Έτσι, στο Διαδίκτυο, φυσικά, υπάρχει μεγάλο ποσόπαραδείγματα εγκατάστασης SSH, αλλά αυτό είναι κακή τύχη 🙂 δεν περιγράφονται όλες οι λεπτομέρειες παντού, και μερικές φορές δεν είναι εύκολο για έναν αρχάριο σε αυτήν την κατάσταση, το βίωσα ο ίδιος ... Λοιπόν, εδώ είναι μια πλήρης και λεπτομερής περιγραφή της εγκατάστασης του το μεγάλο και πανίσχυρο SSH.

Αρχικά, ας εγκαταστήσουμε το SSH στο μηχάνημα στο οποίο σκοπεύουμε να συνδεθούμε. Για να το κάνετε αυτό, στην κονσόλα (γραμμή εντολών, τερματικό) πληκτρολογήστε την εντολή:

sudo apt-get εγκατάσταση openssh-server

Μετά από αυτήν την εντολή, το SSH θα βρεθεί και θα εγκατασταθεί αυτόματα (φυσικά, πρέπει να συνδεθείτε στο μεγάλο και πανίσχυρο Διαδίκτυο). Στη συνέχεια, πρέπει να ρυθμίσετε τις παραμέτρους. Όλες οι ρυθμίσεις του διακομιστή μας γίνονται με την αλλαγή του αρχείου /etc/ssh/sshd_config. Αλλά πρώτα, θα συνιστούσα να δημιουργήσετε ένα αντίγραφο ασφαλείας του αρχικού αρχείου διαμόρφωσης. Για αυτό γράφουμε:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original

Τώρα το αρχικό αρχείο διαμόρφωσης θα αντιγραφεί στον ίδιο κατάλογο που ήταν, αλλά θα κληθεί ήδη sshd_config.original, μετά από αυτό μπορούμε με ασφάλεια να κάνουμε όλες τις απαραίτητες αλλαγές, αφού ανά πάσα στιγμή μπορούμε να επαναφέρουμε τις αρχικές ρυθμίσεις. Ανοίγουμε λοιπόν το αρχείο ρυθμίσεων για επεξεργασία, το ανοίγω από μέσα nano editor, κατά τη γνώμη μου αυτό είναι ένα εξαιρετικό πρόγραμμα επεξεργασίας για εργασία στην κονσόλα.

sudo nano /etc/ssh/sshd_config

Θα δείτε τις ακόλουθες οδηγίες:

  • Θύρα 22 - καθορίζει τη θύρα στην οποία ο διακομιστής θα ακούσει για μια εισερχόμενη σύνδεση. Για παράδειγμα, η θύρα 1234 σημαίνει ότι θα είναι δυνατή η σύνδεση με τον διακομιστή στη θύρα 1234. Αλλά η τυπική είναι η θύρα 22, αν και θα συνιστούσα να την αλλάξετε, καθώς από αυτήν τη θύρα ανοίγουν «μη φιλικές προσωπικότητες του Διαδικτύου Αρχίστε να χακάρετε τον διακομιστή.
  • PermitRootLogin όχι - καλύτερα να οριστεί η τιμή όχι. Αυτό θα σας εμποδίσει να συνδεθείτε ως root.
  • Το ListenAddress καθορίζει σε ποιο πρωτόκολλο/διεπαφή θα ακούει το ssh.
  • Πρωτόκολλο - σας επιτρέπει να επιλέξετε την έκδοση πρωτοκόλλου 1 ή 2. Συνιστάται το πρωτόκολλο 2.
  • HostKey - αρχεία κλειδιών για τη δεύτερη έκδοση του πρωτοκόλλου SSH
  • PermitEmptyPasswords όχι - απαγορεύστε τους άδειους κωδικούς πρόσβασης, η αξιοπιστία δεν βλάπτει.
  • UsePrivilegeSeparation - καλύτερα να είναι ενεργοποιημένο για ασφάλεια.
  • AllowUsers Goodboy - αυτή η παράμετρος δεν είναι στη διαμόρφωση, σας συμβουλεύω να την προσθέσετε. Goodboy - το όνομα του χρήστη σας (ο καθένας έχει το δικό του, φυσικά, αυτό είναι μόνο ένα παράδειγμα). Αυτή η παράμετρος ορίζει την άδεια για να συνδεθείτε μόνο και μόνο με αυτό το όνομα, το ssh διατρυπάται όχι μόνο για έναν κωδικό πρόσβασης, αλλά και για τα ονόματα συστήματος ή τυπικών ονομάτων. Για παράδειγμα, το apache, το www, το οποίο για κάποιο λόγο μπορεί να αποδειχθεί χωρίς κωδικό πρόσβασης, ή το andy, το bobby, το anna κ.λπ. Μπορείτε να προσθέσετε μια διεύθυνση IP στο όνομα Goodboy - [email προστατευμένο]- εάν είστε βέβαιοι ότι στο μηχάνημα πελάτη είναι πάντα αυτή η αμετάβλητη διεύθυνση. Αυτή η επιλογή θα επιτρέψει στον χρήστη Goodboy να συνδεθεί μόνο και μόνο εάν ο κεντρικός υπολογιστής του ταιριάζει με αυτόν που έχει καθοριστεί. Κατ 'αρχήν, αυτό φυσικά δεν είναι απαραίτητο, αλλά πέντε, η πρόσθετη προστασία δεν θα βλάψει.

Επαναδιαμορφώνουμε τις ρυθμίσεις που χρειάζεστε επιπλέον, στη συνέχεια πατάμε το κουμπί F3 για αποθήκευση και μετά Enter για επιβεβαίωση και F2 για έξοδο από την κονσόλα πίσω.

Στη συνέχεια, επανεκκινήστε τον δαίμονα SSH:

sudo /etc/init.d/ssh επανεκκίνηση

Τότε μπορούμε να συνδεθούμε σε αυτό. Κατά κανόνα, ο διακομιστής είναι σε Linux και οι μηχανές που λειτουργούν είναι συνήθως σε Windows, τότε θα συνδεθούμε στον διακομιστή μέσω του λειτουργικού συστήματος Windows. Για να γίνει αυτό, στο μηχάνημα με το οποίο σκοπεύουμε να συνδεθούμε, εγκαθιστούμε 2 προγράμματα: Στόκος— για πρόσβαση στη γραμμή εντολών διακομιστή, WinSCP- για πιο βολικές τυπικές λειτουργίες αντιγραφής, διαγραφής, μετακίνησης, δημιουργίας φακέλων στο διακομιστή κ.λπ. Το τελευταίο πρόγραμμα με τη διεπαφή του μοιάζει με αναλογικό ολοκληρωτικός διοικητής, Far manager και παρόμοια προγράμματα. Στην πραγματικότητα, μπορείτε να χρησιμοποιήσετε όχι μόνο το WinSCP, αλλά και τα παραπάνω προγράμματα, καθώς και το FileZilla και άλλα, αλλά είναι πιο εύκολο, πιο βολικό και λιγότερο προβληματικό να ρυθμίσετε και να δουλέψετε, κατά τη γνώμη μου, το τρέχον πρόγραμμα. Έτσι, για να συνδεθείτε, πρέπει απλώς να καθορίσετε τη θύρα στην οποία θέλετε να συνδεθείτε, από προεπιλογή 22 εάν δεν την έχετε αλλάξει, και στη συνέχεια το όνομα του κεντρικού υπολογιστή ή τη διεύθυνση IP του. Δεδομένου ότι οι διακομιστές τοποθετούνται συνήθως σε στατικές IP, αυτό δεν αποτελεί πρόβλημα.

Σας ευχαριστούμε για το ενδιαφέρον σας για τον ιστότοπό μας. Η εξειδικευμένη εταιρεία πληροφορικής υπάρχει από το 2006 και παρέχει υπηρεσίες IT outsourcing. Η εξωτερική ανάθεση είναι η μεταφορά απαραίτητης, αλλά μη βασικής για την εταιρεία, εργασίας σε άλλον οργανισμό. Στην περίπτωσή μας, αυτά είναι: δημιουργία, υποστήριξη και συντήρηση τοποθεσιών, προώθηση τοποθεσιών σε μηχανές αναζήτησης, υποστήριξη και διαχείριση διακομιστών που εκτελούν Debian GNU/Linux.

Ιστότοποι στο Joomla

Στην τρέχουσα εποχή της πληροφορίας, ο ιστότοπος γίνεται de facto τουλάχιστον το σήμα κατατεθέν του οργανισμού και συχνά ένα από τα επιχειρηματικά εργαλεία. Ήδη, δημιουργούνται ιστότοποι όχι μόνο για οργανισμούς και ιδιώτες, αλλά και για μεμονωμένα αγαθά, υπηρεσίες, ακόμη και εκδηλώσεις. Σήμερα, ο ιστότοπος δεν είναι μόνο μια πηγή διαφήμισης για ένα τεράστιο κοινό, αλλά και ένα εργαλείο για πωλήσεις και δημιουργία νέων επαφών. Δημιουργούμε ιστοσελίδες χρησιμοποιώντας CMS Joomla! Αυτό το σύστημα διαχείρισης περιεχομένου είναι απλό και διαισθητικό. Είναι πολύ διαδεδομένο και, ως εκ τούτου, υπάρχουν πολλές πληροφορίες σχετικά με αυτό στο Διαδίκτυο. Η εύρεση ειδικού που εργάζεται με το Joomla είναι επίσης εύκολη. Και δεν χρειάζεται να πάτε μακριά! Ο ειδικός πληροφορικής μας ασχολείται με τη συντήρηση και την υποστήριξη τοποθεσιών στο Joomla! Θα πραγματοποιήσουμε όλες τις τεχνικές εργασίες, θα φροντίσουμε για όλη την αλληλογραφία με τον hoster και τον καταχωρητή τομέα, θα συμπληρώσουμε τον ιστότοπο και θα ενημερώσουμε τις πληροφορίες σε αυτόν. Και παρόλο που το Joomla είναι εύκολο στη διαχείριση, είναι διαισθητικό. Αλλά εσείς οι ίδιοι θα εκτελείτε τακτικά τις απαραίτητες εργασίες στον ιστότοπο; Πόσο καιρό θα σας πάρουν; Εάν θέλετε να επικεντρωθείτε στην επιχείρησή σας, τότε εμπιστευτείτε την υποστήριξη του ιστότοπού σας σε εμάς. Θα κάνουμε ό,τι περνάει από το χέρι μας για να διατηρήσουμε τον ιστότοπο ζωντανό και ωφέλιμο για τον ιδιοκτήτη του.
Εάν είστε εμπορικός οργανισμός που διαφημίζει ή πουλά τα αγαθά, τις υπηρεσίες του στο Διαδίκτυο, τότε απλά πρέπει να προωθήσετε τον ιστότοπό σας στις μηχανές αναζήτησης. Άλλωστε, για να πουλήσεις κάτι, χρειάζεται τουλάχιστον να σε δουν, να το γνωρίζουν. Και θα σας βοηθήσουμε σε αυτό, θα προωθήσουμε τον ιστότοπό σας στο Joomla στις μηχανές αναζήτησης. Ανάλογα με τον ανταγωνισμό και τον προϋπολογισμό που διατίθεται για την προώθηση, ο ιστότοπός σας θα λάβει μια αξιόλογη θέση Αποτελέσματα αναζήτησης. Το site θα αυξήσει τα κέρδη σας!

