Leje çelësat në listën e zezë ################################# # # Tregon nëse duhet të pranohen çelësat sshd në listën e zezë # # si i komprometuar (çelësat e njohur-kompromisuar # # (shih ssh-vulnkey)). Nëse vlera është "po" - # # përpjekje për vërtetim me çelësa të tillë do të regjistrohen # # dhe do të pranohen, nëse vlera është "jo" - përpjekjet e vërtetimit # # do të refuzohen. # # Parazgjedhja është "jo". # # # ## PermitEmptyPasswords ################################## # # # Në rast të vërtetimit të lejuar me duke përdorur një fjalëkalim, # # tregon nëse është e mundur të identifikoheni me një fjalëkalim bosh. # # Parazgjedhja është "jo". # # # PermitEmptyPasswords jo # # ## PermitRootLogin ################################################################ # # # Tregon nëse identifikimi ssh është i mundur si superpërdorues # # (rrënjë). Mund të marrë vlerat e mëposhtme: # # "po" - superpërdoruesi mund të identifikohet. # # Zbatohet skema aktuale e vërtetimit global. # # # # "Pa fjalëkalim" - superpërdoruesi mund të identifikohet. # # Vërtetimi i fjalëkalimit do të çaktivizohet për të. # # # # "Vetëm komandat e detyruara" - superpërdoruesi do të jetë në gjendje të identifikohet, # # duke përdorur vërtetimin e çelësit publik dhe # # vetëm nëse ai jep komandën për të ekzekutuar. # # Kjo është e dobishme për kryerjen e kopjeve rezervë, # # edhe kur identifikimi normal (d.m.th. jo përmes ssh) # # refuzohet. Të gjitha metodat e tjera të vërtetimit # # për superpërdoruesin do të bllokohen. # # # # Parazgjedhja është "po". # # # PermitRootLogin po # # ## Protokolli ############################################################### ####### # # # Përcakton se cilin protokoll duhet të përdorë sshd. # # Vlerat e mundshme për '1' dhe '2' janë përkatësisht ssh1 dhe ssh2 # #. Shkrimi i njëkohshëm është i mundur, me # # duke i ndarë vlerat me presje. # # Parazgjedhja është "2.1". # # Vlen të përmendet se rendi i protokolleve në regjistrimet # # nuk përcakton përparësinë, pasi klienti zgjedh cilin # # nga disa protokolle të ofruara nga serveri të përdorë atë # #. Hyrja "2,1" është absolutisht identike # # me hyrjen "1,2". # # # Protokolli 2 # # ## UsePAM ##################################### ######## # # # Aktivizon ndërfaqen e Modulit të Vërtetimit të Pluggable # #. Nëse vendoset në "po" - për të gjitha llojet e vërtetimit # # përveç modulit të sesionit dhe trajtimit të llogarisë # # Autentifikimi PAM do të përdoret bazuar në # # kërkesë -përgjigje (ChallengeResponseAuthentication and # # PasswordAuthentication) Autentifikimi # # sfidë-përgjigje në PAM zakonisht kryen të njëjtin rol # # si vërtetimi i fjalëkalimit, duhet # # të çaktivizoni Vërtetimin e Fjalëkalimit ose Vërtetimin e # # ChallengeResponse. Vlen të përmendet se # # nëse direktiva UsePAM është e aktivizuar, nuk do të jeni në gjendje të ekzekutoni # # sshd si përdorues tjetër përveç root. # # Parazgjedhja është "jo". # # # UsePAM po # # ## Vërtetimi i fjalëkalimit ############################### # # # Tregon nëse vërtetimi duke përdorur # # fjalëkalim. # # Parazgjedhja është "po". # # # ## Host Key ############################################################# #### # # # Përcakton skedarin që përmban çelësin pritës privat # # të përdorur nga SSH. Parazgjedhja është / etc / ssh / ssh_host_key # # për protokollin ssh1 dhe / etc / ssh / ssh_host_rsa_key dhe # # / etc / ssh / ssh_host_dsa_key për protokollin ssh2. Shënim # # se sshd nuk do të përdorë një skedar që është # # i aksesueshëm nga askush tjetër përveç përdoruesit. Mund të përdorni # # disa skedarë me çelësa, çelësat "rsa1" - # # për protokollin ssh1 dhe "dsa" / "rsa" për protokollin ssh2. # # # HostKey / etc / ssh / ssh_host_rsa_key HostKey / etc / ssh / ssh_host_dsa_key # # ############################# ############################################## Protokolli SSH opsionet versioni 1 (ssh1) ### ################################################################### ######## #################### # NUK REKOMANDOHET fuqimisht përdorimi i protokollit ssh1. # # Protokolli ssh2 është shumë më i sigurt se ssh1 # ################################################################ ############# # # ## Intervali i rigjenerimit të çelësit ############################### ########## # # Për protokollin ssh1 - një herë në një kohë të caktuar # # gjenerohet automatikisht një çelës i ri i përkohshëm i serverit # # (nëse përdoret). Kjo bëhet për të parandaluar # # deshifrimin e seancave të përgjuara, me qëllim që # # më vonë të hyni në makinë me parametrat e këtyre seancave dhe # # të vidhni çelësat. Një çelës i tillë nuk ruhet askund (i ruajtur në # # RAM). Kjo direktivë specifikon periudhën # # të "jetës" së çelësit në sekonda, pas së cilës ai # # do të rigjenerohet. Nëse vlera vendoset e barabartë me 0 - # #, çelësi nuk do të gjenerohet më. # # Parazgjedhja është 3600 (sekonda). # # # KeyRegenerationInterval 3600 # # ## RhostsRSAAautentikimi ############################### # # # Tregon nëse vërtetimi i bazuar në skedar # # rhosts ose /etc/hosts.equiv në lidhje me # # vërtetimin e suksesshëm të hostit nëpërmjet RSA. # # Relevant vetëm për protokollin ssh1. # # Parazgjedhja është "jo". # # # Autentifikimi RhostsRSAA nr. ####################### # # Tregon nëse lejohet vërtetimi i pastër RSA. # # Relevant vetëm për protokollin ssh1. # # Parazgjedhja është "po". # # # Autentifikimi RSAA po # # ## Bitet e çelësave të serverit ############################################################### ## # # # Përcakton numrin e biteve në tastin temp server për protokollin # # ssh1. Vlera minimale 512. # # Vlera e parazgjedhur është 1024. # ServerKeyBits 768 # # ################################ ############################################ Opsionet e protokollit SSH versioni 2 (ssh2) #### ################################################################# ###### ################## # # ## Shifrat #################### ####### ##################### # # # # Specifikon algoritmet e enkriptimit të lejuara për # # protokollin ssh2. Shumë algoritme duhet të ndahen # # me presje. Algoritmet e mbështetur: # # "3des-cbc", "aes128-cbc", "aes192-cbc", "aes256-cbc", # # "aes128-ctr", "aes192-ctr", "aes256-ctr", " arcfour128 ”, # #“ arcfour256 ”,“ arcfour ”,“ blowfish-cbc ”,“ cast128-cbc ”. # # Parazgjedhjet janë: # # aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour128, # # arcfour256, arcfour, aes192-cbc, aes256-cbc, aes128-cbc, aes128-ctesr1, aes256-ctr # # # ## Autentifikimi i bazuar në host ############################# # # # Tregon nëse vërtetimi lejohet bazuar në Vleresimi # # i hostit. Kontrolloni rhosts ose /etc/hosts.equiv, # # dhe nëse është e suksesshme, e kombinuar me një kontroll të suksesshëm # # të çelësit publik, qasja lejohet. Kjo direktivë # # është e