خانه اینترنت اتصال به اوبونتو از طریق ssh putty. استفاده از SSH برای اتصال به سرور اوبونتو راه دور. تنظیمات کلاینت SSH

اتصال به اوبونتو از طریق ssh putty. استفاده از SSH برای اتصال به سرور اوبونتو راه دور. تنظیمات کلاینت SSH

بنابراین، در اینترنت، البته، وجود دارد مقدار زیادینمونه هایی از نصب SSH، اما این بدشانسی است 🙂 همه جزئیات در همه جا توضیح داده نمی شود و گاهی اوقات برای یک مبتدی در این شرایط آسان نیست، من خودم آن را تجربه کردم ... بنابراین، در اینجا توضیح کامل و مفصلی از نصب SSH بزرگ و قدرتمند

ابتدا، اجازه دهید SSH را روی دستگاهی که قصد اتصال به آن را داریم نصب کنیم. برای انجام این کار، در کنسول (خط فرمان، ترمینال) دستور را وارد کنید:

sudo apt-get نصب openssh-server

پس از این دستور، SSH به صورت خودکار پیدا و نصب می شود (البته باید به اینترنت عالی و قدرتمند متصل شوید). سپس باید پیکربندی کنید. تمام تنظیمات سرور ما با تغییر فایل انجام می شود /etc/ssh/sshd_config. اما ابتدا توصیه می کنم یک نسخه پشتیبان از فایل پیکربندی اصلی تهیه کنید. برای این می نویسیم:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original

اکنون فایل پیکربندی اصلی در همان دایرکتوری کپی می شود، اما قبلاً فراخوانی می شود sshd_config.original، پس از آن می توانیم با خیال راحت تمام تغییرات لازم را انجام دهیم، زیرا در هر زمان می توانیم تنظیمات اصلی را بازیابی کنیم. بنابراین ما فایل پیکربندی را برای ویرایش باز می کنیم، من آن را از طریق باز می کنم ویرایشگر نانو، به نظر من این یک ویرایشگر عالی برای کار در کنسول است.

sudo nano /etc/ssh/sshd_config

دستورالعمل های زیر را مشاهده خواهید کرد:

پورت 22 - پورتی را مشخص می کند که سرور از طریق آن به اتصال ورودی گوش می دهد. به عنوان مثال، پورت 1234 به این معنی است که اتصال به سرور در پورت 1234 امکان پذیر خواهد بود. اما استاندارد آن پورت 22 است، اگرچه من تغییر آن را توصیه می کنم، زیرا از این پورت است که "شخصیت های غیر دوستانه اینترنت فضاهای باز می کنند. ” شروع به هک کردن سرور کنید.
PermitRootLogin no - بهتر است مقدار را تنظیم کنید نه. این از ورود شما به عنوان root جلوگیری می کند.
ListenAddress مشخص می کند که ssh به کدام پروتکل/رابط گوش می دهد.
پروتکل - به شما امکان می دهد نسخه 1 یا 2 پروتکل را انتخاب کنید. پروتکل 2 توصیه می شود.
HostKey - فایل های کلیدی برای نسخه دوم پروتکل SSH
PermitEmptyPasswords خیر - رمزهای عبور خالی را ممنوع کنید، قابلیت اطمینان ضرری ندارد.
UsePrivilegeSeparation - بهترین حالت برای حفظ امنیت.
AllowUsers Goodboy - این پارامتر در پیکربندی نیست، به شما توصیه می کنم آن را اضافه کنید. Goodboy - نام کاربر شما (البته هر کسی نام خود را دارد، این فقط یک مثال است). این پارامتر فقط مجوز ورود به سیستم را تعیین می کند و فقط با این نام، ssh نه تنها برای رمز عبور، بلکه برای نام های سیستم یا استاندارد نیز پانچ می شود. به عنوان مثال، apache، www، که به دلایلی ممکن است بدون رمز عبور باشد، یا andy، bobby، anna و غیره. می توانید یک آدرس IP به نام Goodboy اضافه کنید - [ایمیل محافظت شده]- اگر مطمئن هستید که در دستگاه مشتری همیشه این آدرس بدون تغییر است. این گزینه تنها به کاربر Goodboy اجازه ورود به سیستم را می دهد و تنها در صورتی که هاست وی با میزبان مشخص شده مطابقت داشته باشد. در اصل، این البته ضروری نیست، اما پنج، حفاظت اضافی صدمه نمی زند.

تنظیماتی را که نیاز دارید مجدداً پیکربندی می‌کنیم، سپس دکمه F3 را برای ذخیره و سپس Enter را برای تأیید و F2 را برای خروج از کنسول فشار دهید.

سپس دیمون SSH را مجددا راه اندازی کنید:

sudo /etc/init.d/ssh راه اندازی مجدد

سپس می توانیم به آن وصل شویم. به عنوان یک قاعده، سرور روی لینوکس است و ماشین های کار معمولاً روی ویندوز هستند، سپس از طریق سیستم عامل ویندوز به سرور متصل می شویم. برای انجام این کار، روی دستگاهی که قصد داریم با آن متصل شویم، 2 برنامه را نصب می کنیم: بتونه- برای دسترسی به خط فرمان سرور، WinSCP- برای عملیات استاندارد راحت تر کپی، حذف، جابجایی، ایجاد پوشه ها در سرور و غیره. آخرین برنامه با رابط خود شبیه یک آنالوگ است فرمانده کل، Far manager و برنامه های مشابه. در واقع، شما می‌توانید نه تنها از WinSCP، بلکه از برنامه‌های بالا و همچنین FileZilla و سایر برنامه‌ها استفاده کنید، اما به نظر من، تنظیم و کار کردن با برنامه فعلی آسان‌تر، راحت‌تر و مشکل‌تر است. بنابراین، برای اتصال، فقط باید پورتی را که می خواهید به آن متصل شوید، به طور پیش فرض 22 در صورتی که آن را تغییر نداده اید، و سپس نام میزبان یا آدرس IP آن را مشخص کنید. از آنجایی که سرورها معمولاً روی IP های ثابت قرار می گیرند، این مشکلی ندارد.

با تشکر از توجه شما به سایت ما این شرکت متخصص فناوری اطلاعات از سال 2006 وجود دارد و خدمات برون سپاری فناوری اطلاعات را ارائه می دهد. برون سپاری، انتقال کار ضروری، اما غیر اصلی برای شرکت به سازمان دیگری است. در مورد ما، اینها عبارتند از: ایجاد، پشتیبانی و نگهداری از سایت ها، ارتقای سایت ها در موتورهای جستجو، پشتیبانی و مدیریت سرورهایی که دبیان گنو/لینوکس را اجرا می کنند.

سایت های جوملا

در عصر کنونی اطلاعات، سایت به طور واقعی حداقل به نشانه سازمان و اغلب به یکی از ابزارهای تجاری تبدیل می شود. در حال حاضر، وب سایت ها نه تنها برای سازمان ها و افراد، بلکه برای کالاها، خدمات و حتی رویدادها نیز ایجاد می شوند. امروزه این سایت نه تنها منبع تبلیغاتی برای مخاطبان بسیار زیاد است، بلکه ابزاری برای فروش و ایجاد مخاطبین جدید است. ما وب سایت هایی را با استفاده از CMS جوملا ایجاد می کنیم! این سیستم مدیریت محتوا ساده و شهودی است. این بسیار گسترده است و بنابراین، اطلاعات زیادی در مورد آن در اینترنت وجود دارد. پیدا کردن متخصصی که با جوملا کار می کند نیز آسان است. و لازم نیست راه دور بروید! متخصص فناوری اطلاعات ما در زمینه نگهداری و پشتیبانی سایت ها در جوملا مشغول است! ما تمام کارهای فنی را انجام خواهیم داد، کلیه مکاتبات با هاست و ثبت دامنه را انجام می دهیم، سایت را پر می کنیم و اطلاعات موجود در آن را به روز می کنیم. و اگرچه مدیریت جوملا آسان است، اما بصری است. اما آیا خودتان به طور مرتب کارهای لازم را در سایت انجام می دهید؟ چقدر شما را می برند؟ اگر می خواهید روی کسب و کار خود تمرکز کنید، پشتیبانی سایت خود را به ما بسپارید. ما تمام تلاش خود را برای زنده نگه داشتن سایت و سودمندی صاحب آن انجام خواهیم داد.
اگر شما یک سازمان تجاری هستید که کالاها، خدمات خود را در اینترنت تبلیغ یا به فروش می‌رسانید، فقط باید سایت خود را در موتورهای جستجو تبلیغ کنید. به هر حال، برای فروش چیزی، حداقل باید دیده شوید، در مورد آن شناخته شوید. و ما در این امر به شما کمک خواهیم کرد، سایت جوملا شما را در موتورهای جستجو معرفی خواهیم کرد. بسته به رقابت و بودجه ای که برای تبلیغ اختصاص داده شده است، سایت شما جایگاه شایسته ای در آن خواهد داشت نتایج جستجو. سایت سود شما را افزایش می دهد!