Διακομιστές Debian

Αργά ή γρήγορα, επιδιώκοντας το άνοιγμα και τη διαφάνεια της επιχείρησής τους, πολλές εταιρείες αντιμετωπίζουν την ανάγκη να διασφαλίσουν την καθαρότητα των αδειοδοτημένων λογισμικό. Ωστόσο, το κόστος των τελών άδειας απέχει πολύ από το να είναι πάντα αποδεκτό, ειδικά για τις μικρές και μεσαίες επιχειρήσεις. Η διέξοδος από αυτή τη δύσκολη κατάσταση είναι η απόφαση για μετάβαση στην τεχνολογία ανοιχτού κώδικα. Μία από τις κατευθύνσεις του Ανοιχτού Κώδικα είναι η λειτουργία Σύστημα Linux(Linux). Οι εργαζόμενοι της εταιρείας μας ειδικεύονται στο Debian Linux (Debian Linux). Είναι η παλαιότερη και πιο σταθερή διανομή λειτουργικό σύστημα Linux. Σας προσφέρουμε υπηρεσίες για την εφαρμογή του Debian Linux στην επιχείρησή σας, διαμόρφωση, συντήρηση και υποστήριξη διακομιστών.

Πληροφορίες και διαφήμιση

Αυτό το άρθρο αφορά τις ρυθμίσεις απομακρυσμένης πρόσβασης για το διακομιστή Ubuntu. Η αρχή της σύνδεσης είναι πολύ απλή: στην πλευρά του πελάτη χρησιμοποιούμε ένα πρόγραμμα για απομακρυσμένη πρόσβαση (για παράδειγμα, Putty), στην πλευρά του διακομιστή εγκαθιστούμε και διαμορφώνουμε το πακέτο OpenSSH. Κατά τη σύνδεση, ο πελάτης περνά από τη διαδικασία εξουσιοδότησης στον διακομιστή και δημιουργείται μια κρυπτογραφημένη σύνδεση μεταξύ τους. Πιο αναλυτικά, η αρχή λειτουργίας του πρωτοκόλλου SSH εξετάστηκε στο άρθρο σχετικά.

Το διάγραμμα δικτύου φαίνεται παρακάτω. Απομακρυσμένη σύνδεσηστον διακομιστή θα γίνει από τον υπολογιστή-πελάτη.

Εγκαταστήσαμε τον διακομιστή Ubuntu σε έναν κενό σκληρό δίσκο. Μετά την εγκατάσταση, πρέπει να διαμορφώσετε τη διεπαφή δικτύου του διακομιστή για πρόσβαση στο δίκτυο. Δηλαδή, ορίστε τη διεύθυνση IP, τη μάσκα δικτύου, την προεπιλεγμένη πύλη. Εάν η διεπαφή σας είναι ήδη ρυθμισμένη, μπορείτε να παραλείψετε αυτό το βήμα. Οι ρυθμίσεις διεπαφής δικτύου καθορίζονται στο αρχείο /etc/network/interfaces. Χρησιμοποιήστε ένα πρόγραμμα επεξεργασίας κειμένου για επεξεργασία νανο.

Μπαίνουμε στη λειτουργία επεξεργασίας του αρχείου διεπαφών. Μας ενδιαφέρουν όλα τα παρακάτω # Η κύρια διεπαφή δικτύου. ΣΤΟ αυτή τη στιγμήο διακομιστής λαμβάνει μια διεύθυνση IP μέσω DHCP, η οποία δεν είναι απολύτως σωστή. Ο διακομιστής πρέπει να έχει στατική IP, ώστε όλοι οι κόμβοι του δικτύου να γνωρίζουν ακριβώς τη διεύθυνσή του. Ας γράψουμε τις ρυθμίσεις δικτύου με μη αυτόματο τρόπο.

Ο διακομιστής μου βρίσκεται στο τοπικό υποδίκτυο 192.168.1.0/24. Στον διακομιστή έχει εκχωρηθεί IP 192.168.1.2, μάσκα 255.255.255.0, προεπιλεγμένη πύλη 192.168.1.1, διεύθυνση διακομιστή DNS 192.168.0.1

Για να αποθηκεύσετε το αρχείο, πατήστε Ctrl + X –> Y –> Enter. Για να εφαρμόσετε τις ρυθμίσεις, πρέπει να επανεκκινήσετε τη διαδικασία δικτύου. Μπορείτε επίσης απλά να επανεκκινήσετε τον διακομιστή με την εντολή sudo reboot.

έλεγχος (εντολή ifconfig -a) – εφαρμόστηκαν ρυθμίσεις

Όλα είναι έτοιμα για το OpenSS, το οποίο μπορεί να εγκατασταθεί από το τερματικό με τις εντολές

$ sudo apt-get install openssh-client

$ sudo apt-get install openssh-server

Μπορείτε να ελέγξετε την έναρξη, τη διακοπή και την επανεκκίνηση του διακομιστή SSH χρησιμοποιώντας τις εντολές

$ sudo υπηρεσία ssh στάση | έναρξη | επανεκκίνηση

Στην πραγματικότητα, έχετε ήδη πρόσβαση SSH στον διακομιστή. Αλλά για περισσότερα λεπτό συντονισμόυπάρχει ένα αρχείο ρυθμίσεων στο /etc/ssh/sshd_config. Η πρόσβαση στις ρυθμίσεις παραμέτρων πραγματοποιείται μόνο κάτω από τη ρίζα.

Από την πλευρά του πελάτη, κατεβάζουμε οποιοδήποτε πρόγραμμα για σύνδεση μέσω SSH, προτείνω το Putty. Το πρόγραμμα θα χρειαστεί μόνο να εισαγάγει τη διεύθυνση IP του διακομιστή και να συνδεθεί σε αυτόν. Κατά τη σύνδεση, εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης.


Εγγραφείτε στο δικό μας

Ευχαριστώ MadKox

Παράδειγμα αρχείου διαμόρφωσης

# συμβάσεις: #
# Με τον όρο "προεπιλογή" εννοείται η συμπεριφορά του sshd όταν #
# σε μια απροσδιόριστη οδηγία. Αξίζει να σημειωθεί ότι στο Ubuntu #
# το αρχείο sshd_config περιέχει ήδη έναν αριθμό ρυθμίσεων που #
# είναι οι προεπιλεγμένες ρυθμίσεις ειδικά για το Ubuntu. #
# Τέτοιες ρυθμίσεις καθορίζονται σε αυτό το αρχείο. #
# #

################ Ρυθμίσεις διεύθυνσης/θύρας, κ.λπ. ###########
############################################################
# #
## Λιμάνι ############################################### #####
# #
# Η θύρα προς χρήση. Μπορείτε να καθορίσετε πολλά, για παράδειγμα: #
# Θύρα 22 #
# Θύρα 23 #
# Θύρα 24 #
# Συνιστάται η χρήση μη τυπικής θύρας, γιατί #
Το # πρότυπο σαρώνεται συχνά από τα ρομπότ για #
# πιθανές «τρύπες». Μπορεί να παραλειφθεί εάν δοθεί #
# μέσω διεύθυνσης. Δείτε επίσης την παράμετρο ListenAddress. #
# #
Θύρα 8022
# #
## Ακούστε Διεύθυνση ###########################################################
# #
# Η διεύθυνση δικτύου στην οποία ο διακομιστής "ακούει". Η διεύθυνση μπορεί να είναι #
#γράψε έτσι: #
# ListenAddress host|IPv4_addr|IPv6_addr #
# ListenAddress host|IPv4_addr:port #
# ListenΔιεύθυνση :port #
# Εάν η θύρα δεν έχει οριστεί, το sshd θα ακούσει σε αυτήν τη διεύθυνση και #
# στη θύρα που καθορίζεται στην επιλογή Θύρα. Αν θα είσαι #
# χρησιμοποιήστε ListenAddress χωρίς να καθορίσετε μια θύρα και, στη συνέχεια, την επιλογή #
Η # Θύρα πρέπει να προηγείται της επιλογής ListenAddress. Αν όχι #
# specify, μετά ακούει σε όλους τους τοπικούς από προεπιλογή #
# διευθύνσεις. Μπορείτε να καθορίσετε πολλές διευθύνσεις. #
# #
## ΔιεύθυνσηΟικογένειας #############################################################
# #
# Καθορίζει ποια οικογένεια διευθύνσεων IP θα πρέπει να είναι #
# χρησιμοποιήθηκε sshd. Πιθανές επιλογές: #
# "οποιοδήποτε" οποιοδήποτε #
# "inet" (μόνο IPv4) #
# "inet6" (μόνο IPv6) #
# Η προεπιλογή είναι "οποιοδήποτε". #
ΔιεύθυνσηFamily inet
# #
## UseDNS ############################################################### ##
# #
# Καθορίζει εάν το sshd θα πρέπει να ελέγχει το όνομα κεντρικού υπολογιστή και #
# χρησιμοποιήστε αυτό το όνομα για να ελέγξετε τη διεύθυνση IP που δίνεται από τον πελάτη έναντι #
# ελήφθη από DNS. #

# #
############################################################
############## Ρυθμίσεις πρόσβασης χρήστη ##############
############################################################
# #
# Αφήστε/να μην αφήσετε τον χρήστη να εισέλθει ορίζεται από οδηγίες #
# DenyUsers, AllowUsers, DenyGroups και AllowGroups. #
# την ίδια στιγμή, ο έλεγχος πηγαίνει από πάνω προς τα κάτω κατά μήκος της αλυσίδας: #
### DenyUsers ## #
# || #
### AllowUsers ## #
# || #
### DenyGroups ## #
# || #
### Επιτρέπονται ομάδες ## #
# Μόνο ονόματα χρηστών και ομάδων γίνονται δεκτά, αριθμητικό #
# αναγνωριστικά (UserID) δεν αναγνωρίζονται. Σωστός #
# εγγραφή πολλαπλών χρηστών/ομάδων με τη σειρά, μέσω #
# χώρος. Εάν γράφεται ως user@host τότε #
# χρήστης και κεντρικός υπολογιστής ελέγχονται ξεχωριστά, αυτό επιτρέπει #
# περιορίστε την πρόσβαση σε ορισμένους χρήστες με #
# συγκεκριμένοι οικοδεσπότες. Αξίζει να θυμηθούμε ότι οι οδηγίες #
# DenyUsers και AllowUsers λαμβάνουν ως παράμετρο #
# όνομα χρήστη και όνομα DenyGroups και AllowGroups #
# ομάδες. Δείτε PATTERNS in man ssh_config για περισσότερα #
# πληροφορίες σχετικά με τις μορφές γραφής ονομάτων χρήστη και ομάδων. #
# #
## DenyUsers ################################################################
# #
# Μια λίστα με ΧΡΗΣΤΕΣ που ΔΕΝ ΠΡΕΠΕΙ να χρησιμοποιούνται από το sshd. #
# Η προεπιλογή δεν έχει καθοριστεί = κανείς δεν έχει αποκλειστεί. Εκείνοι. αν #
# ένας χρήστης καθορίζεται εδώ, η πρόσβαση θα απαγορεύεται #
# στον διακομιστή ssh. #
# #
## AllowUsers ##############################################################
# #
# Λίστα ΧΡΗΣΤΩΝ που ΜΠΟΡΕΙ να χρησιμοποιεί το sshd, #

