Takže na internete, samozrejme, existuje veľké množstvo príklady inštalácie SSH, ale to je smola 🙂 nie sú všade popísané všetky detaily a niekedy to začiatočník v tejto situácii nemá ľahké, sám som to zažil ... Takže, tu je kompletný a podrobný popis inštalácie veľký a mocný SSH.

Najprv si nainštalujte SSH na stroj, ku ktorému sa plánujeme pripojiť. Ak to chcete urobiť, do konzoly (príkazový riadok, terminál) zadajte príkaz:

sudo apt-get nainštalovať openssh-server

Po tomto príkaze sa SSH automaticky nájde a nainštaluje (samozrejme, musíte sa pripojiť k skvelému a mocnému internetu). Potom musíte nakonfigurovať. Celá konfigurácia nášho servera sa vykonáva zmenou súboru /etc/ssh/sshd_config. Najprv by som však odporučil vytvoriť záložnú kópiu pôvodného konfiguračného súboru. K tomu píšeme:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original

Teraz sa pôvodný konfiguračný súbor skopíruje do rovnakého adresára, ako bol, ale už bude volaný sshd_config.original, potom môžeme bezpečne vykonať všetky potrebné zmeny, pretože kedykoľvek môžeme obnoviť pôvodné nastavenia. Takže otvoríme konfiguračný súbor na úpravu, otvorím ho cez nano editor, podla mna je to super editor na pracu v konzole.

sudo nano /etc/ssh/sshd_config

Uvidíte nasledujúce smernice:

  • Port 22 – určuje port, na ktorom bude server čakať na prichádzajúce spojenie. Napríklad port 1234 znamená, že k serveru sa bude možné pripojiť na porte 1234. Štandardný je však port 22, aj keď by som ho odporučil zmeniť, keďže práve z tohto portu „nepriateľské osobnosti internetu otvárajú priestory “začnite hackovať server.
  • PermitRootLogin nie - lepšie nastaviť na hodnotu č. To vám zabráni prihlásiť sa ako root.
  • ListenAddress určuje, na ktorom protokole/rozhraní bude ssh počúvať.
  • Protokol - umožňuje vybrať verziu protokolu 1 alebo 2. Odporúča sa protokol 2.
  • HostKey - kľúčové súbory pre druhú verziu protokolu SSH
  • PermitEmptyPasswords nie - zakážte prázdne heslá, spoľahlivosť nebolí.
  • UsePrivilegeSeparation – najlepšie ponechať zapnuté kvôli bezpečnosti.
  • AllowUsers Goodboy - tento parameter nie je v konfigurácii, odporúčam vám ho pridať. Goodboy - meno vášho používateľa (každý má svoje, samozrejme, toto je len príklad). Tento parameter nastavuje oprávnenie prihlásiť sa len a len týmto menom, ssh sa dieruje nielen pri hesle, ale aj pri systémových či štandardných menách. Napríklad apache, www, ktoré sa z nejakého dôvodu môžu ukázať ako bez hesla, alebo andy, bobby, anna atď. K menu Goodboy môžete pridať adresu IP - [chránený e-mailom]- ak ste si istý, že na klientskom počítači je to vždy táto nezmenená adresa. Táto možnosť umožní používateľovi Goodboy prihlásiť sa iba vtedy, ak sa jeho hostiteľ zhoduje so zadaným hostiteľom. V zásade to samozrejme nie je potrebné, ale päť, dodatočná ochrana neublíži.

Prekonfigurujeme tie nastavenia, ktoré potrebujete dodatočne, potom stlačte tlačidlo F3 na uloženie a potom Enter na potvrdenie a F2 na opustenie konzoly späť.

Potom reštartujte démona SSH:

sudo /etc/init.d/ssh reštartujte

Potom sa k nemu môžeme pripojiť. Server je spravidla na Linuxe a pracovné stroje sú zvyčajne na Windows, potom sa k serveru pripojíme cez OS Windows. Aby sme to dosiahli, na stroji, s ktorým sa plánujeme pripojiť, nainštalujeme 2 programy: Tmel— na prístup k príkazovému riadku servera, WinSCP- pre pohodlnejšie štandardné operácie kopírovania, odstraňovania, presúvania, vytvárania priečinkov na serveri atď. Posledný program svojim rozhraním pripomína analóg totálny veliteľ, Far manager a podobné programy. V skutočnosti môžete použiť nielen WinSCP, ale aj vyššie uvedené programy, ako aj FileZilla a ďalšie, ale podľa môjho názoru je jednoduchšie, pohodlnejšie a menej problematické nastaviť a pracovať so súčasným programom. Ak sa chcete pripojiť, stačí zadať port, ku ktorému sa chcete pripojiť, štandardne 22, ak ste ho nezmenili, a potom názov hostiteľa alebo jeho IP adresu. Keďže servery sú zvyčajne umiestnené na statických IP adresách, nie je to problém.

Ďakujeme za váš záujem o našu stránku. IT špecializovaná spoločnosť existuje od roku 2006 a poskytuje služby outsourcingu IT. Outsourcing je presun nevyhnutných, ale pre spoločnosť nepodstatných prác na inú organizáciu. V našom prípade sú to: tvorba, podpora a údržba stránok, propagácia stránok vo vyhľadávačoch, podpora a správa serverov s Debian GNU/Linux.