سرورهای دبیان

دیر یا زود، با تلاش برای باز بودن و شفافیت کسب و کار خود، بسیاری از شرکت ها با نیاز به اطمینان از خلوص مجوز مواجه می شوند. نرم افزار. با این حال، هزینه های هزینه های مجوز به دور از همیشه قابل قبول است، به خصوص برای مشاغل کوچک و متوسط. راه برون رفت از این وضعیت دشوار، تصمیم به تغییر فناوری منبع باز است. یکی از جهت های منبع باز، عملیات است سیستم لینوکس(لینوکس). کارمندان شرکت ما در Debian Linux (Debian Linux) تخصص دارند. این قدیمی ترین و پایدارترین توزیع است سیستم عامللینوکس. ما خدماتی را برای پیاده سازی دبیان لینوکس در سازمان، پیکربندی، نگهداری و پشتیبانی از سرورها به شما ارائه می دهیم.

اطلاع رسانی و تبلیغات

این مقاله در مورد تنظیمات دسترسی از راه دور برای سرور اوبونتو است. اصل اتصال بسیار ساده است: در سمت کلاینت از برنامه ای برای دسترسی از راه دور (به عنوان مثال Putty) استفاده می کنیم، در سمت سرور بسته OpenSSH را نصب و پیکربندی می کنیم. هنگام اتصال، مشتری مراحل مجوز را در سرور انجام می دهد و یک اتصال رمزگذاری شده بین آنها برقرار می شود. با جزئیات بیشتر، اصل عملکرد پروتکل SSH در مقاله در نظر گرفته شد.

نمودار شبکه در زیر نشان داده شده است. اتصال از راه دوربه سرور از کامپیوتر مشتری ساخته خواهد شد.

ما سرور اوبونتو را روی یک هارد دیسک خالی نصب کردیم. پس از نصب، باید رابط شبکه سرور را برای دسترسی به شبکه پیکربندی کنید. یعنی آدرس IP، netmask، دروازه پیش فرض را تنظیم کنید. اگر رابط کاربری شما از قبل پیکربندی شده است، می توانید از این مرحله رد شوید. تنظیمات رابط شبکه در فایل مشخص شده است /etc/network/interfaces. از یک ویرایشگر متن برای ویرایش استفاده کنید نانو.

وارد حالت ویرایش فایل رابط ها می شویم. ما به همه چیز زیر # رابط شبکه اصلی علاقه مندیم. AT این لحظهسرور یک آدرس IP از طریق DHCP دریافت می کند که کاملاً صحیح نیست. سرور باید یک IP ثابت داشته باشد تا تمام گره های شبکه دقیقا آدرس آن را بدانند. بیایید تنظیمات شبکه را به صورت دستی بنویسیم.

سرور من در زیر شبکه محلی 192.168.1.0/24 است. سرور به IP 192.168.1.2، ماسک 255.255.255.0، دروازه پیش فرض 192.168.1.1، آدرس سرور DNS 192.168.0.1 اختصاص داده شده است.

برای ذخیره فایل، Ctrl + X –> Y –> Enter را فشار دهید. برای اعمال تنظیمات، باید فرآیند شبکه را مجددا راه اندازی کنید. همچنین می توانید به سادگی سرور را با دستور sudo reboot راه اندازی مجدد کنید.

چک کنید (فرمان ifconfig -a) – تنظیمات اعمال شده است

همه چیز برای OpenSS آماده است که با دستورات می توان آن را از ترمینال نصب کرد

$ sudo apt-get install openssh-client

$ sudo apt-get install openssh-server

با استفاده از دستورات می توانید شروع، توقف و راه اندازی مجدد سرور SSH را کنترل کنید

$ sudo سرویس ssh توقف | شروع | راه اندازی مجدد

در واقع، شما از قبل به سرور دسترسی SSH دارید. اما برای بیشتر تنظیم دقیقیک فایل پیکربندی در /etc/ssh/sshd_config وجود دارد. دسترسی به تنظیمات فقط از زیر ریشه انجام می شود.

در سمت مشتری، ما هر برنامه ای را برای اتصال از طریق SSH دانلود می کنیم، من Putty را توصیه می کنم. برنامه فقط باید آدرس IP سرور را وارد کرده و به آن متصل شود. هنگام اتصال، نام کاربری و رمز عبور را وارد کنید.

مشترک ما شوید

با تشکر MadKox

نمونه فایل پیکربندی

# کنوانسیون ها: #
# منظور از "پیش فرض" رفتار sshd در زمانی است که #
# به یک دستورالعمل نامشخص. شایان ذکر است که در اوبونتو #
# فایل sshd_config از قبل حاوی تعدادی تنظیمات است که #
# تنظیمات پیش فرض به طور خاص برای اوبونتو هستند. #
# چنین تنظیماتی در این فایل مشخص شده است. #
# #

################ تنظیمات آدرس/پورت و غیره. ###########
############################################################
# #
## بندر ############################################### #####
# #
# پورتی برای استفاده. می توانید چندین مورد را مشخص کنید، به عنوان مثال: #
# پورت 22 #
# پورت 23 #
# پورت 24 #
# توصیه می شود از پورت غیر استاندارد استفاده کنید، زیرا #
# استاندارد اغلب توسط ربات ها برای # اسکن می شود
# "سوراخ" بالقوه. اگر # داده شود می توان آن را حذف کرد
# از طریق آدرس همچنین به پارامتر ListenAddress مراجعه کنید. #
# #
پورت 8022
# #
## گوش دادن آدرس ########################################
# #
# آدرس شبکه ای که سرور روی آن "گوش می دهد". آدرس می تواند # باشد
#اینطور بنویس:#
# میزبان ListenAddress|IPv4_addr|IPv6_addr #
# میزبان ListenAddress|IPv4_addr:port #
# ListenAdress :port #
# اگر پورت تنظیم نشده باشد، sshd به این آدرس گوش می دهد و #
# در پورت مشخص شده در گزینه Port. اگر #میشی
# از ListenAddress بدون تعیین پورت استفاده کنید سپس گزینه #
# پورت باید قبل از گزینه ListenAddress باشد. اگر نه #
# مشخص کنید، سپس به طور پیش‌فرض به همه افراد محلی گوش می‌دهد #
# آدرس ها. می توانید چندین آدرس را مشخص کنید. #
# #
## آدرس خانواده #########################################
# #
# مشخص می کند که کدام خانواده آدرس IP باید # باشد
# sshd استفاده کرد. گزینه های ممکن: #
# "هر" هر #
# "inet" (فقط IPv4) #
# "inet6" (فقط IPv6) #
# پیش فرض "هر" است. #
آدرسFamily inet
# #
## استفاده ازDNS ############################################ ##
# #
# مشخص می کند که آیا sshd باید نام میزبان و # را بررسی کند
# از این نام برای بررسی آدرس IP داده شده توسط مشتری در برابر # استفاده کنید
# دریافت شده از DNS. #

# #
############################################################
############## تنظیمات دسترسی کاربر ##############
############################################################
# #
# اجازه / اجازه نده کاربر وارد شود توسط دستورالعمل های # تعریف شده است
# DenyUsers، AllowUsers، DenyGroups و AllowGroups. #
# در همان زمان، چک از بالا به پایین در طول زنجیره می رود: #
### DenyUsers ## #
# || #
### AllowUsers ## #
# || #
### DenyGroups ## #
# || #
# ## AllowGroups ## #
# فقط نام کاربر و گروه پذیرفته می شود، عددی #
# شناسه (UserID) شناسایی نمی شود. درست #
# ضبط چندین کاربر/گروه به نوبه خود، از طریق #
# فضا. اگر به عنوان user@host نوشته شده باشد، #
# کاربر و میزبان به طور جداگانه بررسی می شوند، این اجازه می دهد تا #
# محدود کردن دسترسی به کاربران خاص با #
# میزبان خاص. شایان ذکر است که بخشنامه های #
# DenyUsers و AllowUsers به عنوان یک پارامتر #
# نام کاربری و نام DenyGroups و AllowGroups #
# گروه ها. برای اطلاعات بیشتر به PATTERNS در man ssh_config مراجعه کنید #
# اطلاعات در مورد فرم های نوشتن نام کاربری و گروه ها. #
# #
## DenyUsers ############################################
# #
# لیستی از کاربرانی که نباید توسط sshd استفاده شود. #
# پیش فرض مشخص نشده است = هیچ کس ممنوع نیست. آن ها اگر #
# یک کاربر در اینجا مشخص شده است، دسترسی ممنوع خواهد شد #
# به سرور ssh. #
# #
## AllowUsers ##############################################################
# #
# فهرست کاربرانی که sshd ممکن است استفاده کند، #