# ορίστηκε τουλάχιστον ένας χρήστης, πρόσβαση ssh στον διακομιστή #
Το # είναι διαθέσιμο μόνο σε αυτόν. #
# #
## DenyGroups ###############################################################
# #
# Μια λίστα με GROUP που ΔΕΝ ΠΡΕΠΕΙ να χρησιμοποιείται από το sshd. #
# Δεν καθορίζεται από προεπιλογή = καμία ομάδα δεν είναι αποκλεισμένη. #
#δηλ. αν έχει καθοριστεί τουλάχιστον μία ομάδα, τότε οι χρήστες, #
# μέλη αυτής της ομάδας δεν θα έχουν πρόσβαση στο ssh #
# διακομιστής. #
# #
## Επιτρέπονται ομάδες ###############################################################
# #
# Μια λίστα με GROUP που μπορεί να χρησιμοποιεί το sshd. #
# Δεν καθορίζεται από προεπιλογή = επιτρέπονται όλοι. Εκείνοι. αν #
# καθορίζεται τουλάχιστον μία ομάδα, τότε μόνο αυτοί οι χρήστες#
# που περιέχει θα επιτρέπεται η πρόσβαση στον διακομιστή ssh.#
# #
############################################################
######### Επιλογές ανίχνευσης κατάστασης σύνδεσης ###########
############################################################
# #
## TCPKeepAlive #############################################################
# #
# Υποδεικνύει εάν το σύστημα πρέπει να στέλνει μηνύματα TCP στον πελάτη #
# για να διατηρήσετε τη σύνδεση. Εάν στείλετε αυτά τα πακέτα,#
# μπορείτε να ορίσετε μια διακοπή σύνδεσης. Ωστόσο, αυτό είναι επίσης #
# σημαίνει ότι η σύνδεση μπορεί να τερματιστεί εάν #
# στιγμιαία διακοπή δρομολόγησης και #
# Μερικοί άνθρωποι το βρίσκουν πολύ ενοχλητικό. Από την άλλη πλευρά, αν #
# συνεδρίες στον διακομιστή δεν μπορούν να στείλουν τέτοια μηνύματα #
# διαρκούν επ' αόριστον, γεννούν χρήστες "φαντάσματα",#
# και καταβροχθίζει πόρους διακομιστή. Προεπιλεγμένη τιμή "ναι",#
#δηλ. στείλτε τέτοια μηνύματα. Για να απενεργοποιήσετε την αποστολή #
Το # από ​​αυτά τα μηνύματα θα πρέπει να οριστεί σε "όχι". Παλαιότερα αυτό το #
# η επιλογή ονομαζόταν KeepAlive. Αξίζει να σημειωθεί ότι #
# υπάρχουν πιο ασφαλείς τρόποι για να ελέγξετε την κατάσταση #
# συνδέσεις (δείτε παρακάτω). #
# #
TCPKeepAlive ναι
# #
## ClientAliveCountMax ###################################
# #
# Ορίζει τον αριθμό των μηνυμάτων στους πελάτες που sshd #
# στέλνει διαδοχικά χωρίς να λάβει καμία απάντηση από #
# πελάτης. Εάν επιτευχθεί το όριο και #
# ο πελάτης δεν απάντησε ποτέ Το sshd θα αποσυνδέσει τον πελάτη με ματαίωση #
# συνεδρία ssh. Αξίζει να σημειωθεί ότι η χρήση τέτοιων #
Το # messages διαφέρει θεμελιωδώς από την οδηγία TCPKeepAlive. #
# Τα μηνύματα προς/από πελάτες αποστέλλονται με κρυπτογράφηση #
# κανάλι και επομένως δεν πλαστογραφούνται. Ίδια μηνύματα #
Το # TCPKeepAlive είναι πλαστογραφημένο. Ο πελάτης μηχανισμού ζωντανός #
# ιδιαίτερα πολύτιμο σε περιπτώσεις όπου ο διακομιστής και ο πελάτης πρέπει να #
# γνωρίζω πότε η σύνδεση έγινε ανενεργή. Προκαθορισμένο #
Η τιμή # είναι 3. Σε περίπτωση που ClientAliveInterval #
# Έχει οριστεί
5 και ClientAliveCountMax αριστερά από #
# από ​​προεπιλογή, οι πελάτες που δεν ανταποκρίνονται θα αποσυνδεθούν περίπου #
# μετά από 45 δευτερόλεπτα. Αυτή η οδηγία λειτουργεί μόνο για #
# πρωτόκολλο ssh2. #
# #
## ClientAliveInterval ####################################
# #
# Ορίζει το χρονικό διάστημα σε δευτερόλεπτα. Εάν εντός #
# αυτό το διάστημα δεν υπήρχε επικοινωνία με τον πελάτη, sshd #
# στέλνει ένα μήνυμα μέσω κρυπτογραφημένου καναλιού, #
# ζητά απάντηση από τον πελάτη. Η προεπιλογή είναι 0, δηλ. #
# μην στέλνετε τέτοια μηνύματα. Αυτή η οδηγία λειτουργεί #
# μόνο για το πρωτόκολλο ssh2. #
# #
############################################################
################ Γενικές επιλογές ελέγχου ταυτότητας ################
############################################################
# #
## AuthorizedKeysFile #####################################
# #
# Καθορίζει το αρχείο που περιέχει τα δημόσια κλειδιά, #
# χρησιμοποιείται για τον έλεγχο ταυτότητας χρηστών. Οδηγία #
Το # μπορεί να περιέχει δείκτες της μορφής %M, οι οποίοι αντικαθίστανται στο #
# η διαδικασία δημιουργίας σύνδεσης. #
# Ορίζονται οι ακόλουθοι δείκτες: #




# Έτσι, το αρχείο κλειδιού μπορεί να καθοριστεί ως #
# απόλυτη διαδρομή (δηλαδή ένα κοινό αρχείο με κλειδιά) και #
# δυναμικά ανάλογα με τον χρήστη (δηλαδή σύμφωνα με το #
# αρχείο ανά χρήστη). #
# Η προεπιλογή είναι ".ssh/authorized_keys". #
# Παράδειγμα για ένα αρχείο κλειδιού στον αρχικό φάκελο του χρήστη: #
# AuthorizedKeysFile %h/.ssh/authorized_key #
# Παράδειγμα για ένα γενικό αρχείο: #
# AuthorizedKeysFile /etc/ssh/authorized_keys #
# Δείτε την περιγραφή του αρχείου authorized_keys για περισσότερα #
# πληροφορίες. #
# #
## ChallengeResponseAuthentication #########################
# #
# Υποδεικνύει εάν θα επιτρέπεται ο έλεγχος ταυτότητας με ερώτηση και απάντηση #
# (έλεγχος ταυτότητας πρόκλησης-απόκρισης). Όλα υποστηρίζονται #
# τύποι ελέγχου ταυτότητας από το login.conf Προεπιλεγμένο "ναι", #
#δηλ. επιτρέπω. #
# Απενεργοποιήθηκε στο Ubuntu για λόγους ασφαλείας. #
# #
ChallengeResponseAuthentication αρ
# #
## HostbasedUsesNameFromPacketOnly #########################
# #
# Καθορίζει πώς ο διακομιστής πρέπει να λάβει το όνομα κεντρικού υπολογιστή του πελάτη #
# με ένα σχήμα ελέγχου ταυτότητας που βασίζεται στην επαλήθευση κεντρικού υπολογιστή. #
# Εάν οριστεί σε "ναι" κατά τον έλεγχο της συνέπειας στα αρχεία #
# ~/.shosts, ~/.rhosts ή /etc/hosts.equiv sshd θα είναι #
# χρησιμοποιήστε το όνομα κεντρικού υπολογιστή που παρέχεται από τον πελάτη. #
# (εκτέλεση ανάστροφης ανάλυσης DNS) Εάν έχει οριστεί σε "όχι"#
Το # sshd θα επιλύσει το όνομα από την ίδια τη σύνδεση TCP. #
# Η προεπιλογή είναι "όχι". #
# #
## IgnoreRhosts ############################################################
# #
# Απενεργοποιεί τη χρήση των αρχείων .rhosts και .shosts #
# κατά τον έλεγχο ταυτότητας βάσει κεντρικού υπολογιστή. #