njëjtë me direktivën e vërtetimit RhostsRSAA dhe # # është e përshtatshme vetëm për protokollin ssh2. # # Parazgjedhja është "jo". # # # Autentifikimi i bazuar në host nr. ############ # # # Përcakton një algoritëm të vlefshëm MAC (kodi i vërtetimit të mesazhit # #). Algoritmi MAC përdoret # # nga protokolli ssh2 për të mbrojtur integritetin e të dhënave. # # algoritme të shumta duhet të ndahen me presje. # # Përdoren parazgjedhjet: # # hmac-md5, hmac-sha1, [email i mbrojtur] , hmac-ripemd160, # # hmac-sha1-96, hmac-md5-96 # # # ## PubkeyAuthentication ######################### # ########## # # # Tregon nëse lejohet vërtetimi i çelësit publik me bazë # #. Relevant vetëm për protokollin ssh2. # # Parazgjedhja është "po". # # # Autentifikimi Pubkey po #################################################################### ############# ################### Opsionet GSSAPI ################## ################################################################### ################### # # ############ Zbatohet vetëm për protokollin ssh2 ######## ### # # ## GSSAPIAvërtetimi ################################## # # # Tregon nëse vërtetimi i përdoruesit është # # bazuar në GSSAPI. Parazgjedhja është "jo", d.m.th. e ndaluar. # # # ## GSSAPIKExchange ################################### # # # Tregon nëse # # Lejohet shkëmbimi i çelësave me bazë GSSAPI. Shkëmbimi i çelësave duke përdorur GSSAPI nuk mbështetet në # # çelësa ssh për të verifikuar identitetin e hostit. # # Parazgjedhja është "jo" - d.m.th. ndërrimi është i ndaluar. # # # ## GSSAPICCleanupCredentials ############################## # # # Specifikon nëse do të shkatërrohen automatikisht # # kredencialet e personalizuara të vërtetimit cache kur përfundon # # sesion. # # Parazgjedhja është "po" - d.m.th. duhet të shkatërrohen. # # # ## GSSAPIStrictAcceptorCheck ############################# # # # Specifikon se sa i rreptë duhet të jetë kontrolli i identitetit # # klient kur vërtetoni me GSSAPI. # # Vlera "po" e detyron klientin të vërtetojë në # # shërbimin pritës marrës në hostin aktual. Vlera "jo" # # lejon klientin të vërtetojë me çdo çelës shërbimi # #. # # Parazgjedhja është "po". # # Vini re se vendosja e vlerës në "jo" mund # # të funksionojë vetëm me bibliotekat e rralla Kerberos GSSAPI. # # # ############################################ ############ ################## Opsionet e Kerberos ################## ####### ############################################################ ################# # # ## KerberosAutentifikimi ########################### ###### # # # Përcakton nëse fjalëkalimi i dhënë # # nga përdoruesi për vërtetimin # # (PasswordAuthentication) kërkon vërtetim në Kerberos KDC. # # Për të përdorur këtë opsion, serverit i duhet # # për të verifikuar që KDC është e vërtetë. (Serveri ka nevojë për një # # Kerberos servtab që lejon verifikimin e identitetit të # # KDC) # # Parazgjedhja është "jo". # # # ## KerberosGetAFSToken ################################# # # # Nëse AFS është aktive dhe përdoruesi mori një Kerberos 5 TGT, # # nëse do të përpiqet të marrë tokenin AFS përpara se përdoruesi # # të ketë akses në dosjen e tij kryesore. # # Parazgjedhja është "jo". # # # ## KerberosOrLocalPasswd ################################# # # Tregon se si të silleni nëse # # vërtetimi nëpërmjet Kerberos dështoi. Nëse # # vlera = "po" - fjalëkalimi do të verifikohet duke përdorur # # çdo mekanizëm shtesë të autorizimit lokal, # # për shembull - / etc / passwd. # # Parazgjedhja është "po". # # # ## KerberosTicketCleanup ################################ # # # Specifikon nëse do të shkatërrohet automatikisht c # # skedar me cache-in e biletave të përdoruesit pas përfundimit të sesionit. # # Parazgjedhja është "po". # # # ############################################ ############ ################# Opsionet e ridrejtimit ################### ############################################# ########### # # ## Lejopërcjelljen e agjentit ################################ ## # # # Përcakton nëse do të aktivizohet ose çaktivizohet ridrejtimi # # ssh-agent "a. Parazgjedhja është" po ", dmth lejohet. qasja në guaskë do të refuzohet pasi ata gjithmonë do të jenë në gjendje të instalojnë # # homologët e tyre të agjentëve. # # # ## AllowTcpForwarding ##################### ############### # # # Përcakton nëse do të aktivizohet apo çaktivizohet ridrejtimi i TCP. nuk do të rrisë sigurinë për sa kohë që # # përdorues kanë akses në konsolë, pasi ata mund të # # instalojnë homologët e tyre. # # # # # ## GatewayPorts ######### ## ################################ # # # Përcakton nëse do të lejohet aksesi i hosteve në distancë në # # portet e përcjella. Si parazgjedhje, sshd dëgjon # # për lidhje me portet e përcjella vetëm në ndërfaqen lokale # # (loopback). Kjo parandalon lidhjen e pritësve të tjerë në distancë me portat e përcjella. Ju mund të përdorni # # GatewayPorts për të lejuar sshd të # # ta bëjë këtë. Direktiva mund të marrë 3 vlera: # # "jo" - vetëm loopback. # # "po" - çdo adresë. # # "clientspecified" - adresat e specifikuara nga klienti. # # # ## Leja e hapur ########################################## # # # # Përcakton se ku lejohet përcjellja e portit TCP. # # Një specifikim ridrejtimi duhet të marrë një nga # # format e mëposhtme: # # Pritësi i PermitOpen: porti # # PermitOpen IPv4_addr: porti # # PermitOpen: porti # # Mund të specifikohen hyrje të shumta duke i ndarë ato me hapësira. # # Argumenti "çdo" mund të përdoret për të hequr të gjitha ndalimet e përcjelljes së portit # #. Si parazgjedhje, çdo ridrejtim # # lejohet. # # # ## Tuneli i lejes ######################################### # # Tregon nëse ridrejtimi i pajisjes është i lejuar. # # Vlerat e mundshme: # # "po" # # "point-to-point" (shtresa e tretë e rrjetit) # # "ethernet" (shtresa e dytë e rrjetit) # # "jo" # # Vlera "po" i lejon të dyja pikat në -pika # # dhe ethernet. Parazgjedhja është "jo". # # # ############################################ ############ ################## Opsionet e regjistrimit ################## ## ########################################### ########### # # ## SyslogFacility ################################# ####### # # # Përcakton ID-në e objektit të regjistrit për të shkruar mesazhe në # # sshd. Vlerat e mundshme: # # DAEMON # # USER # # # AUTH # # LOCAL0 # # LOCAL1 # # LOCAL2 # # LOCAL3 # # LOCAL4 # # LOCAL5 # # LOCAL6 # # LOCAL7 # # Parazgjedhja është AUTH. # # # SyslogFacility AUTH # # ## Niveli Log ######################################################################################## ###### # # # Përcakton nivelin e foljes së regjistrit sshd. # # Opsione të mundshme: # # HESHTJE # # QËSHTË # # FATAL # # GABIM # # INFO # # VERBOSE # # DEBUG # # DEBUG1 # # DEBUG2 # # DEBUG3 # # Parazgjedhja është INFO. # # DEBUG dhe