# حداقل یک کاربر مشخص شده، دسترسی ssh به سرور #
# فقط در اختیار اوست. #
# #
## DenyGroups ##########################################
# #
# لیستی از GROUP که نباید توسط sshd استفاده شود. #
# به طور پیش فرض مشخص نشده = هیچ گروهی ممنوع نیست. #
#یعنی اگر حداقل یک گروه مشخص شده باشد، کاربران، #
# عضو این گروه از دسترسی به ssh # محروم خواهند شد
# سرور. #
# #
## AllowGroups ###########################################
# #
# لیستی از GROUP که sshd ممکن است استفاده کند. #
# به طور پیش فرض مشخص نشده = همه مجاز هستند. آن ها اگر #
# حداقل یک گروه مشخص شده است، سپس فقط آن کاربران#
# که حاوی آن است اجازه دسترسی به سرور ssh را خواهد داشت.#
# #
############################################################
######### گزینه های تشخیص وضعیت اتصال ###########
############################################################
# #
## TCPKeepAlive ########################################
# #
# نشان می دهد که آیا سیستم باید پیام های TCP را برای مشتری ارسال کند یا خیر.
# برای حفظ اتصال. اگر این بسته ها را ارسال کنید،#
# می توانید قطع اتصال را تعریف کنید. با این حال، این نیز #
# به این معنی است که اتصال را می توان قطع کرد اگر #
# قطعی لحظه ای در مسیریابی و #
# برخی افراد این را بسیار آزاردهنده می دانند. از سوی دیگر، اگر #
# جلسه روی سرور نمی تواند چنین پیام هایی ارسال کند #
# برای مدت نامحدود، تخم ریزی کاربران "شبح"،#
# و بلعیدن منابع سرور. مقدار پیش فرض "بله"،#
#یعنی چنین پیام هایی ارسال کنید برای غیرفعال کردن ارسال #
# از چنین پیام هایی باید روی "نه" تنظیم شود. قبلا این #
# گزینه KeepAlive نام داشت. شایان ذکر است که #
# راه های امن تری برای بررسی وضعیت وجود دارد #
# اتصال (به زیر مراجعه کنید). #
# #
TCPKeepAlive بله
# #
## ClientAliveCountMax ###################################
# #
# تعداد پیام‌هایی را برای کلاینت‌هایی که sshd # تنظیم می‌کنند
# پشت سر هم بدون دریافت هیچ پاسخی از # ارسال می کند
# مشتری. در صورت رسیدن به آستانه و #
# کلاینت هرگز پاسخ نداد sshd با سقط کردن ارتباط کلاینت را قطع می کند #
# جلسه ssh. شایان ذکر است که استفاده از چنین #
# پیام اساساً با دستورالعمل TCPKeepAlive متفاوت است. #
# پیام‌ها به/از مشتریان به صورت رمزگذاری شده ارسال می‌شوند.
# کانال و بنابراین جعل نمی شوند. پیام های مشابه #
# TCPKeepAlive جعل شده است. مشتری مکانیزم زنده#
# به ویژه در مواردی که سرور و کلاینت نیاز به #
# بدانید چه زمانی اتصال غیرفعال شد. # پیش فرض
مقدار # 3 است. در مورد ClientAliveInterval #
# تنظیم شده است
5 و ClientAliveCountMax باقی مانده توسط #
# به طور پیش‌فرض، کلاینت‌هایی که پاسخگو نیستند تقریباً # قطع می‌شوند
# بعد از 45 ثانیه این دستورالعمل فقط برای # کار می کند
# پروتکل ssh2. #
# #
## ClientAliveInterval ###################################
# #
# فاصله زمانی را بر حسب ثانیه تنظیم می کند. اگر در عرض #
# در این فاصله هیچ ارتباطی با مشتری وجود نداشت، sshd #
# پیامی را از طریق یک کانال رمزگذاری شده ارسال می کند، #
# درخواست پاسخ از مشتری. پیش فرض 0 است، یعنی #
# چنین پیام هایی نفرستید. این دستورالعمل کار می کند #
# فقط برای پروتکل ssh2. #
# #
############################################################
################ گزینه های احراز هویت عمومی ################
############################################################
# #
## Authorized KeysFile ####################################
# #
# فایلی را که حاوی کلیدهای عمومی است، مشخص می کند، #
# برای احراز هویت کاربران استفاده می شود. بخشنامه #
# ممکن است حاوی نشانگرهایی به شکل %M باشد که در # جایگزین شده اند.
# فرآیند ایجاد ارتباط. #
# نشانگرهای زیر تعریف شده اند: #

# بنابراین، فایل کلید را می توان به عنوان # تعیین کرد.
# مسیر مطلق (یعنی یک فایل مشترک با کلیدها) و #
# به صورت پویا بسته به کاربر (یعنی مطابق با #
# فایل برای هر کاربر). #
# پیش فرض ".ssh/authorized_keys" است. #
# مثال برای یک فایل کلید در پوشه اصلی کاربر: #
# AuthorizedKeysFile %h/.ssh/authorized_key #
# مثال برای یک فایل عمومی: #
# AuthorizedKeysFile /etc/ssh/authorized_keys #
# برای اطلاعات بیشتر به توضیحات فایل authorized_keys مراجعه کنید #
# اطلاعات #
# #
## ChallengeResponseAuthentication ##########################
# #
# نشان می دهد که آیا احراز هویت پرسش و پاسخ مجاز است یا خیر #
# (احراز هویت چالش-پاسخ). همه پشتیبانی می شوند #
# انواع احراز هویت از login.conf پیش‌فرض «بله»، #
#یعنی اجازه. #
# به دلایل امنیتی در اوبونتو غیرفعال شده است. #
# #
ChallengeResponseAuthentication no
# #
## HostbasedUsesNameFromPacketOnly #########################
# #
# مشخص می کند که سرور چگونه باید نام میزبان مشتری را دریافت کند #
# با یک طرح احراز هویت مبتنی بر تأیید میزبان. #
# اگر هنگام بررسی سازگاری در فایل ها روی "بله" تنظیم شود #
# ~/.shosts، ~/.rhosts یا /etc/hosts.equiv sshd خواهد بود #
# از نام میزبان ارائه شده توسط مشتری استفاده کنید. #
# (انجام رزولوشن معکوس DNS) اگر روی "no" تنظیم شود#
# sshd نام را از خود اتصال TCP حل می کند. #
# پیش فرض "خیر" است. #
# #
## نادیده گرفتنRhosts #############################################################
# #
# غیرفعال کردن استفاده از فایل های rhosts و .shosts #
# در طول احراز هویت مبتنی بر میزبان. #