# Τα αρχεία /etc/hosts.equiv και /etc/ssh/shosts.equiv εξακολουθούν να είναι #
# είναι μεταχειρισμένα. #
# Η προεπιλογή είναι "ναι". #
# #
IgnoreRhosts ναι
# #
## IgnoreUserKnownHosts ######################################################
# #
# Καθορίζει εάν το sshd θα πρέπει να αγνοεί τα ονόματα χρήστη #
# αρχείο "γνωστοί κεντρικοί υπολογιστές" ~/.ssh/known_hosts σε εξέλιξη #
# έλεγχος ταυτότητας βάσει επαλήθευσης κεντρικού υπολογιστή #
# (RhostsRSAAuthentication ή HostbasedAuthentication). #
# Η προεπιλογή είναι "όχι". #
# #
## Permit Blacklisted Keys ##################################
# #
# Υποδεικνύει εάν το sshd πρέπει να δέχεται τα κλειδιά που αναφέρονται στο #
# μαύρη λίστα ως παραβιασμένη (γνωστή-συμβιβασμένη #
# κλειδιά (δείτε ssh-vulnkey)). Εάν οριστεί σε "ναι" #
# προσπάθειες ελέγχου ταυτότητας με τέτοια κλειδιά θα συνδεθούν #
# καταγραφή και αποδεκτό εάν η τιμή είναι "όχι" προσπάθειες #
# έλεγχοι ταυτότητας θα απορριφθούν. #
# Η προεπιλογή είναι "όχι". #
# #
## PermitEmptyPasswords ##################################
# #
# Εάν ο έλεγχος ταυτότητας με κωδικό πρόσβασης είναι ενεργοποιημένος, #
Το # υποδεικνύει εάν είναι δυνατή η σύνδεση με κενό κωδικό πρόσβασης. #
# Η προεπιλογή είναι "όχι". #
# #
PermitEmptyPasswords αρ
# #
## PermitRootLogin ##########################################################
# #
# Υποδεικνύει εάν επιτρέπεται η σύνδεση ssh ως υπερχρήστη #
# (ρίζα). Μπορεί να λάβει τιμές: #
# "ναι" ο υπερχρήστης μπορεί να συνδεθεί. Ισχύει #
# τρέχον παγκόσμιο σύστημα ελέγχου ταυτότητας. #
# #
# "χωρίς κωδικό πρόσβασης" ο υπερχρήστης μπορεί να συνδεθεί. #
# Ο έλεγχος ταυτότητας με κωδικό πρόσβασης για αυτό θα απενεργοποιηθεί. #
# #
# "forced-commands-only" υπερχρήστης θα μπορεί να συνδεθεί, #
# χρησιμοποιώντας έλεγχο ταυτότητας δημόσιου κλειδιού και #
# μόνο αν περάσει μια εντολή προς εκτέλεση. #
# Αυτό είναι χρήσιμο για τη δημιουργία αντιγράφων ασφαλείας, #
# ακόμα και όταν είναι κανονικό (δηλαδή όχι μέσω ssh) #
# απορρίφθηκε η σύνδεση υπερχρήστη. Όλες οι άλλες μέθοδοι #
# Οι έλεγχοι ταυτότητας για τον υπερχρήστη θα απενεργοποιηθούν.#
# #
Ο υπερχρήστης # "όχι" δεν μπορεί να χρησιμοποιήσει ssh για #
# Σύνδεση. #
# #
# Η προεπιλεγμένη τιμή είναι "ναι". #
# #
PermitRootLogin αρ
# #
## Πρωτόκολλο ############################################### #
# #
# Καθορίζει ποιο πρωτόκολλο πρέπει να χρησιμοποιεί το sshd. #
# Πιθανές τιμές'1' και '2' ssh1 και ssh2 #
# αντίστοιχα. Είναι δυνατή η ταυτόχρονη εγγραφή, με #
# που θα πρέπει να διαχωρίζονται με κόμμα. #
# Η προεπιλογή είναι "2.1". #
# Σημειώστε ότι η σειρά πρωτοκόλλου σε #
Η # καταχώριση δεν ορίζει προτεραιότητα, γιατί ο πελάτης επιλέγει ποιο #
# από ​​πολλά πρωτόκολλα που του προσφέρει ο διακομιστής #
# χρήση. Ο συμβολισμός "2,1" είναι ακριβώς ο ίδιος #
# εγγραφές "1,2". #
# #
Πρωτόκολλο 2
# #
## UsePAM ############################################################### ##
# #
# Ενεργοποιεί τη διεπαφή PAM (Pluggable Authentication Module) #
# διεπαφή).Εάν οριστεί σε "ναι" για όλους τους τύπους #
# έλεγχος ταυτότητας εκτός από την επεξεργασία της ενότητας συνεδρίας και λογαριασμού #
Το # PAM θα ​​χρησιμοποιήσει έλεγχο ταυτότητας με βάση #
# request-response (ChallengeResponseAuthentication και #
# PasswordAuthentication) αυθεντικοποίηση #
Το # request-response στο PAM συνήθως εκτελεί τον ίδιο ρόλο με το #
# όπως και ο έλεγχος ταυτότητας με κωδικό πρόσβασης, θα πρέπει να απενεργοποιήσετε το #
# είτε PasswordAuthentication είτε #
# ChallengeResponseAuthentication. Αξίζει να σημειωθεί ότι #
# εάν η οδηγία UsePAM είναι ενεργοποιημένη, δεν θα μπορείτε να εκτελέσετε #
# sshd ως χρήστης εκτός του root. #
# Η προεπιλεγμένη τιμή είναι "όχι". #
# #
UsePAM ναι
# #
## Έλεγχος ταυτότητας με κωδικό πρόσβασης ####################################################
# #
# Υποδεικνύει εάν επιτρέπεται ο έλεγχος ταυτότητας με χρήση #
# Κωδικός πρόσβασης. #
# Η προεπιλογή είναι "ναι". #
# #
PasswordAuthentication ναι
#
## Κλειδί κεντρικού υπολογιστή ################################################################ #
# #
# Καθορίζει το αρχείο που περιέχει το ιδιωτικό κλειδί κεντρικού υπολογιστή, #
# SSH για χρήση. Προεπιλογή /etc/ssh/ssh_host_key #
# για πρωτόκολλο ssh
και /etc/ssh/ssh_host_rsa_key και #
# /etc/ssh/ssh_host_dsa_key για πρωτόκολλο ssh2. Κόστος #
# σημειώστε ότι το sshd δεν θα χρησιμοποιήσει το αρχείο, #
# το οποίο είναι διαθέσιμο σε οποιονδήποτε άλλο εκτός από τον χρήστη. Μπορώ #
# χρήση πολλαπλών αρχείων με κλειδιά, κλειδιά "rsa1" #
# για το πρωτόκολλο ssh1 και "dsa"/"rsa" για το πρωτόκολλο ssh2. #
# #
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
# #
############################################################
########## Επιλογές πρωτοκόλλου έκδοσης 1 SSH (ssh1) #############
############################################################
# ΔΕΝ ΣΥΝΙΣΤΑΤΑΙ ανεπιφύλακτα η χρήση του πρωτοκόλλου ssh1.#
# Το πρωτόκολλο ssh2 είναι πολύ πιο ασφαλές από το ssh1 #
############################################################
# #
## KeyRegenerationInterval ####################################################
# #
# Για πρωτόκολλο ssh1 μία φορά τη συγκεκριμένη στιγμή #
# δημιουργείται αυτόματα ένα νέο προσωρινό κλειδί διακομιστή #
# (αν χρησιμοποιήθηκε). Αυτό είναι φτιαγμένο για #
# αποτρέψτε την αποκρυπτογράφηση των υποκλοπών περιόδων σύνδεσης, προκειμένου να #
# αργότερα συνδεθείτε με τις παραμέτρους αυτών των περιόδων σύνδεσης στο μηχάνημα και #
# κλέψτε τα κλειδιά. Αυτό το κλειδί δεν είναι αποθηκευμένο πουθενά (αποθηκευμένο σε #
# μνήμη τυχαίας προσπέλασης). Αυτή η οδηγία καθορίζει την περίοδο #
# "ζωή" του κλειδιού σε δευτερόλεπτα, μετά την οποία θα είναι #
# αναγεννήθηκε. Εάν η τιμή έχει οριστεί σε 0 #
# το κλειδί δεν θα αναδημιουργηθεί. #
# Η προεπιλεγμένη τιμή είναι 3600 (δευτερόλεπτα). #
# #
KeyRegenerationInterval 3600
# #
## RhostsRSAA έλεγχος ταυτότητας ################################
# #
# Υποδεικνύει εάν απαιτείται έλεγχος ταυτότητας βάσει αρχείου #
# rhosts ή /etc/hosts.equiv μαζί με επιτυχημένο #
# έλεγχος ταυτότητας κεντρικού υπολογιστή μέσω RSA. #

# Η προεπιλογή είναι "όχι". #
# #
Αριθμός ελέγχου ταυτότητας RhostsRSAA
# #
## Έλεγχος ταυτότητας RSAA #####################################
# #
# Υποδεικνύει εάν επιτρέπεται ο "καθαρός" έλεγχος ταυτότητας RSA. #
# Σχετικό μόνο για το πρωτόκολλο ssh1. #
# Η προεπιλογή είναι "ναι". #
# #
Αριθμός ελέγχου ταυτότητας RSAA
# #
## ServerKeyBits #############################################################
# #
# Καθορίζει τον αριθμό των bit στο προσωρινό κλειδί του διακομιστή για #
# πρωτόκολλο ssh1. Ελάχιστη τιμή 512. #
# Η προεπιλεγμένη τιμή είναι 1024. #
ServerKeyBits 1024
# #
############################################################
########### Επιλογές πρωτοκόλλου έκδοσης 2 SSH (ssh2) ############
############################################################
# #
## Ciphers ############################################################### #
# #
# Καθορίζει τους αλγόριθμους κρυπτογράφησης που επιτρέπονται για #
# πρωτόκολλο ssh2. Πολλοί αλγόριθμοι θα πρέπει να είναι #
# χωρίζεται με κόμμα. Υποστηριζόμενοι αλγόριθμοι: #
# "3des-cbc", "aes128-cbc", "aes192-cbc", "aes256-cbc", #
# "aes128-ctr", "aes192-ctr", "aes256-ctr", "arcfour128", #
# "arcfour256", "arcfour", "blowfish-cbc", "cast128-cbc". #

# aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128, #
# arcfour256,arcfour,aes192-cbc,aes256-cbc,aes128-ctr, #
# aes192-ctr, aes256-ctr #
# #
## Έλεγχος ταυτότητας βάσει κεντρικού υπολογιστή ################################
# #
# Υποδεικνύει εάν επιτρέπεται ο έλεγχος ταυτότητας βάσει #
# έλεγχος του οικοδεσπότη. Έλεγχος rhost ή /etc/hosts.equiv, #
# και εάν είναι επιτυχής, από κοινού με επιτυχή επικύρωση #
# δημόσιο κλειδί, επιτρέπεται η πρόσβαση. Αυτή η οδηγία #
Το # είναι το ίδιο με την οδηγία ελέγχου ταυτότητας RhostsRSAA και #
# ισχύει μόνο για πρωτόκολλο ssh2. #
# Η προεπιλογή είναι "όχι". #
# #
Αριθμός ελέγχου ταυτότητας βάσει κεντρικού υπολογιστή
# #
## MAC ################################################################ ####
# #
# Υποδεικνύει έναν έγκυρο αλγόριθμο MAC (μήνυμα #
# κωδικός ελέγχου ταυτότητας). Χρησιμοποιείται αλγόριθμος MAC #
# ssh2 για προστασία της ακεραιότητας των δεδομένων. Αρκετά #
Ο αριθμός των αλγορίθμων πρέπει να διαχωριστεί με κόμμα. #
# Οι προεπιλογές είναι: #
# hmac-md5,hmac-sha1, [email προστατευμένο],hmac-ripemd160, #
# hmac-sha1-96,hmac-md5-96 #
# #
## PubkeyAuthentication ###################################
# #
# Υποδεικνύει εάν επιτρέπεται ο έλεγχος ταυτότητας βάσει #
# δημόσιο κλειδί. Σχετικό μόνο για το πρωτόκολλο ssh2. #
# Η προεπιλογή είναι "ναι". #
# #
PubkeyAuthentication ναι
############################################################
#################### Επιλογές GSSAPI #########################
############################################################
# #
############# Ισχύει μόνο για το πρωτόκολλο ssh2 ###########
# #
## GSSAPIA έλεγχος ταυτότητας ##################################
# #
# Υποδεικνύει εάν επιτρέπεται ο έλεγχος ταυτότητας χρήστη στο #
# με βάση το GSSAPI. Η προεπιλογή είναι "όχι", δηλ. απαγορευμένος. #
# #
## GSSAPIKeyExchange ########################################################
# #
# Υποδεικνύει εάν επιτρέπεται η ανταλλαγή κλειδιών με βάση το #
#GSSAPI. Η ανταλλαγή κλειδιών GSSAPI δεν βασίζεται στο #
# κλειδιά ssh κατά την επαλήθευση της ταυτότητας του κεντρικού υπολογιστή. #
# Προεπιλογή "όχι" π.χ. η ανταλλαγή απαγορεύεται. #
# #
## GSSAPICCleanupCredentials ###############################
# #
# Υποδεικνύει εάν θα καταστρέφεται αυτόματα #
# Προσαρμοσμένη κρυφή μνήμη διαπιστευτηρίων ελέγχου ταυτότητας όταν #
# τερματίστε τη συνεδρία. #
# Προεπιλογή "ναι" π.χ. πρέπει να καταστραφούν. #
# #
## GSSAPIStrictAcceptorCheck ##############################
# #
# Υποδεικνύει πόσο αυστηρός πρέπει να είναι ο έλεγχος #
# ταυτότητα πελάτη κατά τον έλεγχο ταυτότητας μέσω GSSAPI. #
# Μια τιμή "ναι" προκαλεί τον έλεγχο ταυτότητας του πελάτη στο #
# την υπηρεσία υποδοχής λήψης στον τρέχοντα κεντρικό υπολογιστή. Σημασία "όχι" #
# επιτρέπει στον πελάτη να πραγματοποιήσει έλεγχο ταυτότητας με οποιοδήποτε #
# του κλειδιού υπηρεσιών. #
# Η προεπιλεγμένη τιμή είναι "ναι". #
# Σημειώστε ότι η ρύθμιση της τιμής σε "όχι" μπορεί να #
# λειτουργεί μόνο με σπάνιες βιβλιοθήκες Kerberos GSSAPI. #
# #
############################################################
################### Επιλογές Kerberos ########################
############################################################
# #
## KerberosAuthentication ####################################################
# #
# Υποδεικνύει εάν απαιτείται ο κωδικός πρόσβασης που παρέχεται #
# χρήστης για έλεγχο ταυτότητας #
# επικυρώσεις (PasswordAuthentication) στο Kerberos KDC. #
# Για να χρησιμοποιήσετε αυτήν την επιλογή, ο διακομιστής χρειάζεται #
# βεβαιωθείτε ότι το KDC είναι αληθές. (Ο διακομιστής χρειάζεται ένα #
# Kerberos servtab που επιτρέπει την επαλήθευση του #
# Ταυτότητα του KDC) #
# Η προεπιλογή είναι "όχι". #
# #
## KerberosGetAFSToken ###################################
# #
# Εάν το AFS είναι ενεργό και ο χρήστης έχει λάβει ένα Kerberos 5 TGT, #
# εάν θα προσπαθήσετε να λάβετε ένα διακριτικό AFS πριν από τον χρήστη #
Το # θα αποκτήσει πρόσβαση στον αρχικό του φάκελο. #
# Η προεπιλογή είναι "όχι". #
# #
## KerberosOrLocalPasswd ########################################################
# #
# Καθορίζει τι πρέπει να κάνετε εάν ο έλεγχος ταυτότητας #
# απέτυχε μέσω Kerberos. Αν ένα #
# value = "ναι" ο κωδικός πρόσβασης θα επαληθευτεί με #
# τυχόν πρόσθετο τοπικό μηχανισμό εξουσιοδότησης, #
# για παράδειγμα /etc/passwd. #
# Η προεπιλογή είναι "ναι". #
# #
## KerberosTicketCleanup ##################################
# #
# Καθορίζει εάν θα καταστρέφεται αυτόματα το αρχείο με #
# η προσωρινή μνήμη εισιτηρίων του χρήστη όταν τελειώσει η περίοδος λειτουργίας. #
# Η προεπιλογή είναι "ναι". #
# #
############################################################
################# Επιλογές ανακατεύθυνσης ####################
############################################################
# #
## AllowAgentForwarding ###################################
# #
# Καθορίζει εάν θα επιτρέπεται ή θα απορρίπτεται η ανακατεύθυνση #
# ssh-agent"a. Η προεπιλογή είναι "ναι", δηλαδή να επιτρέπεται. #
# Σημειώστε ότι η απενεργοποίηση ανακατευθύνσεων δεν #
# αυξήστε την ασφάλεια έως ότου και οι χρήστες #
Η πρόσβαση # κελύφους δεν επιτρέπεται επειδή μπορούν πάντα να ορίσουν #
# τους δικούς σας αντιπροσώπους. #
# #
AllowAgentForwarding αρ
# #
## AllowTcpForwarding ###################################
# #
# Καθορίζει εάν θα επιτρέπεται ή θα απενεργοποιείται η ανακατεύθυνση TCP. #
# Η προεπιλογή είναι "ναι", δηλ. επιτρέπω. Αξίζει να σημειωθεί, #
# τι όπως στην περίπτωση της απενεργοποίησης AllowAgentForwarding #
# ανακατευθύνσεις δεν θα αυξήσουν την ασφάλεια εκτός και αν #
# χρήστες θα έχουν πρόσβαση στην κονσόλα, επειδή αυτοί μπορούν #
# εγκαταστήστε τους ομολόγους σας. #
# #
# #
AllowTcpForwarding αρ
# #
## GatewayPorts ###############################################################
# #
# Καθορίζει εάν θα επιτρέπεται η πρόσβαση απομακρυσμένων κεντρικών υπολογιστών σε #
# προωθημένες θύρες. Από προεπιλογή, το sshd ακούει #
# συνδέσεις σε προωθημένες θύρες μόνο σε localhost #
# διεπαφή (loopback). Δεν δίνει άλλο τηλεχειριστήριο #
# κεντρικοί υπολογιστές συνδέονται σε προωθημένες θύρες. Μπορώ #
# χρησιμοποιήστε GatewayPorts για να επιτρέψετε στο sshd να το κάνει αυτό #
# κάνω. Η οδηγία μπορεί να λάβει 3 τιμές: #
# "όχι" loopback μόνο. #
# "ναι" - τυχόν διευθύνσεις. #
# διευθύνσεις "καθορισμένες από τον πελάτη" που καθορίζονται από τον πελάτη. #
# #
Θύρες πύλης αρ
# #
## PermitOpen ##############################################################
# #
# Καθορίζει πού επιτρέπεται η προώθηση θύρας TCP. #
# Η υπόδειξη ανακατεύθυνσης πρέπει να λάβει ένα από τα #
# από ​​τις ακόλουθες φόρμες: #
# PermitOpen host:port #
# PermitOpen IPv4_addr:port #
# PermitOpen :port #
# Πολλαπλές καταχωρήσεις μπορούν να καθοριστούν χωρίζοντάς τες με κενά. #
# Το όρισμα "οποιοδήποτε" μπορεί να χρησιμοποιηθεί για την αφαίρεση όλων των #
# απαγορεύσεις στην προώθηση θυρών. Η προεπιλογή είναι οποιοδήποτε #
Επιτρέπεται # ανακατεύθυνση. #
# #
## PermitTunnel ############################################################
# #
# Υποδεικνύει εάν επιτρέπεται η ανακατεύθυνση της συσκευής συντονισμού. #
# Μπορεί να πάρει τιμές: #
# "Ναί" #
# «από σημείο σε σημείο» (3η επίπεδο δικτύου) #
# "ethernet" (2ο επίπεδο δικτύου) #
# "όχι" #
# Η τιμή "ναι" επιτρέπει ταυτόχρονα "από σημείο σε σημείο" #
# και "ethernet". Η προεπιλογή είναι "όχι". #
# #
############################################################
################## Επιλογές καταγραφής ####################
############################################################
# #
## SyslogFacility ##########################################################
# #
# Καθορίζει τον κωδικό αντικειμένου αρχείου καταγραφής για τη σύνταξη μηνυμάτων στο #
# syslogαπό sshd. Πιθανές τιμές: #
#ΔΑΙΜΟΝΑΣ#
#ΧΡΗΣΤΗΣ#
#ΑΠΘ#
#LOCAL0#
#LOCAL1#
#LOCAL2#
#LOCAL3#
#LOCAL4#
#LOCAL5#
#LOCAL6#
#LOCAL7#
# Η προεπιλογή είναι ΑΠΘ. #
# #
SyslogFacility ΑΠΘ
# #
## Επίπεδο καταγραφής ################################################################
# #
# Ορίζει το επίπεδο πολυγλωσσίας του αρχείου καταγραφής sshd. #
# Πιθανές επιλογές: #
#ΣΙΩΠΗΛΟΣ#
#ΗΣΥΧΙΑ#
#ΜΟΙΡΑΙΟΣ#
# ΛΑΘΟΣ #
#ΠΛΗΡΟΦΟΡΙΕΣ#
#ΠΟΛΥΛΟΓΟΣ#
#DEBUG#
#DEBUG1#
#DEBUG2#
#DEBUG3#
# Η προεπιλογή είναι INFO. #
# DEBUG και DEBUG
είναι ισοδύναμα μεταξύ τους. #
# DEBUG2 και DEBUG3 ορίζουν τα υψηλότερα επίπεδα εντοπισμού σφαλμάτων #
# έξοδος. Η καταγραφή με το επίπεδο DEBUG απειλεί #
# απόρρητο χρήστη και δεν συνιστάται. #
# #
ΠΛΗΡΟΦΟΡΙΕΣ LogLevel
# #
############################################################
#################### Ανακατεύθυνση X