DEBUG1 janë ekuivalente me njëra-tjetrën. # # DEBUG2 dhe DEBUG3 vendosin nivelet më të larta të daljes së korrigjimit # #. Shkrimi i regjistrave me nivel DEBUG kërcënon privatësinë # # të përdoruesit dhe nuk rekomandohet. # # # INFO për nivelin e ditarit # # ######################################## ################################## Ridrejtoj X11 ############### ###### ###################################### ############### # # ## X11Përcjellja ############################# ############# # # # Specifikon nëse lejohet ridrejtimi i grafikës X11 # #. Mund të jetë "po" ose "jo". # # Parazgjedhja është "jo". # # Kujdes - duke mundësuar ridrejtim të thjeshtë X11 - # # rrezik i madh si për serverin ashtu edhe për klientët si në # # një ridrejtim i tillë, shfaqja e përfaqësuesit sshd # # pranon lidhje nga çdo adresë. Përdorni # # direktivën X11UseLocalhost për të kufizuar aksesin në serverin e ridrejtimit # # xx. Vlen të përmendet se # # çaktivizimi i ridrejtimit nuk do të garantojë që # # përdoruesit nuk do të jenë në gjendje të ridrejtojnë X11, pasi duke pasur qasje në # # tastierë, ata gjithmonë vendosin ridrejtuesin e tyre # #. Ridrejtimi X11 do të çaktivizohet automatikisht # # nëse aktivizohet direktiva # # UseLogin. # # # X11Përcjellja po # # ## X11UseLocalhost ################################################################# ##################### # # # Përcakton nëse sshd duhet të kufizojë zonën e ridrejtimit X11 # # në një adresë loopback lokale, ose # # duhet të lejojë ndonjë adresë. Parazgjedhja është sshd # # "ngjesh" serverin e ridrejtuar X11 në adresën lokale # # dhe cakton pjesën e variablit të mjedisit DISPLAY # # përgjegjëse për emrin e hostit si "localhost". Vlen të përmendet se # # disa klientë të vjetër X11 mund të mos punojnë me këtë cilësim # #. Parazgjedhja është "po", d.m.th. ridrejtimi # # i kufizuar nga localhost, vlera - "jo" - çaktivizon # # kufizime. # # # ## XAuthVendndodhja ######################################### # Përcakton shtegun e plotë drejt programit xauth. # # Parazgjedhja është / usr / bin / X11 / xauth. # # # ## X11DisplayOffset #################################### # # # Tregon numrin i ekranit të parë të aksesueshëm nga sshd në # # si një ridrejtim X11. Kjo është # # në mënyrë që x-të e ridrejtuar të mos kryqëzohen me # # reale. Parazgjedhja është 10. # # # X11DisplayOffset 10 # # ######################################################################################## ###################################### Opsione të ndryshme ####### ## #################################################################### ######################### # ## HyrjaGraceTime #################### ################################ # # # Koha pas së cilës serveri shkëput # # përdoruesin nëse nuk mundet hyni në mënyrë të kënaqshme # #. Vlera 0 - lejon përdoruesin # # të identifikohet për një kohë të pacaktuar. Parazgjedhja është 120 (sekonda). # # # LoginGraceTime 120 # # ## MaxAuthTries ############################################################### ### # # # Përcakton numrin maksimal të përpjekjeve të vërtetimit # # të lejuara për lidhje. # # Pasi numri i përpjekjeve të pasuksesshme të kalojë gjysmën # # të vlerës së specifikuar, të gjitha përpjekjet pasuese do të regjistrohen # #. Parazgjedhja është 6. # # # ## MaxSessions ########################################################### #### # # # Përcakton numrin maksimal të lidhjeve të njëkohshme # # për çdo lidhje rrjeti. Parazgjedhja është 10. # # # ## MaxStartups ############################################################### #### # # # Përcakton numrin maksimal të lidhjeve të njëkohshme # # të paautorizuara me sshd. Nëse # # numri i lidhjeve tejkalon kufirin, të gjitha lidhjet shtesë # # do të hiqen derisa lidhjet aktuale # # të përfundojnë ose me autorizim të suksesshëm, # #, ose me skadimin e periudhës kohore të specifikuar në direktivën # # LoginGraceTime . Vlera e paracaktuar është 10. # # Për më tepër, mund të vendosni rivendosjen e hershme të lidhjes me # # duke specifikuar tre vlera si parametër, # # të ndara me dy pika "start: rate: full" (për shembull: "10:30: 60”). # # sshd do të refuzojë përpjekjen e lidhjes me një probabilitet prej # # "normë / 100" (d.m.th. në shembullin tonë - 30%), nëse tashmë ka # # "fillim" (10) lidhje të paautorizuara. # # Probabiliteti rritet në mënyrë lineare dhe çdo # # përpjekje për lidhje do të refuzohet nëse numri i # # lidhjeve të paautorizuara arrin "i plotë" (60). # # # ## Kompresim ############################################################# # # # Tregon nëse kompresimi i të dhënave është i aktivizuar. Mund të jetë # # "po" - ngjeshja është aktivizuar. # # "e vonuar" - ngjeshja vonohet derisa përdoruesi # # të vërtetohet me sukses. # # "jo" - pa kompresim. # # Parazgjedhja është "e vonuar". # # # ## UseLogin ############################################################ ## # # # Përcakton nëse identifikimi duhet të përdoret për # # një seancë interaktive. Parazgjedhja është "jo". # # Vlen të përmendet se identifikimi nuk është përdorur kurrë për # # ekzekutimin e komandave në distancë. Gjithashtu vini re se # # përdorimi i hyrjes do ta bëjë të pamundur # # përdorimin e direktivës X11Forwarding, sepse login nuk e di # # çfarë të bëjë me xauth. Nëse është aktivizuar direktiva # # UsePrivilegeSeparation, ajo do të çaktivizohet pas autorizimit # #. # # # ## UsePrivilegeSeparation ################################################################## Përcakton nëse sshd duhet të ndajë privilegjet ... Nëse po # # - atëherë një proces i paprivilegjuar i fëmijës # # do të krijohet fillimisht për trafikun në hyrje të rrjetit. Pas autorizimit të suksesshëm # #, do të krijohet një proces tjetër me privilegjet # # të përdoruesit të identifikuar. Qëllimi kryesor i ndarjes së # # të privilegjeve është të parandalojë tejkalimin e privilegjeve të aksesit. # # Parazgjedhja është "po". # # # Përdorni ndarjen e privilegjuar po # # ## Mënyrat strikte ################################################################# ############## ##### # # # Përcakton nëse sshd duhet të kontrollojë mënyrat e aksesit dhe # # pronësinë e dosjeve dhe skedarëve të përdoruesit përpara se # # të lejojë përdoruesin të identifikohet. Kjo zakonisht ndodh sepse # # fillestarë shpesh i bëjnë skedarët e tyre të shkruajshëm # # nga të gjithë. Parazgjedhja është "po". # # # Mënyra strikte po # # ## AcceptEnv ############################################################### ###### # # # Përcakton se cilat variabla mjedisore të kaluara # # nga klienti do të pranohen. Shihni opsionin SendEnv te klienti. # # Duhet të theksohet se transferimi i variablave është i mundur vetëm # # për protokollin ssh2. Variablat specifikohen me emër, # # mund të përdorni maska ​​('*' dhe '?'). Mund të specifikoni # # disa ndryshore të ndara nga një hapësirë, ose të ndani në # # disa rreshta AcceptEnv. Kini kujdes - disa # # ndryshore mjedisore mund të përdoren për të anashkaluar # # mjediset e ndaluara të përdoruesit. Përdoreni këtë udhëzim # # me kujdes. Si parazgjedhje, asnjë # # ndryshore mjedisore të përcaktuara nga përdoruesi nuk pranohet. # # # AcceptEnv LANG LC_ * # # ## PermitUserEnvironment ################################ # # # Specifikon nëse sshd duhet të pranojë # # ~ / .ssh / mjedis dhe mjedisi = opsioni në # # ~ / .ssh / çelësat e autorizuar. Parazgjedhja është "jo". Vlen # # të vërehet se lejimi i përpunimit të mjedisit # # mund t'u japë përdoruesve mundësinë për të anashkaluar kufizimet në disa konfigurime # # duke përdorur mekanizma të tillë si # # LD_PRELOAD. # # # # # # # PidFile ########################################################### ###### # # # Specifikon skedarin që përmban ID-në e procesit # # (ID e procesit, PID) të demonit SSH. # # Parazgjedhja është /var/run/sshd.pid # # # # # ## PrintLastLog ########################### ############## # # # Përcakton nëse sshd duhet të shfaqë datën dhe orën # # të shërbimit të fundit kur një përdorues regjistrohet në mënyrë interaktive. # # Parazgjedhja është "po". # # # PrintiLastLog po # # ## PrintMotd ############################################################## ###### # # # Përcakton nëse sshd duhet të shfaqë / etc / motd # # kur një përdorues regjistrohet në mënyrë interaktive. Në disa # # sisteme (p.sh. Ubuntu) ky informacion shfaqet gjithashtu # # nga shell. # # Parazgjedhja është "po". # # # PrintMotd nr # # ## Banner ########################################################## ######### # # # Përcakton se cili skedar përmban një flamur teksti që # # do t'i shfaqet përdoruesit PARA procedurës së vërtetimit # #. Ky opsion është i disponueshëm vetëm për protokollin ssh2. # # Si parazgjedhje, ai nuk tregon asgjë. # # Në Ubuntu, skedari issue.net përmban shprehjen Ubuntu (version), # # për shembull, për karmikun është "Ubuntu 9.10". Mund të përdoret # # për të çorientuar sulmuesit e mundshëm, # # duke shkruar atje p.sh. "My D-Link Interet Router" =) # # # Banner /etc/issue.net # # ## ChrootDirectory ######### ## ############################################## Nëse specifikohet, jep shtegun ku # # do të përdoret për chroot pas vërtetimit. Shtegu dhe të gjitha përmbajtjet e saj # # duhet të korrespondojnë me dosjet në pronësi # # nga superpërdoruesi dhe të jenë # # të shkruajtshme nga përdoruesit e tjerë. # # Shtegu mund të përmbajë etiketa që zëvendësohen në # # procesin e vërtetimit: # # %% - zëvendësohet me fjalë për fjalë "%" # #% h - zëvendësohet nga drejtoria kryesore # # e përdoruesit të vërtetuar # #% u - zëvendësohet me emrin e përdoruesit të vërtetuar # # chroot -dosja duhet të përmbajë të gjithë skedarët dhe # # dosjet e nevojshme për sesionin e përdoruesit. Një seancë ndërvepruese # # kërkon të paktën: # # një guaskë, zakonisht sh # # pajisje bazë në / dev si: # # null, zero, stdin, stdout, stderr, të rastësishme dhe tty # # për një seancë transferimi të të dhënave duke përdorur sftp nuk kërkohen cilësime shtesë # # nëse përdorni # # një proces të brendshëm të serverit sftp. Shikoni nënsistemin për # # më shumë informacion. Si parazgjedhje, asnjë chroot nuk ekzekutohet. # # # ## Komanda e Forcës ######################################### # # Detyron komandën e specifikuar për të ekzekutuar. Injoron # # çdo komandë të dhënë nga klienti ose të shkruar në # # ~ / .ssh / rc. Komanda thirret nga një guaskë e përdoruesit # # me opsionin -c. I përshtatshëm për fillimin e një shell, # # komandë ose një nënsistem. Më e dobishme brenda një blloku # # Match. Komanda e lëshuar fillimisht nga klienti ruhet # # në ndryshoren e mjedisit SSH_ORIGINAL_COMMAND. Nëse # # specifikon komandën "internal-sftp", # # do të hapet një server i brendshëm sftp, i cili nuk ka nevojë për skedarët dhe dosjet shtesë # # të përshkruara në direktivën ChrootDirectory. # # # ## Nënsistemi ############################################################# ## # # # Përcakton dhe konfiguron një nënsistem të jashtëm (për shembull # # daemon transferimi i skedarëve). # # Argumentet janë emri dhe komanda (me # # argumente të mundshme) që do të ekzekutohen gjatë kërkesës # # për nënsistemet. Komanda sftp-server fillon nënsistemin e transferimit të skedarëve "sftp" - # #. Për më tepër, mund të specifikoni # # si nënsistemin "internal-sftp" - i cili do të nisë # # serverin e brendshëm sftp. Kjo mund të thjeshtojë shumë konfigurimin # # kur përdoret direktiva # # ChrootDirectory. Si parazgjedhje, asnjë nënsistem # # nuk thirret. Relevant vetëm për protokollin ssh2. # # # Nënsistemi sftp / usr / lib / openssh / sftp-server # # ############################## ############################################# Blloku i ndeshjes # ############################################### ###### ########################################## shkruani rregullat e ndeshjes. # # MadKox. # # # # Direktiva Match është fillimi i një blloku të kushtëzuar # #. Nëse plotësohen të gjitha kriteret e specifikuara në rreshtin # # Match, ekzekutohen direktivat në linjat pasuese të bllokut, # # duke lejuar të anashkalohen vlerat e direktivave globale në skedarin # # sshd_config për rastin që është kriteri për direktivën # # Përputhje. Një bllok konsiderohen të gjitha rreshtat që ndjekin rreshtin # # me kriterin (Përputhje - rreshta) deri në rreshtin tjetër të përputhjes # # ose deri në fund të skedarit. Argumenti i direktivës së Përputhjes është një ose # # çifte të shumta të regjistrimeve të kritereve. Llojet e mundshme të regjistrimeve: # # Përdoruesi # # Grupi # # Pritësi # # Adresa # # Regjistrimet mund të përmbajnë të dyja vlerat e vetme # # (për shembull Përdoruesi = përdoruesi), dhe disa vlera, # # të ndara me presje (Përdoruesi = përdoruesi1 , përdorues 2). Gjithashtu # # shprehje të rregullta mund të përdoren siç përshkruhet në seksionin # # PATTERNS të skedarit ssh_config. Regjistrimet në # # Kriteret e adresës mund të përmbajnë adresa në shënimin CIDR # # (Gjatësia e adresës / maskës, për shembull "192.0.2.0/24" ose # # "3ffe: ffff :: / 32"). Vlen të përmendet se gjatësia e dhënë # # e maskës duhet të përputhet me adresën, dhe gjithashtu # # e gjatë / e shkurtër për një adresë nuk do të funksionojë. # # Si direktiva Match mund të përdorë vetëm # # një grup të caktuar direktivash: # # AllowTcpForwarding # # Banner # # ChrootDirectory # # ForceCommand # # GatewayPorts # # GSSAPIAvërtetim # # Vërtetim i bazuar në host # # KbdInteractiveAuthentication #AuthenticationAberosAuthentication #KbdInteractiveAuthentication # # PermitRootLogin # # RhostsRSAAautentikimi # # RSAAautentikimi # # X11DisplayOffset # # X11Përcjellja # # X11UseLocalHost #