# فایل های /etc/hosts.equiv و /etc/ssh/shosts.equiv هنوز # هستند
# استفاده می شود. #
# پیش فرض "بله" است. #
# #
IgnoreRhosts بله
# #
## نادیده گرفتن هاست های کاربر شناخته شده ###########################################################
# #
# مشخص می کند که آیا sshd باید نام های کاربری را نادیده بگیرد #
# فایل "میزبان های شناخته شده" ~/.ssh/hosts_known در حال پیشرفت #
# احراز هویت بر اساس تأیید میزبان #
# (RhostsRSAAAuthentication یا HostbasedAuthentication). #
# پیش فرض "خیر" است. #
# #
## Permit BlacklistedKeys #################################
# #
# نشان می دهد که آیا sshd باید کلیدهای فهرست شده در # را بپذیرد یا خیر
# لیست سیاه به عنوان در معرض خطر (معروف به خطر #
# کلید (به ssh-vulnkey مراجعه کنید)). اگر روی "بله" # تنظیم شود
# تلاش برای احراز هویت با چنین کلیدهایی به سیستم وارد می شود #
# وارد شوید و اگر مقدار "خیر" باشد، پذیرفته می شود تلاش #
# احراز هویت رد خواهد شد. #
# پیش فرض "خیر" است. #
# #
## PermitEmptyPasswords ##################################
# #
# اگر احراز هویت رمز عبور مجاز است، #
# نشان می دهد که آیا ورود با رمز عبور خالی امکان پذیر است یا خیر. #
# پیش فرض "خیر" است. #
# #
PermitEmptyPasswords no
# #
## PermitRootLogin #######################################
# #
# نشان می دهد که آیا ورود ssh به عنوان superuser مجاز است یا خیر #
# (ریشه). می تواند مقادیر را بگیرد: #
# "بله" ابرکاربر می تواند وارد شود. اعمال میشود #
# طرح احراز هویت جهانی فعلی. #
# #
ابرکاربر # "بدون رمز عبور" می تواند وارد شود. #
# احراز هویت رمز عبور برای آن غیرفعال خواهد شد. #
# #
# superuser "forced-commands-only" قادر به ورود به سیستم خواهد بود، #
# با استفاده از احراز هویت کلید عمومی و #
# فقط در صورتی که دستوری را برای اجرا ارسال کند. #
# این برای پشتیبان گیری مفید است، #
# حتی در حالت عادی (یعنی نه از طریق ssh) #
ورود # superuser رد شد. همه روش های دیگر #
# احراز هویت برای ابرکاربر غیرفعال خواهد شد.#
# #
ابرکاربر # "نه" نمی تواند از ssh برای # استفاده کند
# وارد شدن. #
# #
# مقدار پیش فرض مثبت است". #
# #
PermitRootLogin شماره
# #
## پروتکل ############################################ #
# #
# مشخص می کند که sshd از کدام پروتکل باید استفاده کند. #
# مقادیر ممکن'1' و '2' ssh1 و ssh2 #
# به ترتیب. امکان ضبط همزمان با #
# که باید با کاما از هم جدا شوند. #
# پیش فرض "2.1" است. #
# توجه داشته باشید که ترتیب پروتکل در #
ورودی # اولویتی را تعیین نمی کند، زیرا مشتری انتخاب می کند کدام #
# از چندین پروتکل ارائه شده توسط سرور به او #
# استفاده کنید. نماد "2،1" دقیقاً یکسان است #
# رکورد "1،2". #
# #
پروتکل 2
# #
## UsePAM ############################################ ##
# #
# رابط PAM (ماژول تأیید اعتبار قابل اتصال) را فعال می کند #
# رابط).اگر برای همه انواع روی "بله" تنظیم شود #
# احراز هویت علاوه بر پردازش جلسه و ماژول حساب #
# PAM از احراز هویت بر اساس # استفاده می کند
# درخواست-پاسخ (ChallengeResponseAuthentication و #
# احراز هویت با رمز عبور) احراز هویت #
# درخواست-پاسخ در PAM معمولاً همان نقش # را ایفا می کند.
#همانند احراز هویت رمز عبور، باید # را غیرفعال کنید
# یا رمز عبور احراز هویت یا #
# ChallengeResponseAuthentication. شایان ذکر است که #
# اگر دستورالعمل UsePAM فعال باشد، نمی توانید # را اجرا کنید
# sshd به عنوان کاربری غیر از روت. #
# مقدار پیش فرض است". #
# #
UsePAM بله
# #
## تصدیق رمز عبور #################################
# #
# نشان می دهد که آیا احراز هویت با استفاده از # مجاز است یا خیر
# کلمه عبور. #
# پیش فرض "بله" است. #
# #
رمز عبور بله
#
## کلید میزبان ############################################# #
# #
# فایل حاوی کلید میزبان خصوصی را مشخص می کند، #
# SSH برای استفاده. پیش‌فرض /etc/ssh/ssh_host_key #
# برای پروتکل ssh
و /etc/ssh/ssh_host_rsa_key و #
# /etc/ssh/ssh_host_dsa_key برای پروتکل ssh2. هزینه های #
# توجه داشته باشید که sshd از فایل استفاده نمی کند، #
# که برای هر کسی غیر از کاربر در دسترس است. می توان #
# استفاده از چندین فایل با کلیدها، کلیدهای "rsa1" #
# برای پروتکل ssh1 و "dsa"/"rsa" برای پروتکل ssh2. #
# #
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
# #
############################################################
########## گزینه های پروتکل SSH نسخه 1 (ssh1) #############
############################################################
# اکیداً استفاده از پروتکل ssh1 توصیه نمی شود.
# پروتکل ssh2 بسیار امن تر از ssh1 است.
############################################################
# #
## بازه زمانی ایجاد مجدد کلید ################################
# #
# برای پروتکل ssh1 یک بار در یک زمان خاص #
# یک کلید موقت سرور جدید به طور خودکار تولید می شود
# (در صورت استفاده از آن). این برای # ساخته شده است
# جلوگیری از رمزگشایی جلسات رهگیری شده، به منظور #
# بعداً با پارامترهای این جلسات وارد دستگاه شوید و #
#کلیدها را بدزدید. این کلید در هیچ جا ذخیره نمی شود (ذخیره شده در #
# حافظه دسترسی تصادفی). این دستورالعمل دوره # را مشخص می کند
# "عمر" کلید در چند ثانیه، پس از آن # خواهد شد
# بازسازی شد. اگر مقدار روی 0 # تنظیم شود
# کلید بازسازی نمی شود. #
# مقدار پیش فرض 3600 (ثانیه) است. #
# #
KeyRegenerationInterval 3600
# #
## RhostsRSAA احراز هویت ################################
# #
# نشان می دهد که آیا احراز هویت مبتنی بر فایل نیاز است یا خیر.
# rhost یا /etc/hosts.equiv به همراه # موفق
# احراز هویت میزبان از طریق RSA. #

# پیش فرض "خیر" است. #
# #
RhostsRSAA احراز هویت شماره
# #
## احراز هویت RSAA #####################################
# #
# نشان می دهد که آیا احراز هویت "خالص" RSA مجاز است یا خیر. #
# فقط مربوط به پروتکل ssh1 است. #
# پیش فرض "بله" است. #
# #
شماره احراز هویت RSAA
# #
## ServerKeybits ##############################################################
# #
# تعداد بیت های کلید موقت سرور را برای # مشخص می کند.
# پروتکل ssh1. حداقل ارزش 512. #
# مقدار پیش فرض 1024 است.
ServerKeyBits 1024
# #
############################################################
########### گزینه های پروتکل SSH نسخه 2 (ssh2) ############
############################################################
# #
## رمزها ############################################ #
# #
# الگوریتم های رمزگذاری مجاز برای # را مشخص می کند
# پروتکل ssh2. چندین الگوریتم باید # باشد
# با کاما از هم جدا شده است. الگوریتم های پشتیبانی شده: #
# "3des-cbc"، "aes128-cbc"، "aes192-cbc"، "aes256-cbc"، #
# "aes128-ctr"، "aes192-ctr"، "aes256-ctr"، "arcfour128"، #
# "arcfour256"، "arcfour"، "blowfish-cbc"، "cast128-cbc". #

# aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128, #
# arcfour256,arcfour,aes192-cbc,aes256-cbc,aes128-ctr, #
# aes192-ctr, aes256-ctr #
# #
## احراز هویت مبتنی بر میزبان ################################
# #
# نشان می دهد که آیا احراز هویت بر اساس # مجاز است یا خیر
# چک کردن میزبان. بررسی rhost ها یا /etc/hosts.equiv، #
# و در صورت موفقیت، با اعتبارسنجی موفق # همراه شوید
# کلید عمومی، دسترسی مجاز است. این بخشنامه #
# همان دستورالعمل احراز هویت RhostsRSAA است و #
# فقط برای پروتکل ssh2 معتبر است. #
# پیش فرض "خیر" است. #
# #
شماره احراز هویت مبتنی بر میزبان
# #
## MAC ################################################################ ####
# #
# الگوریتم MAC معتبر را نشان می دهد (پیام #
# کد هویت). الگوریتم MAC استفاده شده #
# ssh2 برای محافظت از یکپارچگی داده ها. چندین #
# الگوریتم ها باید با کاما از هم جدا شوند. #
# پیش فرض ها عبارتند از: #
# hmac-md5,hmac-sha1, [ایمیل محافظت شده],hmac-ripemd160, #
# hmac-sha1-96,hmac-md5-96 #
# #
## PubkeyAuthentication ###################################
# #
# نشان می دهد که آیا احراز هویت بر اساس # مجاز است یا خیر
# کلید عمومی. فقط برای پروتکل ssh2 مرتبط است. #
# پیش فرض "بله" است. #
# #
PubkeyAuthentication بله
############################################################
#################### گزینه های GSSAPI #########################
############################################################
# #
############# فقط برای پروتکل ssh2 قابل استفاده است ###########
# #
## GSSAPIA احراز هویت ##################################
# #
# نشان می دهد که آیا احراز هویت کاربر در # مجاز است یا خیر
# بر اساس GSSAPI. پیش فرض "نه" است، یعنی. ممنوع است. #
# #
## GSSAPIKExchange #####################################
# #
# نشان می دهد که آیا تعویض کلید بر اساس # مجاز است یا خیر
#GSSAPI. تبادل کلید GSSAPI به # متکی نیست
# کلید ssh هنگام تأیید هویت میزبان. #
# پیش‌فرض "خیر" یعنی. تعویض ممنوع #
# #
## GSSAPICCleanupCredentials ###############################
# #
# نشان می دهد که آیا به طور خودکار # نابود شود
# حافظه پنهان اعتبار احراز هویت سفارشی زمانی که #
# جلسه را تمام کنید. #
# پیش‌فرض «بله» یعنی. باید نابود شود #
# #
## GSSAPIStrictAcceptorCheck ##############################
# #
# نشان می دهد که چک چقدر باید سخت باشد #
# هویت مشتری هنگام احراز هویت از طریق GSSAPI. #
# مقدار "بله" باعث می شود مشتری در # احراز هویت
# سرویس میزبان دریافت کننده در میزبان فعلی. معنی "نه" #
# به مشتری امکان می دهد با هر # احراز هویت
# از کلید خدمات. #
# مقدار پیش فرض مثبت است". #
# توجه داشته باشید که تنظیم مقدار روی "no" می تواند #
# فقط با کتابخانه های نادر Kerberos GSSAPI کار می کند. #
# #
############################################################
################### گزینه های Kerberos ########################
############################################################
# #
## KerberosAuthentication #################################
# #
# نشان می دهد که آیا رمز عبور ارائه شده # نیاز دارد یا خیر
# کاربر برای احراز هویت #
اعتبارسنجی # (PasswordAuthentication) در Kerberos KDC. #
# برای استفاده از این گزینه، سرور به # نیاز دارد
# مطمئن شوید که KDC درست است. (سرور به یک # نیاز دارد
# Sertab Kerberos که امکان تأیید #
# هویت KDC) #
# پیش فرض "خیر" است. #
# #
## KerberosGetAFSToken ###################################
# #
# اگر AFS فعال است و کاربر Kerberos 5 TGT دریافت کرده است، #
# آیا باید سعی کنید یک توکن AFS را قبل از کاربر دریافت کنید یا نه
# به پوشه اصلی خود دسترسی خواهد داشت. #
# پیش فرض "خیر" است. #
# #
## KerberosOrLocalPasswd #########################################################
# #
# مشخص می کند که در صورت احراز هویت چه کاری انجام شود #
# از طریق Kerberos ناموفق بود. اگر یک #
# value = "بله" رمز عبور با # تأیید می شود
# هر مکانیزم مجوز محلی اضافی، #
# برای مثال /etc/passwd. #
# پیش فرض "بله" است. #
# #
## KerberosTicketCleanup #################################
# #
# مشخص می کند که آیا فایل به طور خودکار با # نابود شود یا خیر
# کش بلیط کاربر پس از پایان جلسه. #
# پیش فرض "بله" است. #
# #
############################################################
################# گزینه های تغییر مسیر ####################
############################################################
# #
## AllowAgentForwarding ##################################
# #
# مشخص می کند که آیا تغییر مسیر مجاز یا رد شود #
# ssh-agent"a. پیش فرض "بله" است، یعنی اجازه می دهد.
# توجه داشته باشید که غیرفعال کردن تغییر مسیرها #
# افزایش امنیت تا زمانی که کاربران نیز #
دسترسی # پوسته ممنوع است زیرا آنها همیشه می توانند # را تنظیم کنند
# همتایان نماینده خودتان. #
# #
AllowAgentForwarding no
# #
## AllowTcpForwarding ###################################
# #
# تعیین می کند که آیا تغییر مسیر TCP مجاز یا غیرفعال شود. #
# پیش فرض "بله" است، یعنی. اجازه. شایان ذکر است، #
# آنچه در مورد غیرفعال کردن AllowAgentForwarding
# تغییر مسیر امنیت را افزایش نمی دهد مگر اینکه #
# کاربر به کنسول دسترسی خواهند داشت، زیرا آنها می توانند #
# همتایان خود را نصب کنید. #
# #
# #
AllowTcpForwarding no
# #
## Gateway Ports ###########################################
# #
# مشخص می کند که آیا به میزبان های راه دور اجازه دسترسی به # را بدهد یا خیر
# پورت فوروارد شده به طور پیش فرض، sshd در حال گوش دادن است #
# اتصال به پورت های فوروارد شده فقط در لوکال هاست #
# رابط (Loopback). ریموت دیگر را # نمی دهد
# هاست به پورت های فوروارد شده متصل می شوند. می توان #
# از GatewayPorts برای اجازه دادن به sshd برای انجام این کار استفاده کنید #
# انجام دادن. دستورالعمل می تواند 3 مقدار داشته باشد: #
# فقط حلقه بک "نه". #
# "بله" - هر آدرسی. #
# آدرس های "clientspecified" که توسط مشتری مشخص شده است. #
# #
شماره پورت های دروازه
# #
## PermitOpen ##########################################
# #
# محل ارسال پورت TCP را مشخص می کند. #
# راهنمایی تغییر مسیر باید یکی از # را داشته باشد
# از فرم های زیر: #
# PermitOpen host:port #
# PermitOpen IPv4_addr:port #
# PermitOpen :port #
# ورودی های متعدد را می توان با جدا کردن آنها با فاصله مشخص کرد. #
# آرگومان "any" را می توان برای حذف همه # استفاده کرد
# ممنوعیت ارسال پورت. پیش فرض هر # است
# تغییر مسیر مجاز است. #
# #
## تونل مجوز #########################################
# #
# نشان می دهد که آیا تغییر مسیر دستگاه تنظیم مجاز است یا خیر. #
# می تواند مقادیر را بگیرد: #
# "آره" #
# "نقطه به نقطه" (سوم لایه شبکه) #
# "اترنت" (دومین لایه شبکه) #
#نه#
# مقدار "بله" اجازه می دهد "نقطه به نقطه" در همان زمان #
# و "اترنت". پیش فرض "نه" است. #
# #
############################################################
################### گزینه های ثبت نام #######################################
############################################################
# #
## SyslogFacility ################################################################
# #
# کد شی log را برای نوشتن پیام به # مشخص می کند.
# syslogاز sshd مقادیر ممکن: #
#اهریمن، دیو#
#کاربر#
#AUTH#
#LOCAL0#
#LOCAL1#
#LOCAL2#
#LOCAL3#
#LOCAL4#
#LOCAL5#
#LOCAL6#
#LOCAL7#
# پیش فرض AUTH است. #
# #
SyslogFacility AUTH
# #
## LogLevel ############################################
# #
# سطح پرحرفی گزارش sshd را تنظیم می کند. #
# گزینه های ممکن: #
#بی صدا#
#ساکت#
#کشنده#
#خطا#
#اطلاعات#
#VERBOSE#
#اشکال زدایی#
#اشکال زدایی1#
#DEBUG2#
#DEBUG3#
# پیش فرض INFO است. #
# DEBUG و DEBUG
معادل یکدیگر هستند. #
# DEBUG2 و DEBUG3 بالاترین سطوح اشکال زدایی را تنظیم می کنند #
# خروجی ورود به سیستم با سطح DEBUG # را تهدید می کند
# حریم خصوصی کاربر و توصیه نمی شود. #
# #
اطلاعات LogLevel
# #
############################################################
#################### تغییر مسیر X