Stránky na Joomle

V súčasnej dobe informácií sa stránka de facto stáva prinajmenšom charakteristickým znakom organizácie a často aj jedným z obchodných nástrojov. Už teraz vznikajú webové stránky nielen pre organizácie a jednotlivcov, ale aj pre jednotlivé tovary, služby, dokonca aj podujatia. Dnes je stránka nielen zdrojom reklamy pre obrovské publikum, ale aj nástrojom na predaj a nadväzovanie nových kontaktov. Webové stránky vytvárame pomocou CMS Joomla! Tento redakčný systém je jednoduchý a intuitívny. Je veľmi rozšírený, a preto je o ňom na internete veľa informácií. Nájsť špecialistu pracujúceho s Joomlou je tiež jednoduché. A nemusíte chodiť ďaleko! Náš IT špecialista sa zaoberá údržbou a podporou stránok na Joomla! Vykonáme všetky technické práce, postaráme sa o všetku korešpondenciu s hostiteľom a registrátorom domény, naplníme stránku a aktualizujeme informácie na nej. A hoci je Joomla ľahko ovládateľná, je intuitívna. Budete však sami pravidelne vykonávať potrebné práce na stránke? Ako dlho vám budú trvať? Ak sa chcete sústrediť na svoje podnikanie, zverte podporu vašej stránky nám. Urobíme všetko, čo je v našich silách, aby stránka zostala živá a prospešná pre jej vlastníka.
Ak ste komerčná organizácia, ktorá inzeruje alebo predáva svoj tovar, služby na internete, tak vám stačí propagovať vašu stránku vo vyhľadávačoch. Veď na to, aby ste niečo predali, potrebujete byť aspoň videní, vedieť o tom. A my vám s tým pomôžeme, spropagujeme vašu Joomla stránku vo vyhľadávačoch. V závislosti od konkurencie a rozpočtu prideleného na propagáciu získa vaša stránka dôstojnú pozíciu Výsledky vyhľadávania. Stránka zvýši vaše zisky!

Servery Debianu

Skôr či neskôr, v snahe o otvorenosť a transparentnosť svojho podnikania, mnohé spoločnosti čelia potrebe zabezpečiť čistotu licencovaných softvér. Náklady na licenčné poplatky však nie sú ani zďaleka vždy prijateľné, najmä pre malých a stredných podnikateľov. Východiskom z tejto zložitej situácie je rozhodnutie prejsť na technológiu Open Source. Jedným zo smerov Open Source je prevádzka Linuxový systém(Linux). Zamestnanci našej spoločnosti sa špecializujú na Debian Linux (Debian Linux). Je to najstaršia a najstabilnejšia distribúcia operačný systém Linux. Ponúkame vám služby pre implementáciu Debian Linuxu vo vašom podniku, konfiguráciu, údržbu a podporu serverov.

Informácie a reklama

Tento článok je o nastaveniach vzdialeného prístupu pre server Ubuntu. Princíp pripojenia je veľmi jednoduchý: na strane klienta používame program na vzdialený prístup (napríklad Putty), na strane servera inštalujeme a konfigurujeme balík OpenSSH. Pri pripájaní klient prejde autorizačnou procedúrou na serveri a vytvorí sa medzi nimi šifrované spojenie. Podrobnejšie sa princíp fungovania protokolu SSH zvažoval v článku o.

Schéma siete je uvedená nižšie. Vzdialené pripojenie na server sa uskutoční z klientskeho počítača.

Nainštalovali sme Ubuntu Server na prázdny pevný disk. Po inštalácii musíte nakonfigurovať sieťové rozhranie servera na prístup k sieti. Konkrétne nastavte IP adresu, masku siete, predvolenú bránu. Ak je vaše rozhranie už nakonfigurované, môžete tento krok preskočiť. Nastavenia sieťového rozhrania sú špecifikované v súbore /etc/network/interfaces. Na úpravu použite textový editor nano.

Dostávame sa do režimu úprav súboru rozhraní. Zaujíma nás všetko nižšie # Primárne sieťové rozhranie. AT tento moment server dostane IP adresu cez DHCP, čo nie je úplne správne. Server musí mať statickú IP, aby všetky uzly v sieti presne poznali jeho adresu. Napíšme nastavenia siete ručne.

Môj server je na lokálnej podsieti 192.168.1.0/24. Server má pridelené IP 192.168.1.2, maska ​​255.255.255.0, predvolená brána 192.168.1.1, adresa servera DNS 192.168.0.1

Ak chcete súbor uložiť, stlačte Ctrl + X –> Y –> Enter. Ak chcete použiť nastavenia, musíte reštartovať sieťový proces. Môžete tiež jednoducho reštartovať server pomocou príkazu sudo reboot.

skontrolovať (príkaz ifconfig -a) – použité nastavenia

Všetko je pripravené pre OpenSS, ktorý je možné nainštalovať z terminálu pomocou príkazov

$ sudo apt-get install openssh-client

$ sudo apt-get install openssh-server

Pomocou príkazov môžete ovládať spustenie, zastavenie a reštart SSH servera

$ sudo služby ssh zastaviť | začať | reštart

V skutočnosti už máte prístup SSH na server. Ale na viac jemné ladenie existuje konfiguračný súbor v /etc/ssh/sshd_config. Prístup ku konfiguráciám sa vykonáva iba z koreňového adresára.

Na strane klienta si stiahneme ľubovoľný program na pripojenie cez SSH, odporúčam Putty. Program bude musieť zadať iba IP adresu servera a pripojiť sa k nemu. Pri pripájaní zadajte používateľské meno a heslo.


Prihláste sa na odber nášho

Ďakujem MadKox

Príklad konfiguračného súboru

# konvencie: #
# "Predvolené" znamená správanie sshd, keď #
# na nešpecifikovanú smernicu. Stojí za zmienku, že v Ubuntu #
# súbor sshd_config už obsahuje množstvo nastavení, ktoré #
# sú predvolené nastavenia špeciálne pre Ubuntu. #
# Takéto nastavenia sú špecifikované v tomto súbore. #
# #