Mund ta kopjoni tekstin e mësipërm në sshd_config tuaj dhe ta përdorni më vonë për konfigurim.

Në vetvete, një server SSH i konfiguruar gabimisht është një dobësi e madhe në sigurinë e sistemit, pasi një sulmues i mundshëm ka aftësinë të fitojë qasje pothuajse të pakufizuar në sistem. Përveç kësaj, sshd ka shumë opsione shtesë të dobishme që duhet t'i aktivizoni për rritjen e përdorshmërisë dhe sigurisë.

Porta, ListenAddress dhe AddressFamily

Këta tre parametra përcaktojnë se në cilat porta dhe adresa serveri juaj do të presë për lidhjet hyrëse. Së pari, ka kuptim, nëse është e mundur, të kufizoni familjen e adresave që përpunohen në ato të përdorura në të vërtetë, domethënë nëse përdorni vetëm IPv4, çaktivizoni IPv6 dhe anasjelltas. Kjo mund të bëhet duke përdorur parametrin AddressFamily, për shembull (për të aktivizuar IPv4 dhe çaktivizuar IPv6):

Adresa Familja inet

Së dyti, këshillohet të ndryshoni portin standard (22) në të cilin dëgjon sshd. Kjo për faktin se skanerë të shumtë të rrjetit po përpiqen vazhdimisht të lidhen me portin e 22-të dhe të paktën të kenë akses me hyrje / fjalëkalime me forcë brutale nga baza e të dhënave të tyre. Edhe nëse e keni çaktivizuar vërtetimin e fjalëkalimit, këto përpjekje bllokojnë shumë regjistrat dhe (në numër të madh) mund të ndikojnë negativisht në shpejtësinë e serverit ssh. Nëse për ndonjë arsye nuk dëshironi të ndryshoni portin standard, mund të përdorni të dyja mjetet e ndryshme të jashtme për të luftuar brute-forcing, për shembull fail2ban, dhe ato të integruara, si MaxStartups.
Porta mund të vendoset ose si një vlerë absolute për të gjitha ndërfaqet që përdorin direktivën Port, ose si një vlerë specifike për secilën ndërfaqe duke përdorur direktivën ListenAddress. Për shembull:

Porti 2002

ListenAdresa 192.168.0.1:2003 ListenAdresa 192.168.1.1:2004

Refuzo qasjen në distancë për superpërdoruesin

Si parazgjedhje, qasja në rrënjë refuzohet me fjalëkalim (me çelës - mundeni) - opsioni PermitRootLogin është vendosur në pa fjalëkalim. Por, me kusht që si parazgjedhje në Ubuntu përdoruesi i shtuar gjatë instalimit të sistemit të ketë aftësinë për të zgjidhur të gjitha detyrat administrative përmes sudo, duket e paarsyeshme të krijohet aftësia për të root akses në sistem përmes ssh (madje edhe me autentifikimin e çelësit). Rekomandohet ta çaktivizoni plotësisht. këtë opsion, ose përdorni atë vetëm në modalitetin vetëm me komanda të detyruara. Ju mund të çaktivizoni qasjen në rrënjë si kjo:

PermitRootLogin nr

Autentifikimi i fjalëkalimit

Autentifikimi i parazgjedhur i fjalëkalimit është pothuajse mënyra më primitive për të hyrë në sshd. Nga njëra anë, kjo thjeshton konfigurimin dhe lidhjen e përdoruesve të rinj (përdoruesi duhet vetëm të dijë hyrjen / fjalëkalimin e sistemit të tij), nga ana tjetër, fjalëkalimi mund të zgjidhet gjithmonë, dhe përdoruesit shpesh neglizhojnë krijimin e komplekseve dhe të gjata. fjalëkalimet. Bots speciale skanojnë vazhdimisht serverët ssh të disponueshëm nga Interneti dhe përpiqen të identifikohen në to me hyrje / fjalëkalime me forcë brutale nga baza e të dhënave të tyre. Përdorimi i vërtetimit të fjalëkalimit dekurajohet fuqimisht. Mund ta çaktivizoni si kjo:

Nr. Vërtetimi i fjalëkalimit

Nëse për ndonjë arsye ju ende dëshironi të përdorni vërtetimin e fjalëkalimit, sigurohuni që askush nuk mund të identifikohet me një fjalëkalim bosh. Për ta bërë këtë, vendosni direktivën PermitEmptyPasswords:

PermitEmptyPasswords nr

Protokollet SSH1 dhe SSH2

Siç u përmend tashmë, sshd mund të trajtojë protokollet SSH1 dhe SSH2. Megjithatë, përdorimi i SSH1 të pasigurt është shumë i dekurajuar. Ju mund ta detyroni sshd të punojë vetëm me protokollin SSH2 si kjo:

Autentifikimi i bazuar në çelësat SSH2 RSA

Metoda më e preferuar e vërtetimit është vërtetimi i çelësit SSH2 RSA. Me këtë metodë, përdoruesi gjeneron në anën e tij një palë çelësa, nga të cilët njëri çelës është sekret dhe tjetri publik. Çelësi publik kopjohet në server dhe shërben për të verifikuar identitetin e përdoruesit. Për më shumë detaje rreth krijimit të një çifti çelësash dhe si t'i vendosni ato në server, shihni përshkrimin e klientit SSH. Ju mund të aktivizoni vërtetimin e çelësit publik si më poshtë:

Autentifikimi Pubkey po

Serveri duhet të dijë se ku duhet të kërkojë çelësin publik të përdoruesit. Për këtë përdoret skedari special autorized_keys. Sintaksa e tij mund të jetë si më poshtë:

# Komentet janë shkruar vetëm në një rresht të ri # pamje e përgjithshme e hyrjeve në skedarin e çelësave të autorizuar # [opsionet] lloji_kyç (ssh-rsa ose ssh-dss) very_long_string_incomprehensible_for_imple_human [login @ host] ssh-rsa AAAAB3Nza ... LiPk == [email i mbrojtur] nga = "*. sales.example.net,! pc.sales.example.net" ssh-rsa AAAAB2 ... 19Q == [email i mbrojtur] komanda = "dump / home", no-pty, no-port-forwarding ssh-dss AAAAC3 ... 51R == shembull.net permitopen = "192.0.2.1:80", permitopen = "192.0.2.2.2:25" ssh -dss AAAAB5 ... 21S == tunel = "0", komanda = "sh / etc / netstart tun0" ssh-rsa AAAA ... == [email i mbrojtur]

Mund të specifikoni ose një skedar të përbashkët me çelësa, ose një skedar për çdo përdorues. Metoda e fundit është më e përshtatshme dhe më e sigurt, sepse, së pari, mund të specifikoni kombinime të ndryshme çelësash për secilin përdorues, dhe së dyti, të kufizoni aksesin në çelësin publik të përdoruesit. Mund të vendosni një skedar me çelësa duke përdorur direktivën AuthorizedKeysFile:

AuthorizedKeysFile% h / .ssh / my_keys

për përdorues të skemës - skedar
ose

AuthorizedKeysFile / etc / ssh / authorized_keys

për një skemë me një skedar të përbashkët. Si parazgjedhje, klienti SSH kërkon çelësat në skedarin ~ / .ssh / autorized_keys.

Më shumë rreth sigurisë

Cilësimet shtesë

Përdoruesit dhe grupet.

Nëse keni shumë përdorues në server dhe dëshironi të lejoni aksesin nëpërmjet ssh vetëm për disa prej tyre, mund të përdorni direktivat DenyUsers, AllowUsers, DenyGroups dhe AllowGroups. Për më shumë detaje mbi këto direktiva, shihni komentet në shembullin sshd_config.

Opsionet e gjendjes së lidhjes

Si parazgjedhje, nga metodat për përcaktimin e gjendjes së lidhjes, përfshihet vetëm metoda për kontrollimin e lidhjes TCP - TCPKeepAlive, megjithatë, sshd është në gjendje të përcaktojë gjendjen e lidhjes në mënyra më të përshtatshme dhe të sigurta. Për detaje, shihni seksionin përkatës në shembullin sshd_config.

Performanca. MaxStartups

Përcjellja e portit

Ridrejtimi X11

Në server, vendosni parametrin në skedarin / etc / ssh / sshd_config (aktivizuar si parazgjedhje):

PërparaX11 po

Në klient, vendosni parametrat në skedarin / etc / ssh / ssh_config (çaktivizuar si parazgjedhje):

ForwardAgent po ForwardX11 po

Ju mund të ekzekutoni në klient si kjo ssh [email i mbrojtur] firefox. Ose shkoni te ssh fillimisht [email i mbrojtur] pastaj ekzekutoni, për shembull sudo synaptic.

SFTP

Sshd ka një server SFTP të integruar si parazgjedhje. SFTP (SSH File Transfer Protocol) është një protokoll i transferimit të skedarëve SSH. Është projektuar për të kopjuar dhe kryer operacione të tjera skedarësh përmes një lidhjeje të besueshme dhe të sigurt. Në mënyrë tipike, protokolli SSH2 përdoret si protokolli themelor i lidhjes. Për të aktivizuar mbështetjen SFTP, shtoni linjën te sshd_config

Nënsistemi sftp / usr / lib / openssh / sftp-server

Si parazgjedhje, mbështetja SFTP është e aktivizuar.