####################
############################################################
# #
## X11ارسال #################################################################
# #
# نشان می دهد که آیا تغییر مسیر گرافیکی مجاز است یا خیر.
# زیرسیستم های X11. می تواند مقادیر "بله" یا "خیر" را بگیرد. #
# پیش فرض "خیر" است. #
# توجه فعال کردن یک تغییر مسیر ساده X11 #
# یک ریسک بزرگ هم برای سرور و هم برای مشتریان، زیرا که در #
# در صورت چنین تغییر مسیری پروکسی نمایش sshd #
# اتصالات را از هر آدرسی می پذیرد. استفاده کنید #
# دستورالعمل X11UseLocalhost برای محدود کردن دسترسی به #
# به سرور تغییر مسیر "x". شایان ذکر است که #
# غیرفعال کردن تغییر مسیر تضمین نمی کند که #
# کاربر نمی توانند X11 را تغییر مسیر دهند زیرا داشتن #
# دسترسی به کنسول که آنها همیشه خودشان را تنظیم می کنند #
# redirector. تغییر مسیر X11 # خواهد بود
# در صورت فعال بودن به طور خودکار غیرفعال می شود #
# از دستورالعمل ورود استفاده کنید. #
# #
X11 شماره حمل و نقل
# #
## X11UseLocalhost ###########################################################
# #
# نشان می دهد که آیا sshd باید دامنه را محدود کند یا نه
# تغییر مسیر X11 به یک آدرس Loopback محلی، یا #
# باید به هر آدرسی اجازه دهد. sshd پیش فرض #
سرور X11 را به یک آدرس محلی "کار" می‌کند
# و بخشی از متغیر محیطی DISPLAY را مطابق با # تنظیم می کند.
# برای نام میزبان به عنوان "localhost". شایان ذکر است که #
# برخی از مشتریان قدیمی X11 ممکن است با این # کار نکنند
# تنظیمات. پیش فرض "بله" است، یعنی. تغییر مسیر #
# محدود به لوکال هاست، "نه" غیرفعال می شود #
# محدودیت های. #
# #
## XAuthLocation ###########################################################
# #
# مسیر کامل برنامه xauth را مشخص می کند. #
# پیش‌فرض /usr/bin/X11/xauth. #
# #
## X11DisplayOffset #########################################################
# #
# تعداد اولین نمایشگر موجود برای sshd را در # مشخص می کند.
# به عنوان یک تغییر مسیر X11. این کار به منظور # انجام می شود
# به طوری که x های تغییر مسیر با # تلاقی نکنند
#واقعی. پیش فرض 10 است. #
# #
X11DisplayOffset10
# #
############################################################
#################### گزینه های مختلف ########################
############################################################
# #
## LoginGraceTime #######################################
# #
# زمانی که بعد از آن سرور قطع می شود #
# کاربر اگر نتوانستند به طور رضایت بخش #
# وارد شدن. مقدار 0 به کاربر اجازه می دهد تا #
# به طور نامحدود وارد شوید. پیش فرض 120 (ثانیه) است. #
# #
LoginGraceTime 120
# #
## MaxAuthTries ########################################
# #
# حداکثر تعداد تلاش های احراز هویت را مشخص می کند، #
# برای هر اتصال مجاز است. #
# به محض اینکه تعداد تلاش های ناموفق از نصف گذشت #
# مقدار داده شده، تمام تلاش های بعدی # خواهد بود
# ثبت شود. مقدار پیش فرض 6 است. #
# #
MaxAuth Tries 4
# #
## MaxSessions #########################################
# #
# حداکثر تعداد اتصالات همزمان را مشخص می کند #
# برای هر اتصال شبکه. پیش فرض 10 است. #
# #
MaxSessions1
# #
## MaxStartups #########################################
# #
# حداکثر تعداد همزمان # را مشخص می کند
# اتصالات غیرمجاز به sshd. اگر #
# تعداد اتصالات از حد مجاز فراتر خواهد رفت # اضافی
# اتصال تا # فعلی بازنشانی خواهد شد
# اتصالات تکمیل نمی شود یا مجوز موفقیت آمیز دریافت نمی شود، #
# یا انقضای مدت زمان مشخص شده در بخشنامه #
# LoginGraceTime. مقدار پیش فرض 10 است. #
# علاوه بر این، می توانید تنظیم مجدد اتصال اولیه، #
# تعیین به عنوان پارامتر سه مقدار که با # از هم جدا شده اند
# دو نقطه "شروع: نرخ: کامل" (به عنوان مثال: "10:30:60"). #
# sshd تلاش برای اتصال را با احتمال مساوی # رد می کند.
# "نرخ/100" (یعنی 30٪ در مثال ما) اگر قبلا #
# یک "شروع" (10) از اتصالات غیرمجاز وجود دارد. #
# احتمال به صورت خطی افزایش می یابد و هر تلاشی #
در صورت تعداد #اتصالات غیرمجاز رد می شود
تعداد اتصالات به "کامل" خواهد رسید (60). #
# #
## فشرده سازی ###########################################
# #
# نشان می دهد که فشرده سازی داده ها فعال است یا خیر. شاید #
# فشرده سازی "بله" مجاز است. #
# فشرده سازی "تأخیر" تا # به تاخیر افتاد
# کاربر با موفقیت احراز هویت نشده است. #
فشرده‌سازی # "نه" غیرفعال است. #
# پیش فرض "تأخیر" است. #
# #
## استفاده از ورود #############################################
# #
# نشان می دهد که آیا لاگین باید برای # استفاده شود یا خیر
# جلسه تعاملی مقدار پیش فرض است". #
# توجه داشته باشید که لاگین هرگز برای # استفاده نشده است
# دستورات از راه دور را اجرا کنید. همچنین توجه داشته باشید که #
# استفاده از ورود، استفاده از # را غیرممکن می کند
# X11دستورالعمل‌های بازارسال زیرا ورود به سیستم نمی‌داند چه چیزی
# او باید با xauth انجام دهد. اگر بخشنامه # گنجانده شود
# UsePrivilegeSeparation بعد از # غیرفعال می شود
# مجوز. #
# #
## Use PrivilegeSeparation #################################
# #
# مشخص می کند که آیا sshd باید امتیازات را به اشتراک بگذارد یا خیر. اگر بله #
# سپس ابتدا یک کودک بی‌حساب ایجاد می‌شود #
# فرآیند برای ترافیک شبکه ورودی. پس از موفقیت #
# مجوز فرآیند دیگری با امتیازات ایجاد می کند #
# کاربر وارد شده هدف اصلی جدایی #
# امتیاز برای جلوگیری از نقض دسترسی. #
# مقدار پیش فرض مثبت است". #
# #
UsePrivilegeSeparation بله
# #
## StrictModes ##################################################################
# #
# مشخص می کند که آیا sshd باید حالت های دسترسی و # را بررسی کند
# مالکیت پوشه‌ها و فایل‌های کاربر قبل از #
# به کاربر اجازه ورود به سیستم را بدهید. این معمولاً به این دلیل است که #
# تازه کارها اغلب فایل های خود را قابل نوشتن می کنند #
# همه در یک ردیف. پیش فرض "بله" است. #
# #
StrictModes بله
# #
## AcceptEnv ###########################################
# #
# نشان می دهد که کدام متغیرهای محیطی ارسال شده اند #
# مورد قبول مشتری خواهد بود. گزینه SendEnv را در کلاینت ببینید. #
# لازم به ذکر است که عبور متغیرها فقط امکان پذیر است
# برای پروتکل ssh2. متغیرها با نام مشخص می شوند، #
می توان از # حروف عام ('*' و '?') استفاده کرد. می توانید # را مشخص کنید
# متغیرهای متعدد با فاصله از هم جدا شده یا به # تقسیم می شوند
# چند خط AcceptEnv. مراقب باشید #
می توان از # متغیرهای محیطی برای دور زدن # استفاده کرد
# محیط های کاربری ممنوعه. از این استفاده کن #
#دستورالعمل با دقت هیچ کدام به طور پیش فرض #
# متغیرهای محیطی تعریف شده توسط کاربر پذیرفته نمی شوند. #
# #
AcceptEnv LANG LC_*
# #
## PermitUserEnvironment ##################################
# #
# نشان می دهد که آیا sshd باید # را بپذیرد یا خیر
گزینه #~/.ssh/environment and the environment= در #
# ~/.ssh/authorized_keys. پیش فرض "نه" است. هزینه های #
# توجه داشته باشید که اجازه پردازش محیط را می‌دهد #
# کاربران توانایی دور زدن محدودیت ها در برخی از #
# پیکربندی با استفاده از مکانیسم هایی مانند #
# LD_PRELOAD. #
# #
# #
## PidFile ############################################# #
# #
# فایل حاوی شناسه فرآیند # را مشخص می کند
# (شناسه فرآیند، PID) دیمون SSH. #
# پیش‌فرض /var/run/sshd.pid #
# #
# #
## PrintLastLog ##################################################################
# #
# مشخص می کند که آیا sshd باید تاریخ و زمان را نمایش دهد یا خیر.
# آخرین جلسه زمانی که کاربر به صورت تعاملی وارد شده است. #
# پیش فرض "بله" است. #
# #
PrintLastLog بله
# #
## PrintMotd ###########################################
# #
# مشخص می کند که آیا sshd باید /etc/motd # را چاپ کند یا خیر
# وقتی کاربر به صورت تعاملی وارد شده است. در برخی از #
# سیستم (به عنوان مثال اوبونتو) این اطلاعات نیز # است
# توسط پوسته روی صفحه چاپ می شود. #
# مقدار پیش فرض مثبت است". #
# #
PrintMotd No
# #
## بنر ############################################ ###
# #
# نشان می دهد که کدام فایل حاوی بنر متنی است که #
# قبل از عمل به کاربر نشان داده می شود #
# احراز هویت. این گزینه فقط برای پروتکل ssh2 موجود است.#
# به طور پیش فرض چیزی را نشان نمی دهد. #
# در اوبونتو، issue.net شامل عبارت Ubuntu (نسخه)، # است.
# برای مثال، برای کارمیک "اوبونتو 9.10" است. می توان #
# مورد استفاده برای منحرف کردن مهاجمان احتمالی، #
# نوشتن در آنجا برای مثال "My D-Link Interet Router" =) #
# #
بنر /etc/issue.net
# #
## ChrootDirectory ######################################
# #
# در صورت مشخص شدن، مسیری را ارائه می دهد که #
# پس از احراز هویت کروت شد. مسیر و همه اش #
# محتوا باید با محتوای دارای # مطابقت داشته باشد
# پوشه superuser و غیر قابل دسترسی برای #
# پست توسط سایر کاربران. #
# مسیر ممکن است حاوی برچسب هایی باشد که در # جایگزین شده اند
# فرآیند احراز هویت: #
# %% با کلمه "%" # جایگزین می شود
# %h با فهرست اصلی # جایگزین می شود
# احراز هویت کاربر #
# %u با نام کاربری که احراز هویت می شود جایگزین می شود #
# پوشه chroot باید شامل تمام فایل های لازم و # باشد
# پوشه برای جلسه کاربر. برای تعامل #
حداقل # جلسه مورد نیاز است: #
# پوسته، معمولا ش #
# دستگاه های اساسی در /dev، مانند: #
# null، صفر، stdin، stdout، stderr، تصادفی و tty #
# برای یک جلسه داده با استفاده از sftp هیچ #
# تنظیمات پیشرفتهدر صورت استفاده از # لازم نیست
# فرآیند داخلی سرور sftp. مشاهده زیرسیستم برای #
# اطلاعات بیشتر. به طور پیش فرض، chroot انجام نمی شود. #
# #
## فرماندهی نیرو #########################################
# #
# باعث می شود دستور مشخص شده اجرا شود. نادیده می گیرد #
# هر دستوری که توسط مشتری داده شده یا به # نوشته شده است
# ~/.ssh/rc. دستور از کاربر # فراخوانی می شود
# پوسته با گزینه -c. مناسب برای پرتاب پوسته، #
# فرمان یا زیرسیستم. مفیدترین بلوک داخلی #
# همخوانی داشتن. دستوری که در ابتدا توسط مشتری ارسال شده است # ذخیره می شود
# در متغیر محیطی SSH_ORIGINAL_COMMAND. اگر یک #
# دستور "internal-sftp" را مشخص کنید، # اجرا می شود
# سرور sftp داخلی که نیازی به # اضافی ندارد
# فایل و پوشه شرح داده شده در دستورالعمل ChrootDirectory. #
# #
## زیر سیستم ###########################################
# #
# یک زیرسیستم خارجی را تعریف و پیکربندی می کند (به عنوان مثال #
# دیمون انتقال فایلدیمون انتقال). #
# آرگومان ها نام و فرمان هستند (با # اختیاری
# آرگومان) که در طول درخواست # اجرا می شود
# به زیرسیستم ها. دستور sftp-server "sftp" # را شروع می کند
# زیرسیستم انتقال فایل. علاوه بر این، می توانید # را مشخص کنید
# به عنوان زیرسیستم "internal-sftp" که اجرا می شود #
# سرور sftp داخلی. این می تواند بسیار ساده #
# تنظیم در صورت استفاده از دستورالعمل #
# ChrootDirectory بدون زیرسیستم به طور پیش فرض #
# تماس گرفته نشد. فقط برای پروتکل ssh2 مرتبط است. #
# #
#Subsystem sftp /usr/lib/openssh/sftp-server #
# #
############################################################
##################### بلوک مسابقه #########################
############################################################
# #
# مخصوصاً به انتهای فایل منتقل شد تا راحت تر شود #
# قوانین مسابقه را بنویسید. #
#MadKox. #
# #
# بخشنامه Match آغاز شرطی است #
# مسدود کردن. اگر تمام معیارهای مشخص شده در خط # رعایت شود
# مطابقت، دستورالعمل ها در خطوط بعدی بلوک اجرا می شوند،#
# به شما امکان می دهد مقادیر دستورالعمل های فایل جهانی را دور بزنید #
# sshd_config برای موردی که یک معیار دستورالعمل است #
# همخوانی داشتن. تمام خطوط بعد از خط # بلوک در نظر گرفته می شوند.
# با معیار (Match line) تا خط بعدی مطابقت #
# یا تا انتهای فایل. تطبیق آرگومان دستور یک یا #
# چند جفت ورودی معیار. انواع رکوردهای احتمالی: #
#کاربر#
#گروه#
#میزبان#
#نشانی#
# رکوردها می توانند حاوی هر دو مقدار واحد باشند #
# (به عنوان مثال User=user) و چندین مقدار، #
# با کاما جدا شده است (User=user1,user2). آنها همچنین می توانند #
# از عبارات منظم شرح داده شده در # استفاده شود
بخش # PATTERNS از ssh_config. ورودی در معیارهای #
# آدرس می تواند حاوی آدرس هایی در نماد CIDR # باشد
# (طول آدرس/ماسک، به عنوان مثال "192.0.2.0/24" یا #
# "3ffe:ffff::/32"). شایان ذکر است که #
# طول ماسک باید با آدرس مطابقت داشته باشد و همچنین #
# طولانی/کوتاه برای آدرس کار نخواهد کرد. #
# دستورالعمل های مطابقت فقط می توانند از # استفاده کنند
# مجموعه ای خاص از دستورالعمل ها: #
# AllowTcpForwarding #
#بنر#
#ChrootDirectory#
#فرماندهی نیرو#
#Gateway Ports#
# GSSAPIA احراز هویت #
# احراز هویت مبتنی بر میزبان #
#KbdInteractiveAuthentication#
#KerberosAuthentication#
#MaxAuthTries#
#MaxSessions#
#تأیید رمز عبور#
# مجوز باز #
# PermitRootLogin #
#RhostsRSAAAuthentication#
# احراز هویت RSAA #
#X11DisplayOffset#
#X11Forwarding#
#X11UseLocalHost#