################ Nastavenia adresy/portu atď. ############
############################################################
# #
## Port ############################################### #####
# #
# Port, ktorý sa má použiť. Môžete zadať niekoľko, napríklad: #
# Port 22 #
# Port 23 #
# Port 24 #
# Odporúča sa použiť neštandardný port, pretože #
# štandard je často skenovaný robotmi pre #
# potenciálne "diery". Ak je zadané #, možno ho vynechať
# cez adresu. Pozrite si aj parameter ListenAddress. #
# #
Port 8022
# #
## PočúvaťAdresa ###########################################
# #
# Sieťová adresa, na ktorej server „počúva“. Adresa môže byť #
#napíš takto: #
# PočúvaťAdresa hostiteľa|IPv4_addr|IPv6_addr #
# PočúvajAdresa hostiteľa|IPv4_addr:port #
# ListenAddress :port #
# Ak port nie je nastavený, sshd bude počúvať na tejto adrese a #
# na porte špecifikovanom vo voľbe Port. Ak budeš #
# použite ListenAddress bez zadania portu a potom možnosť #
# Port musí predchádzať možnosť ListenAddress. Ak nie #
# špecifikovať, potom štandardne počúva na všetkých miestnych #
# adresy. Môžete zadať viacero adries. #
# #
## AddressRodina ############################################
# #
# Určuje, ktorá skupina IP adries by mala byť #
# použil sshd. Možné možnosti: #
# „akýkoľvek“ akýkoľvek #
# "inet" (iba IPv4) #
# "inet6" (iba IPv6) #
# Predvolená hodnota je "akýkoľvek". #
AdresaFamily inet
# #
## UseDNS ############################################# # ##
# #
# Určuje, či má sshd kontrolovať názov hostiteľa a #
# použite toto meno na kontrolu IP adresy zadanej klientom oproti #
# prijaté z DNS. #

# #
############################################################
############## Nastavenia prístupu používateľa ##############
############################################################
# #
# Nechaj/nenechaj používateľa dnu je definovaná direktívami #
# DenyUsers, AllowUsers, DenyGroups a AllowGroups. #
# zároveň šek prechádza zhora nadol pozdĺž reťaze: #
# ## DenyUsers ## #
# || #
# ## AllowUsers ## #
# || #
# ## DenyGroups ## #
# || #
# ## AllowGroups ## #
# Akceptované sú iba mená používateľov a skupín, číselné #
# identifikátorov (UserID) nebolo rozpoznaných. správne #
# nahrávanie viacerých používateľov/skupín postupne cez #
# medzera. Ak je napísané ako user@host, potom #
# používateľ a hostiteľ sú kontrolovaní oddelene, čo umožňuje #
# obmedziť prístup na určitých používateľov pomocou #
# konkrétnych hostiteľov. Je potrebné pripomenúť, že smernice #
# DenyUsers a AllowUsers berú ako parameter #
# používateľské meno a názov DenyGroups a AllowGroups #
# skupiny. Pozrite si PATTERNS v man ssh_config pre viac #
# informácie o formách písania používateľských mien a skupín. #
# #
## DenyUsers #############################################
# #
# Zoznam POUŽÍVATEĽOV, ktorých by sshd NEMAL používať. #
# Predvolená hodnota nie je zadaná = nikto nie je zakázaný. Tie. ak #
# tu je zadaný používateľ, prístup bude odmietnutý #
# na ssh server. #
# #
## AllowUsers ############################################
# #
# Zoznam POUŽÍVATEĽOV, ktorí MÔŽE sshd používať, #

# je zadaný aspoň jeden používateľ, ssh prístup na server #
# je k dispozícii iba jemu. #
# #
## DenyGroups #############################################
# #
# Zoznam SKUPIN, ktoré by sshd NESMIE používať. #
# Predvolene nie je určené = žiadne skupiny nie sú zakázané. #
# t.j. ak je zadaná aspoň jedna skupina, potom používatelia, #
# členom tejto skupiny bude zamietnutý prístup k ssh #
# server. #
# #
## AllowGroups ############################################
# #
# Zoznam SKUPINY, ktoré MÔŽE použiť sshd. #
# Predvolene nie je určené = každý je povolený. Tie. ak #
# je zadaná aspoň jedna skupina, potom iba títo používatelia#
#, ktoré obsahuje, bude mať povolený prístup na ssh server.#
# #
############################################################
######### Možnosti detekcie stavu pripojenia ###########
############################################################
# #
## TCPKeepAlive ##########################################
# #
# Označuje, či má systém odosielať správy TCP klientovi #
# na udržanie spojenia. Ak odošlete tieto pakety,#
# môžete definovať prerušenie spojenia. Toto je však tiež #
# znamená, že spojenie môže byť ukončené, ak #
# chvíľkový výpadok v smerovaní a #
# Niektorým ľuďom to veľmi vadí. Na druhej strane, ak #
# relácie na serveri nemôžu odosielať takéto správy #
# naposledy na neurčito, splodí používateľov „duchov“,#
# a požierať zdroje servera. Predvolená hodnota „áno“,#
# t.j. posielať takéto správy. Ak chcete zakázať odosielanie #
Počet takýchto správ by mal byť nastavený na „nie“. Predtým toto #
# možnosť sa volala KeepAlive. Stojí za zmienku, že #
#existujú bezpečnejšie spôsoby kontroly stavu #
# pripojení (pozri nižšie). #
# #
TCPKeepAlive áno
# #
## ClientAliveCountMax #####################################
# #
# Nastaví počet správ klientom, ktorí sshd #
# posiela za sebou bez toho, aby dostal žiadnu odpoveď od #
# zákazník. Ak sa dosiahne prah a #
# klient nikdy neodpovedal sshd odpojí klienta prerušením #
# ssh relácia. Stojí za zmienku, že použitie takýchto #
# messages sa zásadne líši od smernice TCPKeepAlive. #
# Správy klientom/od klientov sa odosielajú šifrovane #
# kanál, a preto nie sú sfalšované. Rovnaké správy #
# TCPKeepAlive je sfalšovaný. Klient mechanizmu nažive#
# obzvlášť cenné v prípadoch, keď server a klient potrebujú #
# vedieť, kedy sa pripojenie stalo neaktívnym. Predvolené #
# hodnota je 3. V prípade ClientAliveInterval #
# je nastavené na
5 a ClientAliveCountMax, ktoré zanechal #
# predvolene budú klienti, ktorí neodpovedajú, odpojení približne #
# po 45 sekundách. Táto smernica funguje iba pre #
# protokol ssh2. #
# #
## ClientAliveInterval #####################################
# #
# Nastaví časový interval v sekundách. Ak do #
# v tomto intervale neprebehla žiadna komunikácia s klientom, sshd #
# odošle správu cez šifrovaný kanál, #
# vyžiadanie odpovede od klienta. Predvolená hodnota je 0, t.j. #
# neposielajte takéto správy. Táto smernica funguje #
# iba pre protokol ssh2. #
# #
############################################################
################ Všeobecné možnosti overenia ################
############################################################
# #
## AuthorizedKeysFile ######################################
# #
# Určuje súbor, ktorý obsahuje verejné kľúče, #
# sa používa na overovanie používateľov. Smernica č.
# môže obsahovať značky vo forme %M, ktoré sú nahradené v #
# proces nadviazania spojenia. #
# Sú definované nasledujúce značky: #