Përdorimi i kritereve. Direktiva e ndeshjes

Vendosja e një klienti SSH

Hyrja më e sigurt është me çelës dhe në shumicën e rasteve kjo veçori aktivizohet në anën e serverit, kështu që nuk kërkohen të drejta të superpërdoruesit për ta përdorur atë. Gjeneroni një çelës në makinën e klientit:

ssh-keygen -t rsa

Ne marrim një ofertë për të futur një fjalëkalim për të mbrojtur skedarin kryesor (rezulton të jetë i dobishëm kur skedari bie në duar të gabuara). Nëse do të ekzekutojmë skriptet përmes SSH, atëherë e lëmë atë bosh. Ne transferojmë çelësin publik në server me komandën

Ssh-copy-id -i ~ / .ssh / id_rsa.pub [email i mbrojtur] server

Gjithçka, mund të shkosh.

Kur ssh po funksionon në një port jo standard:

Ssh-copy-id -i ~ / .ssh / id_rsa.pub "-p port [email i mbrojtur]"

Nëse ndodh një gabim: Porta e keqe "umask 077; test -d .ssh || mkdir .ssh; cat >> .ssh / autorized_keys"

provoni të merrni parametrat në thonjëza:

Ssh-copy-id "-i /home/user/.ssh/id_rsa.pub" -p port [email i mbrojtur]""

Është i përshtatshëm për të përdorur programin e ekranit kur lidheni me një sistem në distancë.

Vendosja e një drejtorie të largët ssh në Nautilus

Montimi i një drejtorie të largët duke përdorur sshfs

Montoni drejtorinë e largët në drejtorinë lokale

sshfs [email i mbrojtur] hostingserver.ru:/ home / userdir ~ / sshfsdir

Çmontimi

Fusermount -u ~ / sshsfdir

pseudonimet SSH

Kur përdorni disa serverë me parametra të ndryshëm aksesi (porte jo standarde, emri i gjatë i hostit, identifikimi i ndryshëm nga ai lokal, etj.), ndonjëherë është e lodhshme të futni përsëri të gjitha cilësimet e lidhjes çdo herë. Ju mund të përdorni pseudonime për ta lehtësuar këtë.

Cilësimet ruhen në ~ / .ssh / config për një përdorues dhe / etc / ssh / ssh_config globalisht për të gjithë përdoruesit.

Një shembull i një konfigurimi. Mund të përshkruhen shumë serverë. Më shumë në njeri ssh_config(për të mos u ngatërruar me sshd_config)

Emri Emri i hostit # Emri arbitrar i hostit Emri i hostit 1.2.3.4 # Mund të specifikoni IP-në dhe emrin e hostit (nëse DNS po funksionon) Përdoruesi Emri i Përdoruesit tuaj # Nëse përdoruesi nuk përputhet me përdoruesin lokal Porti YourSSHPort # Nëse një port jo standard

Pas kësaj, mund të lidheni me serverin me komandën

ssh Emri i Alias

ssh-agjent

Diagnostifikimi i problemeve të lidhjes

Analiza e regjistrit të lidhjes:

ssh -vvv [email i mbrojtur] mikpritës

Analiza e skedarëve të konfigurimit të klientit dhe serverit.

Vendndodhja e skedarëve të konfigurimit mund të gjendet nga

Njeri ssh njeri sshd

Përdorimi i kartave inteligjente

1. Krijimi i një certifikate dhe eksportimi i një çelësi publik, si dhe pjesa e klientit në Windows + Putty SC, përshkruhet në faqen e internetit: http://habrahabr.ru/post/88540/ Përshkruar shtesën Key Manager ekziston vetëm në versionet më të vjetra të Firefox-it. Testuar në versionin 3.5 për Windows. Lidhje direkte me shtesën: https://addons.mozilla.org/en/firefox/addon/key-manager/

2. Përgatitja e serverit. Duhet të siguroheni që konfigurimi sshd lejon vërtetimin duke përdorur çelësat publikë. Për ta bërë këtë, vendosni vlerën e parametrit PubkeyAuthentication në po në skedarin sshd_config. Pastaj shtoni çelësin tonë publik të marrë më parë (në një rresht) në skedarin "~ / .ssh / autorized_keys". Ju lutemi vini re se skedari ".ssh / autorized_keys" ndodhet në drejtorinë kryesore të përdoruesit, i cili më pas do të identifikohet me çelësin publik.

3. Pjesa e klientit në Linux. Do t'ju duhet të rindërtoni paketën OpenSSH pa parametra. Rekomandohet të specifikoni vetëm prefikset e drejtorisë, për shembull –prefiks = / usr. Duhet gjithashtu të theksohet se skedarët e konfigurimit do të jenë në / usr / etj. Para se të filloni, ju nevojiten paketat e mëposhtme: opensc-lite-devel, zlib-devel, openssl-devel. Instalimi i drejtuesit të kartës inteligjente. Për lehtësi, në konfigurimin ssh_config (të mos ngatërrohet me sshd_config) specifikoni shtegun për në bibliotekën pkcs: PKCS11 Provider =<путь к библиотеке>

4. Në klient, ekzekutoni ssh [email i mbrojtur] Nëse lidhet një kartë inteligjente (token), ajo do të kërkojë një fjalëkalim dhe do të hyjë në seancën SSH.

Probleme të mundshme gjatë përdorimit

Kombinimi i njohur i tasteve Ctrl + S i përdorur në shumë redaktorë për të ruajtur korrigjimet, kur punoni në një terminal me një server ssh, do të çojë në ekzekutimin e komandës XOFF, e cila duket si një ndërprerje e sesionit. Megjithatë, nuk është kështu. Serveri vazhdon të pranojë karaktere hyrëse dhe komanda, por nuk i shfaq ato në ekran. Për të dalë nga ky telash, mjafton të aplikoni kombinimin Ctrl + Q, duke rikthyer kështu modalitetin XON.

Lidhjet

Kjo do të thotë, përdoruesi1 mund të regjistrohet si në vetvete - në skedarin /home/user1/.ssh/keys) dhe në një përdorues tjetër, i cili do t'i lejojë atij të identifikohet nga kompjuteri i tij si "nën vetveten" dhe nën "tjetër"

Ose shkurt SSH, është një nga teknologjitë më të avancuara për mbrojtjen e të dhënave në tranzit. Përdorimi i këtij modaliteti në të njëjtin ruter ju lejon të siguroni jo vetëm konfidencialitetin e informacionit të transmetuar, por edhe të shpejtoni shkëmbimin e paketave. Vërtetë, jo të gjithë e dinë se si është SSH dhe pse është e nevojshme e gjithë kjo. Në këtë rast, do t'ju duhet të jepni një shpjegim konstruktiv.

Porta SSH: çfarë është dhe pse ju nevojitet?

Meqenëse po flasim për sigurinë, në këtë rast, porti SSH duhet kuptuar si një kanal komunikimi i dedikuar në formën e një tuneli që ofron kriptim të të dhënave.

Operacioni më primitiv i një tuneli të tillë është se porta e hapur SSH përdoret si parazgjedhje për të enkriptuar informacionin në burim dhe për të deshifruar në pikën përfundimtare. Kjo mund të shpjegohet si më poshtë: ju pëlqen apo jo, trafiku i transmetuar, ndryshe nga IPSec, është i koduar me forcë si në daljen e një terminali rrjeti ashtu edhe në hyrjen e anës marrëse. Për të deshifruar informacionin e transmetuar në këtë kanal, terminali marrës përdor një çelës të veçantë. Me fjalë të tjera, askush nuk mund të ndërhyjë në transmetim ose të cenojë integritetin e të dhënave të transmetuara pa një çelës.