بلافاصله یک نکته کوچک به پیکربندی، امکان ورود از طریق ssh به عنوان کاربر اصلی را غیرفعال می کند، بنابراین اگر شما " آماتور"تنظیمات PermitRootLogin را به بله تغییر دهید

برای کپی کردن تنظیمات بالا در دستگاه یونیکس خود
به دایرکتوری که فایل پیکربندی sshd_config در آن ذخیره شده است بروید

سودو سی دی /etc/ssh

از آنجایی که ما یک نسخه پشتیبان از فایل sshd_config تهیه کردیم، آن را حذف خواهیم کرد

sudo rm sshd_config

هنوز در پوشه /etc/ssh، فایل پیکربندی ssh بالا را از سایت itautsors کپی کنید.

sudo wget http://website/sshd_config

دیمون را دوباره راه اندازی کنید

سرویس sudo ssh راه اندازی مجدد

مطمئن شوید که دیمون SSH در حال اجرا است

Ps-A | grep sshd

ما چیزی شبیه به این را خواهیم دید.

<какой то номер>? 00:00:00 sshd

اگر خطی وجود نداشته باشد، دیمون SSH در حال اجرا نیست،

بررسی کنید که آیا اتصالات ورودی در حال گوش دادن هستند:

Sudo ss -lnp | grep sshd

در پاسخ می گیریم

0 128:::22:::* کاربران:(("sshd",16893,4)) 0 128 *:22 *:* کاربران:(("sshd",16893,3))

اگر بیش از یک خط وجود داشته باشد، دیمون SSH به بیش از یک پورت گوش می دهد، اگر یکی نیست، باید حداقل یک پورت را مشخص کنید، در هر دو مورد باید به عقب برگردید و فایل پیکربندی را ویرایش کنید.

بیایید سعی کنیم با آن وارد شوید کامپیوتر محلی(یعنی، ما از همان رایانه شخصی که سرور ssh را روی آن راه اندازی کرده ایم، به اصطلاح، بررسی اولیه را انجام می دهیم)، (به یاد داشته باشید که پورت ما استاندارد 8022 نیست):

ssh -v localhost -p 8022

اطلاعات اشکال زدایی نمایش داده می شود و یک اعلان برای وارد کردن رمز عبور نمایش داده می شود.
پس از اتصال موفق، برای خروج، تایپ کنید:

دسترسی به OpenSSH Server را با OpenSSH Client با مجوز کلید تنظیم کنید

با توجه به: میزبان OpenSSH Server که می خواهیم در آینده از طریق ssh به آن وارد شویم تحت نام کاربر NameUserOnOpenSSHServer از میزبان OpenSSH Client بیایید یک جفت کلید در هاست ایجاد کنیم که می خواهیم از آن وصل شویم (OpenSSH Client). بررسی کنید که آیا جفت کلید قبلاً ایجاد شده است.
پس از توافق با مکانی که کلید ذخیره می شود (/home/NameUserOnOpenSSHClient/.ssh/id_rsa)، رمز عبور می تواند خالی بماند، سپس هنگام احراز هویت با گواهی، رمز عبور را به آرامی وارد نمی کند، که امنیت کمتری دارد اما بسیار زیاد است. راحت تر (در مثال ما رمز عبور را وارد نمی کنیم):

ssh-keygen -t rsa -b 4096

در پوشه اصلی ~/.ssh کاربری که تولید تحت آن شروع شده است (در مثال ما NameUserOnOpenSSHClient) فایل ها در میزبان OpenSSH Client ظاهر می شوند:

~/.ssh/id_rsa.pubعمومی
~/.ssh/id_rsaخصوصی

مجوزها را روی پوشه و فایل ها تنظیم کنید
فرقی نمی‌کند که تحت کدام کاربری تولید را در OpenSSH Client شروع کنیم، تنها ورود به سیستم از راه دور OpenSSH Server باید تحت این کاربر باشد، زیرا حقوق زیر تنظیم می‌شوند (این حقوق باید طوری تنظیم شوند که کلید خصوصی به خطر نیفتاده است):