# Súbor kľúča teda môže byť špecifikovaný ako #
# absolútna cesta (t. j. jeden spoločný súbor s kľúčmi) a #
# dynamicky v závislosti od používateľa (t. j. podľa #
# súbor na používateľa). #
# Predvolená hodnota je „.ssh/authorized_keys“. #
# Príklad súboru kľúča v domovskom priečinku používateľa: #
# AuthorizedKeysFile %h/.ssh/authorized_key #
# Príklad pre všeobecný súbor: #
# AuthorizedKeysFile /etc/ssh/authorized_keys #
# Ďalšie informácie nájdete v popise súboru author_keys #
# informácie. #
# #
## ChallengeResponseAuthentication ##########################
# #
# Označuje, či povoliť overenie otázok a odpovedí #
# (overenie na základe výzvy a odpovede). Všetky podporované #
# typov autentifikácie z login.conf Predvolené „áno“, #
# t.j. povoliť. #
# Zakázané v Ubuntu z bezpečnostných dôvodov. #
# #
ChallengeResponseAuthentication č
# #
## HostbasedUsesNameFromPacketOnly ##########################
# #
# Určuje, ako má server získať názov hostiteľa klienta #
# so schémou autentifikácie založenou na overení hostiteľa. #
# Ak je pri kontrole konzistencie súborov nastavené na "áno" #
# ~/.shosts, ~/.rhosts alebo /etc/hosts.equiv sshd bude #
# použite názov hostiteľa poskytnutý klientom. #
# (vykonáva reverzné rozlíšenie DNS) Ak je nastavené na "nie"#
# sshd vyrieši názov zo samotného pripojenia TCP. #
# Predvolená hodnota je "nie". #
# #
## IgnoreRhosts ###########################################
# #
# Zakáže používanie súborov .rhosts a .shosts #
# počas hostiteľskej autentifikácie. #

# Súbory /etc/hosts.equiv a /etc/ssh/shosts.equiv sú stále #
Používajú sa #. #
# Predvolená hodnota je "áno". #
# #
IgnorovaťRhosts áno
# #
## IgnoreUserKnownHosts #####################################
# #
# Určuje, či má sshd ignorovať používateľské mená #
# prebieha súbor "známych hostiteľov" ~/.ssh/known_hosts #
# overenie založené na overení hostiteľa #
# (RhostsRSAAuthentication alebo HostbasedAuthentication). #
# Predvolená hodnota je "nie". #
# #
## Povoliť kľúče na čiernej listine ###################################
# #
# Označuje, či má sshd akceptovať kľúče uvedené v #
# čierna listina ako kompromitovaná (známa-kompromitovaná #
# kľúče (pozri ssh-vulnkey)). Ak je nastavené na „áno“ #
# pokusov o overenie pomocou takýchto kľúčov bude prihlásených #
# prihlásiť a akceptovať, ak je hodnota „nie“ pokusy #
# overenia budú odmietnuté. #
# Predvolená hodnota je "nie". #
# #
## PovoleniePrázdne heslá ####################################
# #
# Ak je povolená autentifikácia heslom, #
# označuje, či je možné prihlásenie s prázdnym heslom. #
# Predvolená hodnota je "nie". #
# #
PovolenieEmptyHeslá č
# #
## PermitRootLogin #########################################
# #
# Označuje, či je povolené prihlásenie ssh ako superuser #
# (koreň). Môže nadobúdať hodnoty: #
# "áno" superužívateľ sa môže prihlásiť. Platí #
# aktuálna globálna schéma autentifikácie. #
# #
# superužívateľ "bez hesla" sa môže prihlásiť. #
# Overenie hesla bude deaktivované. #
# #
# superužívateľ „vynútené iba príkazy“ sa bude môcť prihlásiť, #
# pomocou overenia verejným kľúčom a #
# iba ak odovzdá príkaz, ktorý sa má vykonať. #
# Je to užitočné pri zálohovaní, #
# aj keď normálne (t. j. nie cez ssh) #
# prihlásenie superužívateľa bolo zamietnuté. Všetky ostatné metódy #
# Autentifikácia pre superužívateľa bude zakázaná.#
# #
# „nie“ superužívateľ nemôže použiť ssh pre #
# Prihlásiť sa. #
# #
# Predvolená hodnota je "áno". #
# #
PermitRootLogin č
# #
## Protokol ############################################### #
# #
# Určuje, ktorý protokol má sshd používať. #
# Možné hodnoty'1' a '2' ssh1 a ssh2 #
# resp. Súčasné nahrávanie je možné s #
#, ktoré by mali byť oddelené čiarkami. #
# Predvolená hodnota je „2.1“. #
# Všimnite si, že poradie protokolu v #
# záznam nemá nastavenú prioritu, pretože klient si vyberie, ktorý #
# z niekoľkých protokolov, ktoré mu server ponúka #
# použite. Označenie "2,1" je úplne rovnaké #
# záznamov "1,2". #
# #
Protokol 2
# #
## UsePAM ############################################# # ##
# #
# Povolí rozhranie PAM (Pluggable Authentication Module) #
# rozhranie).Ak je nastavené na „áno“ pre všetky typy #
# overenie okrem spracovania relácie a modulu účtu #
# PAM použije overenie založené na #
# request-response (ChallengeResponseAuthentication a #
#Overenie hesla) Overenie #
# request-response v PAM zvyčajne plní rovnakú úlohu ako #
# rovnako ako overenie hesla, mali by ste vypnúť #
# buď PasswordAuthentication alebo #
# ChallengeResponseAuthentication. Stojí za zmienku, že #
# ak je povolená direktíva UsePAM, nebudete môcť spustiť #
# sshd ako iný používateľ ako root. #
# Predvolená hodnota je "no". #
# #
UsePAM áno
# #
## Overenie hesla #################################
# #
# Označuje, či je povolená autentifikácia pomocou #
# heslo. #
# Predvolená hodnota je "áno". #
# #
Overenie hesla áno
#
## HostKey ############################################# # #
# #
# Určuje súbor obsahujúci súkromný kľúč hostiteľa, #
# SSH na použitie. Predvolený /etc/ssh/ssh_host_key #
# pre protokol ssh
a /etc/ssh/ssh_host_rsa_key a #
# /etc/ssh/ssh_host_dsa_key pre protokol ssh2. Náklady #
# všimnite si, že sshd nepoužije súbor, #
#, ktorý je k dispozícii komukoľvek inému ako používateľovi. Môcť #
# použite viac súborov s kľúčmi, kľúče "rsa1" #
# pre protokol ssh1 a „dsa“/“rsa“ pre protokol ssh2. #
# #
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
# #
############################################################
########## Možnosti protokolu SSH verzie 1 (ssh1) #############
############################################################
# Dôrazne sa NEODPORÚČA používať protokol ssh1.#
# Protokol ssh2 je oveľa bezpečnejší ako ssh1 #
############################################################
# #
## KeyRegenerationInterval #################################
# #
# Pre protokol ssh1 raz v určitom čase #
# automaticky sa vygeneruje nový dočasný kľúč servera #
# (ak bol použitý). Toto je vyrobené pre #
# zabrániť dešifrovaniu zachytených relácií, aby sa #
# neskôr sa prihláste s parametrami týchto relácií do stroja a #
#ukradnúť kľúče. Tento kľúč nie je nikde uložený (uložený v #
# Náhodný vstup do pamäťe). Táto smernica špecifikuje obdobie #
# "život" kľúča v sekundách, po ktorých bude #
# regenerované. Ak je hodnota nastavená na 0 #
# kľúč sa nezregeneruje. #
# Predvolená hodnota je 3600 (sekúnd). #
# #
KeyRegenerationInterval 3600
# #
## RhostsRSAAutentifikácia #################################
# #
# Označuje, či je potrebná autentifikácia založená na súboroch #
# rhosts alebo /etc/hosts.equiv spolu s úspešným #
# autentifikácia hostiteľa cez RSA. #