####################
############################################################
# #
## X11Προώθηση ###########################################################
# #
# Υποδεικνύει εάν επιτρέπεται η γραφική ανακατεύθυνση #
# X11 υποσυστήματα. Μπορεί να πάρει τις τιμές "ναι" ή "όχι". #
# Η προεπιλογή είναι "όχι". #
# Προσοχή ενεργοποιώντας μια απλή ανακατεύθυνση X11 #
# ένας μεγάλος κίνδυνος τόσο για τον διακομιστή όσο και για τους πελάτες, γιατί σε #
# σε περίπτωση τέτοιας ανακατεύθυνσης προβολής διακομιστή μεσολάβησης sshd #
# δέχεται συνδέσεις από οποιαδήποτε διεύθυνση. Χρήση #
# οδηγία X11UseLocalhost για περιορισμό της πρόσβασης σε #
# στον διακομιστή ανακατεύθυνσης "x". Αξίζει να σημειωθεί ότι #
Η # απενεργοποίηση της ανακατεύθυνσης δεν εγγυάται ότι #
# χρήστες δεν θα μπορούν να ανακατευθύνουν το X11 επειδή έχοντας #
# πρόσβαση κονσόλας ορίζουν πάντα τη δική τους #
# ανακατεύθυνση. Η ανακατεύθυνση X11 θα είναι #
# απενεργοποιείται αυτόματα εάν είναι ενεργοποιημένο #
# UseLogin Directive. #
# #
X11 Αρ
# #
## X11UseLocalhost ############################################################################
# #
# Υποδεικνύει εάν το sshd πρέπει να περιορίσει το εύρος #
# ανακατευθύνει το X11 σε μια τοπική διεύθυνση βρόχου ή #
Το # θα πρέπει να επιτρέπει οποιεσδήποτε διευθύνσεις. Προεπιλεγμένο sshd #
# "φυτεύει" τον διακομιστή ανακατεύθυνσης X11 σε μια τοπική διεύθυνση #
# και ορίζει το τμήμα της μεταβλητής περιβάλλοντος DISPLAY που αντιστοιχεί σε #
# για όνομα κεντρικού υπολογιστή ως "localhost". Αξίζει να σημειωθεί ότι #
# ορισμένοι παλιοί πελάτες X11 ενδέχεται να μην λειτουργούν με αυτά τα #
# Ρυθμίσεις. Η προεπιλογή είναι "ναι", δηλ. ανακατεύθυνση #
# περιορίζεται σε localhost, το "no" απενεργοποιεί #
# περιορισμοί. #
# #
## XAuthLocation ###########################################################
# #
# Καθορίζει την πλήρη διαδρομή προς το πρόγραμμα xauth. #
# Προεπιλογή /usr/bin/X11/xauth. #
# #
## X11DisplayOffset ###########################################################################
# #
# Καθορίζει τον αριθμό της πρώτης οθόνης που είναι διαθέσιμη για sshd στο #
# ως ανακατεύθυνση X11. Αυτό γίνεται για να #
# έτσι ώστε τα ανακατευθυνόμενα x να μην τέμνονται με το #
#πραγματικό. Η προεπιλογή είναι 10. #
# #
X11DisplayOffset10
# #
############################################################
################### Διάφορες επιλογές ########################
############################################################
# #
## LoginGraceTime ##########################################################
# #
# Χρόνος μετά τον οποίο ο διακομιστής αποσυνδέεται #
# του χρήστη εάν δεν μπόρεσε να το κάνει ικανοποιητικά #
# Σύνδεση. Η τιμή 0 επιτρέπει στο χρήστη να #
# συνδεθείτε επ' αόριστον. Η προεπιλογή είναι 120 (δευτερόλεπτα). #
# #
LoginGraceTime 120
# #
## MaxAuthTries ############################################################
# #
# Καθορίζει τον μέγιστο αριθμό προσπαθειών ελέγχου ταυτότητας, #
# επιτρέπεται ανά σύνδεση. #
# Μόλις ο αριθμός των αποτυχημένων προσπαθειών ξεπεράσει το μισό #
# δεδομένη τιμή, όλες οι επόμενες προσπάθειες θα είναι #
# να καταγραφεί. Η προεπιλεγμένη τιμή είναι 6. #
# #
MaxAuth Δοκιμές 4
# #
## MaxSessions #############################################################
# #
# Καθορίζει τον μέγιστο αριθμό ταυτόχρονων συνδέσεων #
# για κάθε σύνδεση δικτύου. Η προεπιλογή είναι 10. #
# #
MaxSessions1
# #
## MaxStartups ############################################################
# #
# Καθορίζει τον μέγιστο αριθμό ταυτόχρονων #
# μη εξουσιοδοτημένες συνδέσεις σε sshd. Αν #
# ο αριθμός των συνδέσεων θα υπερβεί το όριο όλα τα επιπλέον #
# συνδέσεις θα επαναφερθούν μέχρι το τρέχον #
# συνδέσεις δεν θα ολοκληρωθούν ή η επιτυχής εξουσιοδότηση, #
# ή τη λήξη της χρονικής περιόδου που καθορίζεται στην οδηγία #
# ΣύνδεσηGraceTime. Η προεπιλεγμένη τιμή είναι 10. #
# Επιπλέον, μπορείτε να ορίσετε πρώιμη επαναφορά σύνδεσης, #
# καθορίζοντας ως παράμετρο τρεις τιμές που χωρίζονται με #
# άνω και κάτω τελεία "start:rate:full" (για παράδειγμα: "10:30:60"). #
# sshd θα απορρίψει την προσπάθεια σύνδεσης με πιθανότητα ίση με #
# "rate/100" (δηλαδή 30% στο παράδειγμά μας) εάν ήδη #
# υπάρχει «έναρξη» (10) μη εξουσιοδοτημένων συνδέσεων. #
# Η πιθανότητα αυξάνεται γραμμικά και τυχόν προσπάθειες #
# συνδέσεις θα απορριφθούν εάν ο αριθμός των μη εξουσιοδοτημένων #
Ο αριθμός των συνδέσεων θα φτάσει στο "γεμάτο" (60). #
# #
## Συμπίεση ##############################################################
# #
# Υποδεικνύει εάν είναι ενεργοποιημένη η συμπίεση δεδομένων. Μπορεί #
Η συμπίεση # "ναι" επιτρέπεται. #
Η # "καθυστερημένη" συμπίεση καθυστερεί έως το #
# ο χρήστης δεν επαληθεύτηκε με επιτυχία. #
Η συμπίεση # "όχι" είναι απενεργοποιημένη. #
# Η προεπιλογή είναι "καθυστερημένη". #
# #
## UseLogin ###############################################################
# #
# Υποδεικνύει εάν η σύνδεση πρέπει να χρησιμοποιείται για #
# διαδραστική συνεδρία. Η προεπιλεγμένη τιμή είναι "όχι". #
# Σημειώστε ότι η σύνδεση δεν έχει χρησιμοποιηθεί ποτέ για #
# εκτέλεση απομακρυσμένων εντολών. Σημειώστε επίσης ότι #
# χρησιμοποιώντας τη σύνδεση θα καταστήσει αδύνατη τη χρήση #
# X11Προώθηση οδηγιών επειδή η σύνδεση δεν ξέρει τι #
# θα έπρεπε να κάνει με xauth. Εάν περιλαμβάνεται η οδηγία #
# UsePrivilegeSeparation θα απενεργοποιηθεί μετά από #
# εξουσιοδότηση. #
# #
## UsePrivilegeSeparation #################################
# #
# Καθορίζει εάν το sshd θα πρέπει να μοιράζεται δικαιώματα. Αν ναι #
# τότε πρώτα θα δημιουργηθεί ένα μη προνομιούχο παιδί #
# διαδικασία για εισερχόμενη κίνηση δικτύου. Μετά από ένα επιτυχημένο #
# εξουσιοδότηση θα δημιουργήσει μια άλλη διαδικασία με προνόμια #
# του συνδεδεμένου χρήστη. Ο κύριος σκοπός του χωρισμού #
# προνόμια για την αποτροπή παραβιάσεων πρόσβασης. #
# Η προεπιλεγμένη τιμή είναι "ναι". #
# #
UsePrivilegeSeparation ναι
# #
## StrictModes ############################################################
# #
# Καθορίζει εάν το sshd πρέπει να ελέγχει τις λειτουργίες πρόσβασης και #
# ιδιοκτησία φακέλων και αρχείων χρήστη πριν από #
# αφήστε τον χρήστη να συνδεθεί. Αυτό συμβαίνει συνήθως γιατί #
# αρχάριοι συχνά κάνουν τα αρχεία τους εγγράψιμα #
# όλα στη σειρά. Η προεπιλογή είναι "ναι". #
# #
StrictModes ναι
# #
## AcceptEnv ################################################################
# #
# Υποδεικνύει ποιες μεταβλητές περιβάλλοντος μεταβιβάζονται #
Το # θα γίνει αποδεκτό από τον πελάτη. Δείτε την επιλογή SendEnv στον πελάτη. #
# Πρέπει να σημειωθεί ότι η μετάβαση μεταβλητών είναι δυνατή μόνο #
# για το πρωτόκολλο ssh2. Οι μεταβλητές καθορίζονται με το όνομα, #
Μπορούν να χρησιμοποιηθούν # χαρακτήρες μπαλαντέρ ('*' και '?'). Μπορείτε να καθορίσετε #
# πολλές μεταβλητές χωρίζονται με κενό ή χωρίζονται σε #
# πολλαπλές γραμμές AcceptEnv. πρόσεχε λίγο #
# μεταβλητές περιβάλλοντος μπορούν να χρησιμοποιηθούν για παράκαμψη #
# απαγορευμένα περιβάλλοντα χρήστη. Χρησιμοποίησε αυτό #
# οδηγία προσεκτικά. Κανένα από προεπιλογή #
# μεταβλητές περιβάλλοντος που ορίζονται από το χρήστη δεν γίνονται αποδεκτές. #
# #
AcceptEnv LANG LC_*
# #
## PermitUserEnvironment ##################################
# #
# Υποδεικνύει εάν το sshd πρέπει να δέχεται #
# ~/.ssh/environment and the περιβάλλον= επιλογή στο #
# ~/.ssh/authorized_keys. Η προεπιλογή είναι "όχι". Κόστος #
# παρατηρήστε ότι η άδεια για την επεξεργασία του περιβάλλοντος μπορεί να δώσει #
# χρήστες τη δυνατότητα να παρακάμπτουν περιορισμούς σε ορισμένα #
# διαμορφώσεις που χρησιμοποιούν μηχανισμούς όπως #
# LD_PRELOAD. #
# #
# #
## PidFile ################################################################ #
# #
# Καθορίζει το αρχείο που περιέχει το αναγνωριστικό διεργασίας #
# (αναγνωριστικό διεργασίας, PID) του δαίμονα SSH. #
# Προεπιλογή /var/run/sshd.pid #
# #
# #
## PrintLastLog ############################################################
# #
# Καθορίζει εάν το sshd θα εμφανίζει την ημερομηνία και την ώρα #
# τελευταία περίοδος σύνδεσης όταν ο χρήστης είναι διαδραστικά συνδεδεμένος. #
# Η προεπιλογή είναι "ναι". #
# #
PrintLastLog ναι
# #
## PrintMotd ###############################################################
# #
# Καθορίζει εάν το sshd θα πρέπει να εκτυπώνει /etc/motd #
# όταν ο χρήστης είναι διαδραστικά συνδεδεμένος. Σε μερικά #
# συστήματα (π.χ. Ubuntu) αυτές οι πληροφορίες είναι επίσης #
# εκτυπώθηκε στην οθόνη από το κέλυφος. #
# Η προεπιλεγμένη τιμή είναι "ναι". #
# #
PrintMotd αρ
# #
## Πανό ############################################### ###
# #
# Υποδεικνύει ποιο αρχείο περιέχει το banner κειμένου που #
Το # θα εμφανιστεί στον χρήστη ΠΡΙΝ τη διαδικασία #
# αυθεντικοποίηση. Η επιλογή είναι διαθέσιμη μόνο για το πρωτόκολλο ssh2.#
# Δεν εμφανίζει τίποτα από προεπιλογή. #
# Στο Ubuntu, το issue.net περιέχει τη φράση Ubuntu (έκδοση), #
# για παράδειγμα, για το καρμικό είναι "Ubuntu 9.10". Μπορώ #
# χρησιμοποιείται για να αποπροσανατολίσει πιθανούς επιτιθέμενους, #
# γράφοντας εκεί για παράδειγμα "My D-Link Interet Router" =) #
# #
Banner /etc/issue.net
# #
## ChrootDirectory ##########################################################
# #
# Εάν έχει καθοριστεί, παρέχει τη διαδρομή που θα #
# chrooted μετά τον έλεγχο ταυτότητας. Το μονοπάτι και όλα αυτά #
# περιεχόμενα πρέπει να ταιριάζει με αυτά που ανήκουν #
# φακέλους υπερχρήστη και δεν είναι προσβάσιμοι σε #
# αναρτήσεις από άλλους χρήστες. #
# Η διαδρομή μπορεί να περιέχει ετικέτες που αντικαθίστανται σε #
# διαδικασία ελέγχου ταυτότητας: #
Το # %% αντικαθίσταται από το κυριολεκτικό "%" #
Το # %h αντικαθίσταται από τον αρχικό κατάλογο #
# έλεγχος ταυτότητας χρήστη #
Το # %u αντικαθίσταται από το όνομα του χρήστη που ελέγχεται #
# φάκελος chroot θα πρέπει να περιέχει όλα τα απαραίτητα αρχεία και #
# φακέλους για την περίοδο λειτουργίας χρήστη. Για διαδραστικό #
Απαιτούνται τουλάχιστον # συνεδρίες: #
# κέλυφος, συνήθως sh #
# βασικές συσκευές στο /dev, όπως: #
# null, zero, stdin, stdout, stderr, τυχαίο και tty #
# για μια περίοδο λειτουργίας δεδομένων χρησιμοποιώντας sftp κανένα #
# προηγμένες ρυθμίσειςδεν χρειάζεται αν χρησιμοποιείται #
# εσωτερική διαδικασία του διακομιστή sftp. Δείτε το υποσύστημα για #
# περισσότερες πληροφορίες. Από προεπιλογή, το chroot δεν εκτελείται. #
# #
## ForceCommand ############################################################
# #
# Προκαλεί την εκτέλεση της καθορισμένης εντολής. Αγνοεί #
# τυχόν εντολές που δίνονται από τον πελάτη ή γράφονται στο #
# ~/.ssh/rc. Η εντολή καλείται από το χρήστη #
# κοχύλια με την επιλογή -c. Κατάλληλο για εκτόξευση κελύφους, #
# εντολές ή υποσυστήματα. Πιο χρήσιμο εσωτερικό μπλοκ #
# αγώνας. Η εντολή που στάλθηκε αρχικά από τον πελάτη αποθηκεύεται #
# στη μεταβλητή περιβάλλοντος SSH_ORIGINAL_COMMAND. Αν ένα #
# καθορίστε την εντολή "internal-sftp", θα τρέξει #
# εσωτερικός διακομιστής sftp που δεν χρειάζεται επιπλέον #
# αρχεία και φάκελοι που περιγράφονται στην οδηγία ChrootDirectory. #
# #
## Υποσύστημα ##############################################################
# #
# Καθορίζει και διαμορφώνει ένα εξωτερικό υποσύστημα (π.χ. #
# δαίμονας μεταφοράς αρχείοδαίμονας μεταφοράς). #
# Τα ορίσματα είναι όνομα και εντολή (με προαιρετικό #
# ορίσματα) που θα εκτελεστούν κατά την αίτηση #
# σε υποσυστήματα. Η εντολή sftp-server ξεκινά "sftp" #
# υποσύστημα μεταφοράς αρχείων. Επιπλέον, μπορείτε να καθορίσετε #
# ως υποσύστημα "internal-sftp" που θα εκτελείται #
# εσωτερικός διακομιστής sftp. Αυτό μπορεί να απλοποιήσει πολύ #
# ρύθμιση σε περίπτωση χρήσης της οδηγίας #
# ChrootDirectory Δεν υπάρχουν υποσυστήματα από προεπιλογή #
# δεν κλήθηκε. Σχετικό μόνο για το πρωτόκολλο ssh2. #
# #
#Υποσύστημα sftp /usr/lib/openssh/sftp-server #
# #
############################################################
##################### Μπλοκ αντιστοίχισης ##########################
############################################################
# #
# Μεταφέρθηκε ειδικά στο τέλος του αρχείου για να γίνει πιο βολικό #
# γράψτε Κανόνες αγώνα. #
#MadKox. #
# #
# Η οδηγία Match είναι η αρχή της υπό όρους #
# ΟΙΚΟΔΟΜΙΚΟ ΤΕΤΡΑΓΩΝΟ. Εάν πληρούνται όλα τα κριτήρια που καθορίζονται στη γραμμή #
# Ταίριασμα, οι οδηγίες στις επόμενες γραμμές του μπλοκ εκτελούνται,#
# που σας επιτρέπει να παρακάμψετε τις τιμές των καθολικών οδηγιών αρχείων #
# sshd_config για την περίπτωση που αποτελεί κριτήριο οδηγίας #
# αγώνας. Όλες οι γραμμές μετά τη γραμμή # θεωρούνται μπλοκ.
# με το κριτήριο (Γραμμή αντιστοίχισης) μέχρι την επόμενη γραμμή αντιστοίχισης #
# ή μέχρι το τέλος του αρχείου. Αντιστοίχιση της οδηγίας όρισμα ένα ή #
# καταχωρήσεις πολλαπλών ζευγών κριτηρίων. Πιθανοί τύποι εγγραφής: #
#Χρήστης#
#Ομάδα#
#Πλήθος#
#Διεύθυνση#
# Οι εγγραφές μπορούν να περιέχουν και τις δύο μεμονωμένες τιμές #
# (π.χ. User=user) και πολλαπλές τιμές, #
Το # χωρίζεται με κόμματα (User=user1,user2). Μπορούν επίσης #
# να χρησιμοποιηθούν κανονικές εκφράσεις που περιγράφονται στο #
# ενότητα PATTERNS του ssh_config. Συμμετοχές στα κριτήρια #
# Η διεύθυνση μπορεί να περιέχει διευθύνσεις σε συμβολισμό CIDR #
# (Μήκος διεύθυνσης/μάσκας, π.χ. "192.0.2.0/24" ή #
# "3ffe:ffff::/32"). Αξίζει να σημειωθεί ότι η παρουσίαση #
# το μήκος της μάσκας πρέπει να ταιριάζει με τη διεύθυνση και επίσης #
Το # long/short για διεύθυνση δεν θα λειτουργήσει. #
# Οι οδηγίες αντιστοίχισης μπορούν να χρησιμοποιούν μόνο #
# ένα συγκεκριμένο σύνολο οδηγιών: #
# AllowTcpForwarding #
#Πανό#
#ChrootDirectory#
#ForceCommand#
#GatewayPorts#
# GSSAPIA έλεγχος ταυτότητας #
# Έλεγχος ταυτότητας βάσει κεντρικού υπολογιστή #
#KbdInteractiveAuthentication#
#KerberosAuthentication#
#MaxAuthTries#
#MaxSessions#
#PasswordAuthentication#
# Ανοιχτή άδεια #
# PermitRootLogin #
#RhostsRSAAauthentication#
# RSAA έλεγχος ταυτότητας #
#X11DisplayOffset#
#X11Προώθηση#
#X11UseLocalHost#