$ chmod 0700 ~/.ssh/ $ chmod 0600 ~/.ssh/id*

بیایید کلید عمومی را از مشتری به سرور برای کاربری که تحت آن از دستور ssh-copy-id استفاده می کنیم به فایل ~/.ssh/authorized_keys منتقل کنیم، اگر پورتی که سرور روی آن گوش می دهد استاندارد نباشد، شما باید آن را با استفاده از سوئیچ -p ثبت کنید و آن را در گیومه قرار دهید. کلید به هر طریقی قابل انتقال است زیرا عمومی است.

ssh-copy-id "-p 8022 [ایمیل محافظت شده]"

NameUserOnOpenSSHServer - این کاربری است که تحت آن در آینده وارد دستگاه راه دور خواهیم شد.
در مرحله بعد، شما باید رمز عبور کاربر NameUserONOpenSSHServer را وارد کنید، و پس از تأیید موفقیت آمیز، یک راهنمایی خواهیم دید:

اکنون سعی کنید با "ssh" وارد دستگاه شوید. [ایمیل محافظت شده]""، و بررسی کنید: ~/.ssh/authorized_keys تا مطمئن شوید کلیدهای اضافی را که شما انتظارش را نداشتید اضافه نکرده ایم.

ما از طریق ssh وارد هاست می شویم و محتویات فایل را بررسی می کنیم (کلیدهای دیگر را می توان در این فایل ثبت کرد، ما به دنبال مال خود هستیم.) NameUserONOpenSSHServer/.ssh/authorized_keys:

sudo ssh" [ایمیل محافظت شده]" sudo cat /home/NameUserONOpenSSHServer/.ssh/authorized_keys

باید با محتوای فایل مطابقت داشته باشد. NameUserONOpenSSHClient/.ssh/id_rsa.pub

سودو گربه /home/NameUserONOpenSSHClient/.ssh/id_rsa.pub

sudo mcedit /etc/ssh/sshd_config

F7 را فشار دهید، به دنبال PubkeyAuthentication، RSAAuthentication، AuthorizedKeysFile باشید.
خطوط باید بدون نظر باشند / پارامترها تنظیم شوند (بررسی کنید):

# اجازه استفاده از کلیدهای RSA احراز هویت RSAA بله # اگر از SSH1 استفاده می‌کنید، مطلوب نیست # اجازه مجوز با استفاده از کلیدها PubkeyAuthentication بله # مسیری که کلیدها در آن قرار خواهند گرفت، که هر کاربر می‌تواند با آن فایل خود را در دایرکتوری خود متصل کند. AuthorizedKeysFile %h/.ssh/authorized_keys

سرور SSH را مجددا راه اندازی کنید

سرویس sudo ssh راه اندازی مجدد

ما حقوق فایل /home/NameUserOnOpenSSHServer/.ssh/authorized_keys را تنظیم کردیم

Chmod 0600 ~/.ssh/authorized_keys

از کنسول OpenSSHServer خارج می‌شویم، سعی می‌کنیم با استفاده از یک گواهی از کلاینت به سرور وارد شوید، خط را وارد کنید و باید بدون وارد کردن رمز وارد کنسول OpenSSHServer شوید (اگر هنگام ایجاد کلیدها رمز عبور وارد نکرده‌اید)

ssh [ایمیل محافظت شده]

قسمت 2.

قبل از شروع، اجازه دهید یک کاربر جدید با حقوق ریشه ایجاد کنیم.

با دستور، حقوق کاربر آزمایشی را مشخص کنید

usermod -a -G sudo test

برای اطمینان از اینکه کاربر آزمایشی به گروه sudo اضافه شده است، می توانید دستور زیر را اجرا کنید:

اکنون دسترسی از راه دور به سرور را از طریق ssh (خط فرمان) پیکربندی می کنیم شبکه محلی، و همچنین از طریق اینترنت

ssh را نصب کنید

sudo apt-get نصب openssh-server

پس از نصب، باید امنیت اتصال و دسترسی مستقیم را پیکربندی کنیم. بریم سراغ فایل تنظیمات

sudo nano /etc/ssh/sshd_config

به طور پیش فرض، ssh از پورت 22 استفاده می کند. بیایید آن را به یک غیر استاندارد تغییر دهیم، این امنیت دسترسی ما را افزایش می دهد. به عنوان مثال پورت را به 2200 تغییر می دهیم

هنگام اتصال از طریق ssh، سرور ما به جای رمز عبور به یک کلید RSA نیاز دارد، نه رمز عبور. برای جلوگیری از این اتفاق، "NO" را در پارامترهای RSAAuthentication و PubkeyAuthentication وارد کنید. ما همچنین دسترسی به کاربر ROOT را رد می کنیم، برای این کار باید پارامتر Authetication را از حالت کامنت بردارید: و "NO" را در پارامتر PermitRootLogin وارد کنید.

اکنون دسترسی به کاربران را ثبت می کنیم

در خط AllowUsers، کاربرانی را مشخص می‌کنیم که با یک فاصله به شکل user@host از هم جدا شده‌اند، یعنی مشخص می‌کنیم کدام کاربر می‌تواند از کجا متصل شود. می توانید از * استفاده کنید

بیایید حقوق دسترسی را به کاربر آزمایشی اختصاص دهیم و آنها را بررسی کنیم.

[ایمیل محافظت شده]

همچنین می توانید دسترسی را رد کنید. کاربران خاص(به عنوان مثال، user test2)، برای این شما باید زیر را وارد کنید

راه اندازی می کنیم

sudo /etc/init.d/ssh start

ما ssh را پیکربندی کرده ایم. حالا اجازه دهید دسترسی به آن را باز کنیم. برای این کار دسترسی به پورت 2200 را باز می کنیم.

در قسمت آخر فایروال را با دستور arno-iptables-firewall نصب کردیم، حالا باید تغییراتی در آنجا ایجاد کنیم. بر این اساس آن را دوباره پیکربندی می کنیم.

sudo dpkg-reconfigure arno-iptables-firewall

راه اندازی شروع شد

پورتی که باید باز شود را وارد کنید. در صورت نیاز به باز شدن پورت های دیگر نیز می توانید در این پنجره وارد کنید.

در پنجره بعدی پورت 2200 را نیز وارد می کنیم.

هنگامی که پورت ها وارد شدند، می توانید ENTER را در همه جا فشار دهید و فایروال را مجددا راه اندازی کنید.

پس از آن، پورت ssh از شبکه قابل دسترسی خواهد بود

برای افزایش امنیت اتصال ssh، می توانیم ابزار denyhosts را پیکربندی کنیم. این ابزار یک اسکریپت پایتون است که فایل /var/log/auth.log را برای سوابق تلاش‌های غیرمجاز برای ورود به سرور از طریق ssh تجزیه و تحلیل می‌کند و آدرس‌های IP را که این تلاش‌ها از آنجا انجام شده است را به فایل /etc/hosts.deny اضافه می‌کند. ، با جایی که ورود ssh رد می شود.

نصب توسط تیم

sudo aptitude نصب denyhosts

بلافاصله پس از نصب، ابزار فایل /var/log/auth.log را اسکن می‌کند و آدرس‌های IP را که رمزهای عبور از آن حدس زده شده‌اند به /etc/hosts.deny اضافه می‌کند. اگر از قبل تعداد زیادی از این ورودی ها در فایل /var/log/auth.log وجود داشته باشد، اسکن کردن زمان می برد.

پس از نصب، باید فایل پیکربندی را تصحیح کنید

sudo nano /etc/denyhosts.conf

بیایید تنظیم PURGE_DENY را روی 3 ساعت تنظیم کنیم. در غیر این صورت می توانیم با چندین بار وارد کردن رمز عبور اشتباه، دسترسی به خود را مسدود کنیم.

همچنین برای کنترل باید آدرس را مشخص کنید پست الکترونیکبرای ارسال اعلان در مورد تلاش های ناموفق برای دسترسی به سرور:

ADMIN_EMAIL= [ایمیل محافظت شده]بجای [ایمیل محافظت شده]ایمیل خود را نشان دهید

برای اعمال تنظیمات جدید، باید سرویس denyhosts را مجددا راه اندازی کنید:

راه اندازی مجدد سرویس sudo رد می کند

P.S. در صورت نیاز به تغییر رمز عبور به حساب. دستور را وارد کنید

user passwd - جایی که user نام کاربری است

P.S.S. اگر با رمزگذاری مشکل دارید، به تنظیمات بروید برنامه مشتریهس

بیشترین برنامه محبوببرای کار از طریق ssh، برنامه PuttY.