# Predvolená hodnota je "nie". #
# #
RhostsRSAAOverovacie č
# #
## RSAAutentifikácia #######################################
# #
# Označuje, či je povolené „čisté“ overenie RSA. #
# Relevantné iba pre protokol ssh1. #
# Predvolená hodnota je "áno". #
# #
RSAA č
# #
## ServerKeyBits ###########################################
# #
# Určuje počet bitov v dočasnom kľúči servera pre #
# protokol ssh1. Minimálna hodnota 512. #
# Predvolená hodnota je 1024. #
ServerKeyBits 1024
# #
############################################################
########### Možnosti protokolu SSH verzie 2 (ssh2) ############
############################################################
# #
## Šifry ############################################# # #
# #
# Určuje šifrovacie algoritmy povolené pre #
# protokol ssh2. Niekoľko algoritmov by malo byť #
# oddelené čiarkami. Podporované algoritmy: #
# “3des-cbc”, “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, #
# “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “arcfour128”, #
# "arcfour256", "arcfour", "blowfish-cbc", "cast128-cbc". #

# aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128, #
# arcfour256,arcfour,aes192-cbc,aes256-cbc,aes128-ctr, #
# aes192-ctr, aes256-ctr #
# #
## HostbasedAuthentication #################################
# #
# Označuje, či je povolená autentifikácia založená na #
# kontrola hostiteľa. Kontrola rhosts alebo /etc/hosts.equiv, #
# a ak bude úspešný, spoj s úspešnou validáciou #
# verejný kľúč, prístup je povolený. Táto smernica č.
# je to isté ako smernica RhostsRSAAuthentication a #
# platné len pre protokol ssh2. #
# Predvolená hodnota je "nie". #
# #
Host-basedAuthentication č
# #
## MAC ############################################## # ####
# #
# Označuje platný algoritmus MAC (správa #
# autentifikačný kód). Použitý algoritmus MAC #
# ssh2 na ochranu integrity údajov. Niekoľko #
Počet algoritmov musí byť oddelený čiarkami. #
# Predvolené hodnoty sú: #
# hmac-md5,hmac-sha1, [chránený e-mailom],hmac-ripemd160, #
# hmac-sha1-96,hmac-md5-96 #
# #
## PubkeyAuthentication ####################################
# #
# Označuje, či je autentifikácia povolená na základe #
# verejný kľúč. Relevantné len pre protokol ssh2. #
# Predvolená hodnota je "áno". #
# #
PubkeyAuthentication áno
############################################################
#################### Možnosti GSSAPI #########################
############################################################
# #
############# Platí len pre protokol ssh2 ###########
# #
## GSSAPIAutentifikácia ##################################
# #
# Označuje, či je povolená autentifikácia používateľa na #
# založené na GSSAPI. Predvolená hodnota je "nie", t.j. zakázané. #
# #
## GSSAPIKeyExchange ######################################
# #
# Označuje, či je povolená výmena kľúčov na základe #
#GSSAPI. Výmena kľúčov GSSAPI sa nespolieha na #
# kľúče ssh pri overovaní identity hostiteľa. #
# Predvolené "nie" t.j. výmena je zakázaná. #
# #
## GSSAPICleanupCredentials ################################
# #
# Označuje, či sa má automaticky zničiť #
# vyrovnávacia pamäť vlastných overovacích poverení, keď #
# ukončiť reláciu. #
# Predvolené "áno" t.j. treba zničiť. #
# #
## GSSAPIStrictAcceptorCheck ###############################
# #
# Označuje, aká prísna by mala byť kontrola #
# identita klienta pri autentifikácii cez GSSAPI. #
# Hodnota "yes" spôsobí, že sa klient overí v #
# služba prijímajúceho hostiteľa na aktuálnom hostiteľovi. Význam "nie" #
# umožňuje klientovi autentifikáciu s ľubovoľným #
# kľúča služieb. #
# Predvolená hodnota je "áno". #
# Všimnite si, že nastavenie hodnoty na "nie" môže #
# funguje iba so zriedkavými knižnicami Kerberos GSSAPI. #
# #
############################################################
################### Možnosti Kerberos ########################
############################################################