Αμέσως μια μικρή παρατήρηση για τη διαμόρφωση, απενεργοποιεί τη δυνατότητα σύνδεσης μέσω ssh ως χρήστης root, οπότε αν " ερασιτέχνης"Αλλάξτε τη ρύθμιση PermitRootLogin σε ναι

Για να αντιγράψετε τις παραπάνω ρυθμίσεις στον υπολογιστή σας unix
Μεταβείτε στον κατάλογο όπου είναι αποθηκευμένο το αρχείο διαμόρφωσης sshd_config

Sudo cd /etc/ssh

Εφόσον δημιουργήσαμε ένα αντίγραφο ασφαλείας του αρχείου sshd_config, θα το διαγράψουμε

sudo rm sshd_config

Ακόμα στον κατάλογο /etc/ssh, αντιγράψτε το παραπάνω αρχείο ρυθμίσεων ssh από τον ιστότοπο itautsors,

sudo wget http://website/sshd_config

Επανεκκινήστε τον δαίμονα

επανεκκίνηση της υπηρεσίας sudo ssh

Βεβαιωθείτε ότι ο δαίμονας SSH εκτελείται

Ψ-Α | grep sshd

Κάτι τέτοιο θα δούμε.

<какой то номер>? 00:00:00 sshd

Εάν δεν υπάρχει γραμμή, τότε ο δαίμονας SSH δεν εκτελείται,

Ελέγξτε εάν οι εισερχόμενες συνδέσεις ακούνε:

Sudo ss -lnp | grep sshd

Σε απάντηση παίρνουμε

0 128:::22:::* χρήστες:(("sshd",16893,4)) 0 128 *:22 *:* χρήστες:(("sshd",16893,3))

Εάν υπάρχουν περισσότερες από μία γραμμές, τότε ο δαίμονας SSH ακούει σε περισσότερες από μία θύρες, εάν όχι μία, πρέπει να καθορίσετε τουλάχιστον μία θύρα, και στις δύο περιπτώσεις πρέπει να επιστρέψετε και να επεξεργαστείτε το αρχείο διαμόρφωσης

Ας προσπαθήσουμε να συνδεθείτε με τοπικός υπολογιστής(δηλαδή, πηγαίνουμε από τον ίδιο υπολογιστή στον οποίο ρυθμίσαμε τον διακομιστή ssh, ας πούμε, τον αρχικό έλεγχο), (θυμηθείτε ότι η θύρα μας δεν είναι τυπική 8022):

ssh -v localhost -p 8022

Θα εμφανιστούν πληροφορίες εντοπισμού σφαλμάτων και θα σας ζητηθεί να εισαγάγετε έναν κωδικό πρόσβασης.
Μετά από μια επιτυχημένη σύνδεση, για έξοδο, πληκτρολογήστε:

Ρυθμίστε την πρόσβαση στον OpenSSH Server με το OpenSSH Client με εξουσιοδότηση κλειδιού

Δίνεται: Ο κεντρικός υπολογιστής OpenSSH Server στον οποίο θέλουμε να συνδεθούμε μέσω ssh στο μέλλον κάτω από τον χρήστη NameUserOnOpenSSHServer από τον κεντρικό υπολογιστή OpenSSH Client. Ας δημιουργήσουμε ένα ζεύγος κλειδιών στον κεντρικό υπολογιστή από τον οποίο θέλουμε να συνδεθούμε (OpenSSH Client). Ελέγξτε εάν το ζεύγος κλειδιών έχει ήδη δημιουργηθεί.
Έχοντας συμφωνήσει με το μέρος όπου αποθηκεύεται το κλειδί (/home/NameUserOnOpenSSHClient/.ssh/id_rsa), ο κωδικός πρόσβασης μπορεί να μείνει κενός και, στη συνέχεια, κατά τον έλεγχο ταυτότητας με ένα πιστοποιητικό, δεν θα εισάγει απαλά τον κωδικό πρόσβασης, ο οποίος είναι λιγότερο ασφαλής αλλά πολύ πιο βολικό (στο παράδειγμά μας, δεν θα εισαγάγουμε τον κωδικό πρόσβασης):

ssh-keygen -t rsa -b 4096

Στον αρχικό φάκελο ~/.ssh του χρήστη από τον οποίο ξεκίνησε η δημιουργία (στο παράδειγμά μας NameUserOnOpenSSHCclient) θα εμφανιστούν αρχεία στον κεντρικό υπολογιστή OpenSSH Client:

~/.ssh/id_rsa.pubδημόσιο
~/.ssh/id_rsaιδιωτικός

Ορίστε τα δικαιώματα για το φάκελο και τα αρχεία
Δεν έχει σημασία από ποιον χρήστη θα ξεκινήσουμε τη δημιουργία στο OpenSSH Client, η μόνη σύνδεση στον απομακρυσμένο υπολογιστή OpenSSH Server θα πρέπει να βρίσκεται κάτω από αυτόν τον χρήστη, καθώς θα οριστούν τα ακόλουθα δικαιώματα (τα δικαιώματα αυτά πρέπει να οριστούν έτσι ώστε το ιδιωτικό κλειδί δεν έχει παραβιαστεί):

$ chmod 0700 ~/.ssh/ $ chmod 0600 ~/.ssh/id*

Ας μεταφέρουμε το δημόσιο κλειδί από τον πελάτη στον διακομιστή για τον χρήστη με τον οποίο χρησιμοποιούμε την εντολή ssh-copy-id στο αρχείο ~/.ssh/authorized_keys, εάν η θύρα στην οποία ακούει ο διακομιστής δεν είναι τυπική, πρέπει να το καταχωρήσετε χρησιμοποιώντας το διακόπτη -p και να το περικλείσετε σε εισαγωγικά. Το κλειδί μπορεί να μεταφερθεί με οποιονδήποτε τρόπο επειδή είναι δημόσιο.

ssh-copy-id "-p 8022 [email προστατευμένο]"

NameUserOnOpenSSHServer - αυτός είναι ο χρήστης με τον οποίο θα συνδεόμαστε στο απομακρυσμένο μηχάνημα στο μέλλον.
Στη συνέχεια, πρέπει να εισαγάγετε τον κωδικό πρόσβασης του χρήστη NameUserONOpenSSHServer και μετά την επιτυχή εξουσιοδότηση θα δούμε μια υπόδειξη:

Τώρα δοκιμάστε να συνδεθείτε στο μηχάνημα, με "ssh" [email προστατευμένο]"", και ελέγξτε: ~/.ssh/authorized_keys για να βεβαιωθείτε ότι δεν έχουμε προσθέσει επιπλέον κλειδιά που δεν περιμένατε.