Thjesht hapja e një porti SSH në çdo ruter ose përdorimi i cilësimeve të duhura të një klienti shtesë që ndërvepron drejtpërdrejt me serverin SSH ju lejon të përfitoni plotësisht nga të gjitha aftësitë e sigurisë së rrjeteve moderne. Çështja këtu është të përdorni portin e paracaktuar ose cilësimet e personalizuara. Këta parametra mund të duken mjaft të komplikuar në aplikim, por të kuptuarit e organizimit të një lidhjeje të tillë është i domosdoshëm këtu.

Porta standarde SSH

Nëse vërtet filloni nga parametrat e ndonjë ruteri, së pari duhet të vendosni se çfarë lloj softueri do të përdoret për të përdorur këtë kanal komunikimi. Në fakt, porti i paracaktuar SSH mund të ketë cilësime të ndryshme. E gjitha varet nga ajo teknikë që përdoret në këtë moment (lidhja e drejtpërdrejtë me serverin, instalimi i një klienti shtesë, përcjellja e portit, etj.).

Kështu, për shembull, nëse Jabber përdoret si klient, porti 443 duhet të përdoret për lidhjen e saktë, enkriptimin dhe transferimin e të dhënave, megjithëse porti 22 është vendosur si parazgjedhje.

Për të rikonfiguruar ruterin për të caktuar parakushtet për një program ose proces specifik, do t'ju duhet të kryeni përcjelljen e portit SSH. ekziston një caktim i një aksesi të caktuar për një program të veçantë që përdor një lidhje interneti, pavarësisht nga cilësimet që ka protokolli aktual i komunikimit (IPv4 ose IPv6).

Arsyetimi teknik

Siç e dini tashmë, porti standard SSH 22 nuk përdoret gjithmonë. Sidoqoftë, këtu duhet të nënvizoni disa nga karakteristikat dhe parametrat e përdorur gjatë konfigurimit.

Pse konfidencialiteti i transferimit të të dhënave të enkriptuara kërkon përdorimin e SSH si një port përdoruesi ekskluzivisht të jashtëm (të ftuar)? Po, vetëm sepse tuneli i aplikuar ju lejon të përdorni të ashtuquajturën guaskë të largët (SSH), të përdorni menaxhimin e terminalit përmes hyrjes në distancë (login) dhe të përdorni procedurat e kopjimit në distancë (scp).

Përveç kësaj, porta SSH mund të përdoret gjithashtu kur përdoruesi duhet të ekzekutojë skriptet X Windows në distancë, që në rastin më të thjeshtë është transferimi i informacionit nga një makinë në tjetrën, siç u përmend tashmë, me kriptim të detyruar të të dhënave. Në situata të tilla, më i nevojshmi do të jetë përdorimi i algoritmeve të bazuara në AES. Ky është algoritmi simetrik i enkriptimit, i cili fillimisht u parashikua në teknologjinë SSH. Dhe nuk është vetëm e mundur të përdoret, por edhe e nevojshme.

Historia e zbatimit

Vetë teknologjia u shfaq shumë kohë më parë. Le të lëmë mënjanë pyetjen se si të bëjmë transferimin e portit SSH tani për tani dhe të ndalemi se si funksionon e gjitha.

Zakonisht bëhet fjalë për përdorimin e proxies të bazuara në Socks ose tunelimin VPN. Nëse ndonjë aplikacion softuerësh di të punojë me VPN, është më mirë të preferoni këtë opsion të veçantë. Fakti është se pothuajse të gjitha programet e njohura sot që përdorin trafikun e Internetit mund të punojnë me një VPN, dhe vendosja e rrugëzimit nuk është e vështirë. Kjo, si në rastin e serverëve proxy, ju lejon të lini të panjohur adresën e jashtme të terminalit, nga i cili po hyni aktualisht në rrjet. Domethënë, në rastin e një proxy, adresa ndryshon vazhdimisht, por në versionin VPN ajo mbetet e pandryshuar me fiksimin e një rajoni të caktuar, i ndryshëm nga ai ku qasja është e ndaluar.

E njëjta teknologji, kur hapet porti SSH, u zhvillua në vitin 1995 në Universitetin Teknologjik të Finlandës (SSH-1). Në vitin 1996, u shtua një përmirësim në formën e protokollit SSH-2, i cili u bë mjaft i përhapur në hapësirën post-sovjetike, megjithëse për këtë, si dhe në disa vende të Evropës Perëndimore, ndonjëherë është e nevojshme të merret leje për t'u përdorur. një tunel i tillë, për më tepër, nga agjencitë qeveritare.

Avantazhi kryesor i hapjes së një porti SSH, në ndryshim nga telnet ose rlogin, është përdorimi i një nënshkrimi dixhital RSA ose DSA (duke përdorur një palë në formën e një çelësi publik dhe të varrosur). Përveç kësaj, në këtë situatë, mund të përdoret i ashtuquajturi çelës sesioni i bazuar në algoritmin Diffie-Hellman, i cili nënkupton përdorimin e kriptimit simetrik në dalje, megjithëse nuk përjashton përdorimin e algoritmeve të enkriptimit asimetrik në procesin e transmetimi dhe marrja e të dhënave nga një makinë tjetër.

Serverë dhe predha

Windows apo jo, nuk është aq e vështirë. Pyetja e vetme është se çfarë lloj mjetesh do të përdoren për këtë.

Në këtë kuptim, vëmendje duhet t'i kushtohet çështjes së transferimit dhe vërtetimit të informacionit. Së pari, vetë protokolli rezulton të jetë mjaftueshëm i mbrojtur nga i ashtuquajturi sniffing, që është “përgjimi” më i zakonshëm i trafikut. SSH-1 u tregua i pambrojtur ndaj sulmeve. Ndërhyrja në procesin e transferimit të të dhënave në formën e një skeme “burri në mes” pati rezultatet e saj. Informacioni thjesht mund të përgjohej dhe deshifrohej mjaft thjeshtë. Por versioni i dytë (SSH-2) ishte i siguruar nga kjo lloj ndërhyrjeje, e quajtur rrëmbimi i sesionit, falë të cilit u bë më i përhapur.

Ndalimet e sigurisë

Sa i përket sigurisë në lidhje me të dhënat e transmetuara dhe të marra, organizimi i një lidhjeje të krijuar duke përdorur teknologji të tilla shmang problemet e mëposhtme:

• përcaktimi i çelësit të hostit në fazën e transmetimit, kur përdoret "snapshot" e gjurmës së gishtit;
• mbështetje për Windows dhe sisteme të ngjashme me UNIX;
• zëvendësimi i adresave IP dhe DNS (spoofing);
• përgjimi i fjalëkalimeve të hapura gjatë aksesit fizik në kanalin e transmetimit të të dhënave.

Në fakt, e gjithë organizimi i një sistemi të tillë është ndërtuar mbi parimin e "klient-server", domethënë, para së gjithash, makina e përdoruesit, përmes një programi ose shtesë të veçantë, i referohet serverit, i cili bën të duhurën. Ridrejtimi.

Tunelizim

Vetëkuptohet që në sistem duhet të instalohet një drejtues i veçantë për të bërë këtë lloj lidhjeje.

Si rregull, në sistemet Windows, ky është drejtuesi i Microsoft Teredo i integruar në guaskën e softuerit, i cili është një lloj mjeti virtual për të emuluar protokollin IPv6 në rrjetet me mbështetje vetëm IPv4. është në gjendje aktive si parazgjedhje. Në rast të dështimeve të lidhura me të, thjesht mund të rinisni sistemin ose të ekzekutoni komandat e mbylljes dhe rinisjes në tastierën e komandës. Linjat e mëposhtme përdoren për të çaktivizuar:

• netsh;
• gjendja e vendosjes së ndërfaqes teredo është e çaktivizuar;
• gjendja e caktuar e ndërfaqes isatap është çaktivizuar.