# #
## KerberosAuthentication ##################################
# #
# Označuje, či zadané heslo # vyžaduje
# používateľ na overenie #
# (PasswordAuthentication) overenia v Kerberos KDC. #
# Ak chcete použiť túto možnosť, server potrebuje #
# uistite sa, že KDC je pravdivé. (Server potrebuje #
# Kerberos servtab, ktorý umožňuje overenie #
# Identita KDC) #
# Predvolená hodnota je "nie". #
# #
## KerberosGetAFSToken #####################################
# #
# Ak je AFS aktívny a používateľ dostal Kerberos 5 TGT, #
# či sa pokúsiť získať token AFS pred používateľom #
# pristúpi k svojmu domovskému priečinku. #
# Predvolená hodnota je "nie". #
# #
## KerberosOrLocalPasswd ###################################
# #
# Určuje, čo robiť, ak overenie #
# zlyhalo cez Kerberos. Ak #
# hodnota = "áno" heslo bude overené pomocou #
# akýkoľvek ďalší miestny autorizačný mechanizmus, #
# napríklad /etc/passwd. #
# Predvolená hodnota je "áno". #
# #
## KerberosTicketCleanup ###################################
# #
# Určuje, či sa má súbor automaticky zničiť pomocou #
# vyrovnávacia pamäť lístkov používateľa po skončení relácie. #
# Predvolená hodnota je "áno". #
# #
############################################################
################# Možnosti presmerovania ####################
############################################################
# #
## AllowAgentForwarding ###################################
# #
# Určuje, či povoliť alebo zakázať presmerovanie #
# ssh-agent"a. Predvolená hodnota je "áno", t. j. povoliť. #
# Upozorňujeme, že zakázanie presmerovaní neznamená #
# zvýšiť bezpečnosť, kým používatelia tiež #
# prístup k shellu je odmietnutý, pretože vždy môžu nastaviť #
# vaše vlastné agentské náprotivky. #
# #
AllowAgentForwarding č
# #
## AllowTcpForwarding ####################################
# #
# Určuje, či sa má povoliť alebo zakázať presmerovanie TCP. #
# Predvolená hodnota je „áno“, t.j. povoliť. Stojí za zmienku, #
# čo ako v prípade AllowAgentForwarding zakázať #
# presmerovaní nezvýši bezpečnosť, pokiaľ #
# používatelia budú mať prístup ku konzole, pretože môžu #
# nainštalujte svoje náprotivky. #
# #
# #
AllowTcpForwarding č
# #
## GatewayPorts ############################################
# #
# Určuje, či povoliť vzdialeným hostiteľom prístup k #
# presmerovaných portov. V predvolenom nastavení sshd počúva #
# pripojenia k presmerovaným portom iba na localhost #
# rozhranie (loopback). Neposkytuje ďalšie diaľkové ovládanie #
# hostitelia sa pripájajú k presmerovaným portom. Môcť #
# použite GatewayPorts, aby to umožnilo sshd #
# robiť. Direktíva môže mať 3 hodnoty: #
# Iba spätná slučka „nie“. #
# "áno" - akékoľvek adresy. #
# "clientspecified" adresy zadané klientom. #
# #
Porty brány č
# #
## PovolenieOtvoriť ##############################################
# #
# Určuje, kde je povolené presmerovanie portov TCP. #
# Tip na presmerovanie musí mať jeden z #
# z nasledujúcich foriem: #
# PovoliťOtvoriť hostiteľ:port #
# PermitOpen IPv4_addr:port #
# PermitOpen :port #
# Viaceré položky je možné zadať oddelením medzerami. #
# Argument „akýkoľvek“ možno použiť na odstránenie všetkých #
# zákazy presmerovania portov. Predvolená hodnota je ľubovoľná #
# povolené presmerovanie. #
# #
## PovolenieTunnel ############################################
# #
# Označuje, či je povolené presmerovanie zariadenia tun. #
# Môže nadobúdať hodnoty: #
# "Áno" #
# „z bodu do bodu“ (3 sieťová vrstva) #
# „ethernet“ (2. sieťová vrstva) #
# „nie“ #
# Hodnota "yes" umožňuje súčasne "point-to-point" #
# a "ethernet". Predvolená hodnota je "nie". #
# #
############################################################
################## Možnosti protokolovania ####################
############################################################
# #
## SyslogFacility #########################################
# #
# Určuje objektový kód protokolu na písanie správ do #
# syslog z sshd. Možné hodnoty: #
#DAEMON#
#USER#
#AUTH#
#LOCAL0#
#LOCAL1#
#LOCAL2#
#LOCAL3#
#LOCAL4#
#LOCAL5#
#LOCAL6#
#LOCAL7#
# Predvolená hodnota je AUTH. #
# #
SyslogFacility AUTH
# #
## LogLevel ############################################# #
# #
# Nastavuje úroveň výrečnosti protokolu sshd. #
# Možné možnosti: #
#TICHO#
#TICHO#
#FATAL#
# CHYBA #
#INFO#
#VERBOSE#
#LADENIE#
#DEBUG1#
#DEBUG2#
#DEBUG3#
# Predvolená hodnota je INFO. #
# DEBUG a DEBUG
sú navzájom rovnocenné. #
# DEBUG2 a DEBUG3 nastavujú najvyššie úrovne ladenia #
# výkon. Prihlásenie s úrovňou DEBUG ohrozuje #
# súkromia používateľa a neodporúča sa. #
# #
LogLevel INFO
# #
############################################################
#################### Presmerovanie X