Συνδεόμαστε στο Host μέσω ssh και ελέγχουμε τα περιεχόμενα του αρχείου (άλλα κλειδιά μπορούν να καταχωρηθούν σε αυτό το αρχείο, αναζητούμε τα δικά μας.) NameUserONOpenSSHServer/.ssh/authorized_keys:

sudo ssh" [email προστατευμένο]" sudo cat /home/NameUserONOpenSSHServer/.ssh/authorized_keys

Πρέπει να ταιριάζει με το περιεχόμενο του αρχείου. NameUserONOpenSSHClient/.ssh/id_rsa.pub

Sudo cat /home/NameUserONOpenSSHClient/.ssh/id_rsa.pub

sudo mcedit /etc/ssh/sshd_config

Πατήστε F7, αναζητήστε PubkeyAuthentication, RSAAuthentication, AuthorizedKeysFile
οι γραμμές δεν πρέπει να σχολιάζονται / ορίζονται οι παράμετροι (έλεγχος):

# να επιτρέπεται η χρήση κλειδιών RSA Έλεγχος ταυτότητας RSAA ναι # εάν χρησιμοποιείτε SSH1 δεν είναι επιθυμητό # να επιτρέπεται η εξουσιοδότηση με χρήση κλειδιών PubkeyAuthentication yes # Η διαδρομή όπου θα βρίσκονται τα κλειδιά, με την οποία κάθε χρήστης μπορεί να συνδέσει το δικό του αρχείο στον κατάλογό του. AuthorizedKeysFile %h/.ssh/authorized_keys

Κάντε επανεκκίνηση του διακομιστή SSH

επανεκκίνηση της υπηρεσίας sudo ssh

Ορίζουμε τα δικαιώματα στο αρχείο /home/NameUserOnOpenSSHServer/.ssh/authorized_keys

Chmod 0600 ~/.ssh/authorized_keys

Βγαίνουμε από την κονσόλα OpenSSHServer, προσπαθούμε να συνδεθούμε από τον πελάτη στον διακομιστή χρησιμοποιώντας ένα πιστοποιητικό, εισάγουμε τη γραμμή και πρέπει να μπούμε στην κονσόλα OpenSSHServer χωρίς να εισάγουμε κωδικό πρόσβασης (εάν δεν εισαγάγατε κωδικό πρόσβασης κατά τη δημιουργία κλειδιών)

ssh [email προστατευμένο]

Μέρος 2ο.

Πριν ξεκινήσουμε, ας δημιουργήσουμε έναν νέο χρήστη με δικαιώματα root.

Καθορίστε τα δικαιώματα για τον δοκιμαστικό χρήστη με την εντολή

usermod -a -G sudo test

Για να επαληθεύσετε ότι ο δοκιμαστικός χρήστης έχει προστεθεί στην ομάδα sudo, μπορείτε να εκτελέσετε την ακόλουθη εντολή:


Τώρα θα διαμορφώσουμε την απομακρυσμένη πρόσβαση στον διακομιστή μέσω ssh (γραμμή εντολών), όπως στο τοπικό δίκτυο, καθώς και μέσω Διαδικτύου

Εγκαταστήστε το ssh

sudo apt-get εγκατάσταση openssh-server

Μετά την εγκατάσταση, πρέπει να διαμορφώσουμε την ασφάλεια σύνδεσης και την άμεση πρόσβαση. Ας πάμε στο αρχείο ρυθμίσεων

sudo nano /etc/ssh/sshd_config

Από προεπιλογή, το ssh χρησιμοποιεί τη θύρα 22. Ας την αλλάξουμε σε μια μη τυπική, αυτό θα αυξήσει την ασφάλεια της πρόσβασής μας. Ας αλλάξουμε τη θύρα για παράδειγμα σε 2200

Κατά τη σύνδεση μέσω ssh, ο διακομιστής μας θα απαιτεί ένα κλειδί RSA αντί για έναν κωδικό πρόσβασης, όχι έναν κωδικό πρόσβασης. Για να μην συμβεί αυτό, εισαγάγετε "ΟΧΙ" στις παραμέτρους RSAAuthentication και PubkeyAuthentication. Επίσης, αρνούμαστε την πρόσβαση στον χρήστη ROOT, για αυτό πρέπει να αποσχολιάσετε την παράμετρο Authetication: και να εισαγάγετε "NO" στην παράμετρο PermitRootLogin

Τώρα θα καταχωρήσουμε πρόσβαση στους χρήστες

Στη γραμμή AllowUsers, καθορίζουμε τους χρήστες που χωρίζονται με ένα κενό στη φόρμα user@host, δηλαδή υποδεικνύουμε ποιος χρήστης μπορεί να συνδεθεί από πού. Μπορείτε να χρησιμοποιήσετε το *

Ας εκχωρήσουμε δικαιώματα πρόσβασης στον δοκιμαστικό χρήστη και ας τα εξετάσουμε.

    [email προστατευμένο]* - Η δοκιμή χρήστη μπορεί να συνδεθεί από οπουδήποτε
    [email προστατευμένο]* - ο δοκιμαστικός χρήστης μπορεί να συνδεθεί μόνο στο υποδίκτυο 192.168.0.0
    [email προστατευμένο]- Η δοκιμή χρήστη μπορεί να συνδεθεί μόνο από τη διεύθυνση IP 192.168.0.104
    *@192.168.0.* - όλοι οι χρήστες μπορούν να συνδεθούν ενώ βρίσκεστε στο υποδίκτυο 192.168.0.0

Μπορείτε επίσης να αρνηθείτε την πρόσβαση. ορισμένους χρήστες(για παράδειγμα, user test2), για αυτό πρέπει να εισαγάγετε παρακάτω

Ξεκινάμε

sudo /etc/init.d/ssh start

Έχουμε διαμορφώσει το ssh. Τώρα ας ανοίξουμε την πρόσβαση σε αυτό. Για να γίνει αυτό, θα ανοίξουμε την πρόσβαση στη θύρα 2200.

Στο τελευταίο μέρος, εγκαταστήσαμε το τείχος προστασίας με την εντολή arno-iptables-firewall, τώρα πρέπει να κάνουμε αλλαγές εκεί. Σύμφωνα με αυτό, θα το διαμορφώσουμε εκ νέου.

sudo dpkg-reconfigure arno-iptables-firewall

Η εγκατάσταση ξεκίνησε

Εισαγάγετε τη θύρα που θα ανοίξει. Μπορείτε επίσης να εισάγετε άλλες θύρες σε αυτό το παράθυρο, εάν πρέπει να ανοίξουν.

Στο επόμενο παράθυρο, εισάγουμε επίσης τη θύρα 2200.

Μόλις εισαχθούν οι θύρες, μπορείτε να πατήσετε το ENTER παντού και να επανεκκινήσετε το Τείχος προστασίας.

Μετά από αυτό, η θύρα ssh θα είναι προσβάσιμη από το δίκτυο

Για να αυξήσουμε την ασφάλεια της σύνδεσης ssh, μπορούμε να διαμορφώσουμε το βοηθητικό πρόγραμμα denyhosts. Το βοηθητικό πρόγραμμα είναι ένα σενάριο python που αναλύει το αρχείο /var/log/auth.log για εγγραφές μη εξουσιοδοτημένων προσπαθειών σύνδεσης στον διακομιστή μέσω ssh και προσθέτει τις διευθύνσεις IP από τις οποίες έγιναν αυτές οι προσπάθειες στο αρχείο /etc/hosts.deny , όπου δεν επιτρέπεται η είσοδος στο ssh.

Εγκατάσταση ανά ομάδα

sudo aptitude εγκατάσταση denyhosts

Αμέσως μετά την εγκατάσταση, το βοηθητικό πρόγραμμα θα σαρώσει το αρχείο /var/log/auth.log και θα προσθέσει τις διευθύνσεις IP από τις οποίες μαντεύτηκαν οι κωδικοί πρόσβασης στο /etc/hosts.deny. Η σάρωση θα πάρει χρόνο εάν υπάρχουν ήδη πολλές τέτοιες εγγραφές στο αρχείο /var/log/auth.log.

Μετά την εγκατάσταση, πρέπει να διορθώσετε το αρχείο διαμόρφωσης

sudo nano /etc/denyhosts.conf

Ας προσαρμόσουμε τη ρύθμιση PURGE_DENY σε 3 ώρες. Διαφορετικά, μπορούμε να αποκλείσουμε την πρόσβαση στον εαυτό μας εισάγοντας λάθος κωδικό πρόσβασης πολλές φορές.

Επίσης, για έλεγχο, πρέπει να καθορίσετε τη διεύθυνση ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗγια να στείλετε ειδοποιήσεις σχετικά με ανεπιτυχείς προσπάθειες πρόσβασης στον διακομιστή:

ADMIN_EMAIL = [email προστατευμένο]αντί [email προστατευμένο]υποδείξτε την αλληλογραφία σας

Για να τεθούν σε ισχύ οι νέες ρυθμίσεις, πρέπει να επανεκκινήσετε την υπηρεσία denyhosts:

Η υπηρεσία sudo denyhosts επανεκκινεί

ΥΣΤΕΡΟΓΡΑΦΟ. Εάν πρέπει να αλλάξετε τον κωδικό πρόσβασής σας σε λογαριασμός. Εισαγάγετε την εντολή

passwd user - όπου user είναι το όνομα χρήστη

P.S.S. Εάν αντιμετωπίζετε προβλήματα με την κωδικοποίηση, ψάξτε στις ρυθμίσεις πρόγραμμα πελάτησσσ

Το περισσότερο δημοφιλές πρόγραμμαγια να εργαστείτε μέσω ssh, του προγράμματος PuttY.