Pas futjes së komandave, pason një rindezje. Për të riaktivizuar përshtatësin dhe për të kontrolluar gjendjen e tij, në vend që të çaktivizohet, shkruhet leja e aktivizuar, pas së cilës, përsëri, i gjithë sistemi duhet të riniset.

Serveri SSH

Tani le të shohim se cila portë SSH përdoret si kryesore, duke filluar nga skema "klient-server". Në mënyrë tipike, parazgjedhja është porti 22, por, siç u përmend më lart, mund të përdorë gjithashtu 443. Pyetja e vetme është preferenca e vetë serverit.

Serverët më të zakonshëm SSH konsiderohen si më poshtë:

• për Windows: Serveri Tectia SSH, OpenSSH me Cygwin, MobaSSH, KpyM Telnet / Server SSH, WinSSHD, copssh, freeSSHd;
• për FreeBSD: OpenSSH;
• për Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Të gjithë serverët e listuar janë falas. Sidoqoftë, mund të gjeni edhe shërbime me pagesë që dallohen nga një nivel i rritur sigurie, i cili është jashtëzakonisht i nevojshëm për organizimin e aksesit në rrjet dhe mbrojtjen e informacionit në ndërmarrje. Kostoja e shërbimeve të tilla aktualisht nuk është duke u diskutuar. Por në përgjithësi, mund të themi se është relativisht i lirë, edhe në krahasim me instalimin e një softueri të specializuar ose firewall "hardware".

Klient SSH

Porta SSH mund të ndryshohet bazuar në programin e klientit ose cilësimet përkatëse kur dërgoni portet në ruter.

Megjithatë, kur bëhet fjalë për predhat e klientit, produktet e mëposhtme softuerike mund të përdoren për sisteme të ndryshme:

• Windows - SecureCRT, PuTTY \ KITTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD, etj.;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux dhe BSD: lsh-client, kdessh, openssh-client, Vinagre, stuko.

Autentifikimi i çelësit publik dhe ndryshimi i portit

Tani disa fjalë se si verifikohet dhe konfigurohet serveri. Në rastin më të thjeshtë, duhet të përdorni një skedar konfigurimi (sshd_config). Sidoqoftë, mund të bëni pa këtë, për shembull, në rastin e përdorimit të programeve si PuTTY. Ndryshimi i portit SSH nga vlera e paracaktuar (22) në ndonjë tjetër është mjaft i thjeshtë.

Gjëja kryesore është që numri i portit të hapur të mos e kalojë vlerën e 65535 (thjesht nuk ka porte më të larta në natyrë). Për më tepër, ka disa porte të paracaktuara që duhet të theksohen që mund të përdoren nga klientë si bazat e të dhënave MySQL ose FTPD. Nëse specifikoni konfigurimin e tyre për SSH, natyrisht, ata thjesht ndalojnë së punuari.

Vlen të merret në konsideratë që i njëjti klient Jabber duhet të funksionojë në të njëjtin mjedis duke përdorur një server SSH, siç është një makinë virtuale. Dhe vetë serverit localhost do të duhet t'i caktohet vlera 4430 (dhe jo 443, siç u përmend më lart). Ky konfigurim mund të përdoret kur muri i zjarrit bllokon hyrjen në skedarin kryesor jabber.example.com.

Nga ana tjetër, ju mund të përcillni portet në vetë ruterin, duke përdorur cilësimet e ndërfaqes së tij me krijimin e rregullave të përjashtimit. Në shumicën e modeleve, hyrja kryhet duke futur adresa që fillojnë me 192.168 me shtimin e 0.1 ose 1.1, por në ruterat që kombinojnë aftësitë e modemëve ADSL si Mikrotik, adresa përfundimtare supozon përdorimin e 88.1.

Në këtë rast, krijohet një rregull i ri, pas kësaj vendosen parametrat e nevojshëm, për shembull, për të krijuar një lidhje të jashtme dst-nat, dhe gjithashtu portet regjistrohen manualisht jo në seksionin e cilësimeve të përgjithshme, por në seksionin Preferencat e Veprimit. . Këtu nuk ka asgjë veçanërisht të komplikuar. Gjëja kryesore është të specifikoni vlerat e nevojshme të cilësimeve dhe të vendosni portën e duhur. Si parazgjedhje, mund të përdorni portin 22, por nëse përdoret një klient i specializuar (një nga të mësipërmet për sisteme të ndryshme), vlera mund të ndryshohet në mënyrë arbitrare, por vetëm në mënyrë që ky parametër të mos kalojë vlerën e deklaruar, mbi të cilën ka thjesht nuk ka numra portash.

Kur vendosni një lidhje, duhet t'i kushtoni vëmendje edhe parametrave të programit të klientit. Mund të ndodhë që në cilësimet e tij do t'ju duhet të specifikoni gjatësinë minimale të çelësit (512), megjithëse parazgjedhja është zakonisht 768. Është gjithashtu e dëshirueshme të vendosni kohën e hyrjes në 600 sekonda dhe të lejoni aksesin në distancë duke përdorur të drejtat rrënjësore. Pas aplikimit të cilësimeve të tilla, duhet të jepni gjithashtu leje për të përdorur të gjitha të drejtat e vërtetimit, përveç atyre të bazuara në përdorimin e .rhost (por kjo u nevojitet vetëm administratorëve të sistemit).

Ndër të tjera, nëse emri i përdoruesit të regjistruar në sistem nuk përputhet me atë të futur në këtë moment, do t'ju duhet ta specifikoni në mënyrë eksplicite, duke përdorur komandën master të përdoruesit ssh me parametra shtesë (për ata që kuptojnë se çfarë është në rrezik ).

Komanda ~ / .ssh / id_dsa (ose rsa) mund të përdoret për të kthyer çelësin dhe vetë metodën e enkriptimit. Për të krijuar një çelës publik, përdoret një transformim duke përdorur linjën ~ / .ssh / identitet.pub (por kjo nuk kërkohet). Por, siç tregon praktika, mënyra më e lehtë është të përdorni komanda si ssh-keygen. Këtu thelbi i çështjes zbret vetëm në shtimin e një çelësi në mjetet e disponueshme të autorizimit (~ / .ssh / autorized_keys).

Por ne kemi shkuar shumë larg. Kthimi në çështjen e konfigurimit të portit SSH, siç është tashmë e qartë, ndryshimi i portës SSH nuk është aq i vështirë. Vërtetë, në disa situata, siç thonë ata, duhet të djersiteni, pasi do t'ju duhet të merrni parasysh të gjitha vlerat e parametrave kryesorë. Pjesa tjetër e çështjes së konfigurimit lidhet me hyrjen në programin e serverit ose të klientit (nëse ofrohet fillimisht), ose në përdorimin e përcjelljes së portit në ruter. Por edhe nëse ndryshoni portën e paracaktuar 22 në të njëjtën 443, duhet të kuptoni qartë se një skemë e tillë nuk funksionon gjithmonë, por vetëm në rastin e instalimit të së njëjtës shtesë Jabber (analogët e tjerë mund të përdorin gjithashtu portet përkatëse , ndryshe nga standardi). Përveç kësaj, vëmendje e veçantë duhet t'i kushtohet vendosjes së parametrave të klientit SSH, i cili do të ndërveprojë drejtpërdrejt me serverin SSH, nëse i tillë supozohet të jetë vërtet duke përdorur lidhjen aktuale.

Përndryshe, nëse nuk sigurohet fillimisht (megjithëse është e dëshirueshme të kryhen veprime të tilla), cilësimet dhe parametrat për qasje përmes protokollit SSH nuk kanë nevojë të ndryshohen. Në përgjithësi, nuk ka probleme të veçanta në krijimin e një lidhjeje dhe përdorimin e mëtejshëm të saj (përveç nëse, natyrisht, përdoren cilësimet manuale të konfigurimit bazuar në serverin dhe klientin). Mënyra më e zakonshme për të krijuar një rregull përjashtimi në një ruter do të rregullojë të gjitha problemet ose do t'i shmangë ato.