####################
############################################################
# #
## X11Preposielanie ##########################################
# #
# Označuje, či je povolené grafické presmerovanie #
# Subsystémy X11. Môže nadobudnúť hodnoty „áno“ alebo „nie“. #
# Predvolená hodnota je "nie". #
# Pozor umožňujúce jednoduché presmerovanie X11 #
# veľké riziko pre server aj klientov, pretože v #
# v prípade takéhoto presmerovania proxy zobrazí sshd #
# prijíma spojenia z akejkoľvek adresy. Použiť #
# direktíva X11UseLocalhost na obmedzenie prístupu k #
# na server presmerovania "x". Stojí za zmienku, že #
# zakázanie presmerovania nezaručí, že #
# používatelia nebudú môcť presmerovať X11, pretože majúce #
# prístup ku konzole si vždy nastavia svoj vlastný #
# presmerovač. Presmerovanie X11 bude #
# automaticky vypnuté, ak je povolené #
# Direktíva UseLogin. #
# #
X11Preposielanie č
# #
## X11UseLocalhost ########################################
# #
# Označuje, či má sshd obmedziť rozsah #
# presmerovať X11 na adresu lokálnej slučky alebo #
# by mal povoliť akékoľvek adresy. Predvolený sshd #
# "zasadí" server presmerovania X11 na lokálnu adresu #
# a nastaví časť premennej prostredia DISPLAY zodpovedajúcu #
# pre názov hostiteľa ako "localhost". Stojí za zmienku, že #
# niektorí starí klienti X11 nemusia s týmito #
# nastavenie. Predvolená hodnota je „áno“, t.j. presmerovanie #
# obmedzené na localhost, "nie" zakáže #
# obmedzení. #
# #
## XAuthLocation #########################################
# #
# Určuje úplnú cestu k programu xauth. #
# Predvolené /usr/bin/X11/xauth. #
# #
## X11DisplayOffset #######################################
# #
# Určuje číslo prvej obrazovky dostupnej pre sshd v #
# ako X11 presmerovanie. Toto sa robí s cieľom #
# aby sa presmerované x nepretínali s #
# reálny. Predvolená hodnota je 10. #
# #
X11DisplayOffset10
# #
############################################################
################### Rôzne možnosti ########################
############################################################
# #
## LoginGraceTime ##########################################
# #
# Čas, po ktorom sa server odpojí #
# používateľa, ak nedokázali uspokojivo #
# Prihlásiť sa. Hodnota 0 umožňuje používateľovi #
# prihlásenie na neurčito. Predvolená hodnota je 120 (sekúnd). #
# #
LoginGraceTime 120
# #
## MaxAuthTries ###########################################
# #
# Určuje maximálny počet pokusov o overenie, #
# povolené na pripojenie. #
# Hneď ako počet neúspešných pokusov prekročí polovicu #
# zadanú hodnotu, všetky nasledujúce pokusy budú #
# byť prihlásený. Predvolená hodnota je 6. #
# #
MaxAuth sa snaží 4
# #
## MaxSessions ############################################
# #
# Určuje maximálny počet súbežných pripojení #
# pre každé sieťové pripojenie. Predvolená hodnota je 10. #
# #
MaxSessions1
# #
## MaxStartups ############################################
# #
# Určuje maximálny počet súbežných #
# neoprávnené pripojenia k sshd. Ak #
# počet pripojení prekročí limit všetky ďalšie #
# pripojení bude resetovaných, kým sa neuskutoční #
# pripojenia nebudú dokončené alebo úspešná autorizácia, #
# alebo uplynutím časového obdobia uvedeného v smernici #
# LoginGraceTime. Predvolená hodnota je 10. #
# Okrem toho môžete nastaviť skorý reset pripojenia, #
# špecifikujúce ako parameter tri hodnoty oddelené #
# dvojbodka „start:rate:full“ (napríklad: „10:30:60“). #
# sshd odmietne pokus o pripojenie s pravdepodobnosťou rovnou #
# “rate/100” (t. j. 30 % v našom príklade), ak už #
# došlo k „spusteniu“ (10) neoprávnených pripojení. #
# Pravdepodobnosť sa zvyšuje lineárne a akékoľvek pokusy #
# pripojení bude odmietnutých, ak počet neoprávnených #
Počet pripojení dosiahne „plný“ (60). #
# #
## Kompresia ##############################################
# #
# Označuje, či je povolená kompresia údajov. Možno #
# kompresia "áno" je povolená. #
# "oneskorená" kompresia je odložená do #
# používateľ nie je úspešne overený. #
# "nie" kompresia vypnutá. #
# Predvolená hodnota je "oneskorená". #
# #
## UseLogin ############################################# #
# #
# Označuje, či by sa prihlásenie malo použiť pre #
# interaktívna relácia. Predvolená hodnota je "nie". #
# Upozorňujeme, že prihlásenie nebolo nikdy použité pre #
# vykonávať vzdialené príkazy. Všimnite si tiež, že #
# pomocou prihlásenia nebude možné použiť #
# X11Posielanie príkazov, pretože prihlásenie nevie čo #
# mal by urobiť s xauth. Ak je zahrnutá smernica #
# UsePrivilegeSeparation bude deaktivované po #
# autorizácia. #
# #
## UsePrivilegeSeparation ##################################
# #
# Určuje, či má sshd zdieľať privilégiá. Ak áno #
# potom sa najskôr vytvorí neprivilegované dieťa #
# proces pre prichádzajúcu sieťovú prevádzku. Po úspešnom #
# autorizácia vytvorí ďalší proces s privilégiami #
# prihláseného používateľa. Hlavným účelom oddelenia #
# privilégií, ktoré zabránia narušeniu prístupu. #
# Predvolená hodnota je "áno". #
# #
UsePrivilegeSeparation áno
# #
## StrictModes ############################################
# #
# Určuje, či má sshd kontrolovať režimy prístupu a #
# vlastníctvo používateľských priečinkov a súborov pred #
# nechajte používateľa prihlásiť sa. Zvyčajne je to preto, že #
# nováčikovia často umožňujú zapisovať do svojich súborov #
# všetko v rade. Predvolená hodnota je „áno“. #
# #
StrictModes áno
# #
## AcceptEnv #############################################
# #
# Označuje, ktoré premenné prostredia sa odovzdávajú #
# bude klientom akceptovaný. Pozrite si možnosť SendEnv v klientovi. #
# Treba poznamenať, že odovzdávanie premenných je možné iba #
# pre protokol ssh2. Premenné sú špecifikované názvom, #
Je možné použiť # zástupných znakov (* a?). Môžete zadať #
# viaceré premenné oddelené medzerou alebo rozdelené na #
# viac riadkov AcceptEnv. Dávajte si pozor na niektoré #
# premenné prostredia možno použiť na obídenie #
# zakázané používateľské prostredia. Použi toto #
# smernica opatrne. Predvolene žiadne #
# používateľom definované premenné prostredia nie sú akceptované. #
# #
AcceptEnv LANG LC_*
# #
## PovoleniePoužívateľskéProstredie ###################################
# #
# Označuje, či má sshd akceptovať #
# ~/.ssh/environment and the environment= možnosť v #
# ~/.ssh/authorized_keys. Predvolená hodnota je "nie". Náklady #
# všimnite si, že povolenie na spracovanie prostredia môže poskytnúť #
# používatelia možnosť obísť obmedzenia v niektorých #
# konfigurácií pomocou mechanizmov ako #
# LD_PRELOAD. #
# #
# #
## PidFile ############################################# # #
# #
# Určuje súbor obsahujúci ID procesu #
# (ID procesu, PID) démona SSH. #
# Predvolené /var/run/sshd.pid #
# #
# #
## PrintLastLog ###########################################
# #
# Určuje, či má sshd zobrazovať dátum a čas #
# posledná relácia, keď je používateľ interaktívne prihlásený. #
# Predvolená hodnota je "áno". #
# #
PrintLastLog áno
# #
## PrintMotd ##############################################
# #
# Určuje, či má sshd tlačiť /etc/motd #
# keď je používateľ interaktívne prihlásený. Na niektorých #
# systémov (napr. Ubuntu) táto informácia je tiež #
# vytlačené na obrazovku pomocou plášťa. #
# Predvolená hodnota je "áno". #
# #
PrintMotd č
# #
## Banner ############################################### ###
# #
# Označuje, ktorý súbor obsahuje textový banner, ktorý #
# sa používateľovi zobrazí PRED postupom #
# Overenie. Táto možnosť je dostupná len pre protokol ssh2.#
# Predvolene nezobrazuje nič. #
# Na Ubuntu obsahuje issue.net frázu Ubuntu (verzia), #
# napríklad pre karmu je to "Ubuntu 9.10". Môcť #
# slúži na dezorientáciu možných útočníkov, #
# napíšte tam napríklad "My D-Link Interet Router" =) #
# #
Banner /etc/issue.net
# #
## ChrootDirectory #########################################
# #
# Ak je zadaný, poskytuje cestu, ktorá bude #
# chrootované po overení. Cesta a to všetko #
# obsah sa musí zhodovať s vlastným #
# priečinkov superuser a nebudú prístupné pre #
# príspevkov od iných používateľov. #
# Cesta môže obsahovať štítky, ktoré sú nahradené v #
# proces overovania: #
# %% sa nahrádza doslovným "%" #
# %h je nahradené domovským adresárom #
# overujúci používateľ #
# %u je nahradené menom overovaného používateľa #
# priečinok chroot by mal obsahovať všetky potrebné súbory a #
# priečinkov pre reláciu používateľa. Pre interaktívne #
# relácií je potrebných aspoň: #
# shell, zvyčajne sh #
# základné zariadenia v /dev, ako napríklad: #
# null, zero, stdin, stdout, stderr, arandom a tty #
# pre dátovú reláciu pomocou sftp žiadne #
# pokročilé nastavenia nie je potrebné, ak sa použije #
# interný proces sftp servera. Pozri subsystém pre #
# viac informácií. V predvolenom nastavení sa chroot nevykonáva. #
# #
## ForceCommand ###########################################
# #
# Spôsobí vykonanie zadaného príkazu. Ignoruje #
# akékoľvek príkazy zadané klientom alebo zapísané do #
# ~/.ssh/rc. Príkaz sa volá od užívateľa #
# shelly s voľbou -c. Vhodné na spustenie granátu, #
# príkazy alebo podsystémy. Najužitočnejšie vnútri bloku #
# zápas. Príkaz pôvodne odoslaný klientom je uložený #
# v premennej prostredia SSH_ORIGINAL_COMMAND. Ak #
# zadajte príkaz "internal-sftp", spustí sa #
# interný sftp server, ktorý nepotrebuje ďalšie #
# súborov a priečinkov popísaných v direktíve ChrootDirectory. #
# #
## Subsystém ##############################################
# #
# Definuje a konfiguruje externý podsystém (napr. #
# démon prenosu súbor prenosový démon). #
# Argumenty sú meno a príkaz (s voliteľným #
# argumentov), ​​ktoré sa vykonajú počas požiadavky #
# do podsystémov. Príkaz sftp-server spustí "sftp" #
# subsystém prenosu súborov. Okrem toho môžete zadať #
# ako "interný-sftp" podsystém, ktorý sa spustí #
# interný server sftp. To môže výrazne zjednodušiť #
# nastavenie v prípade použitia smernice #
# ChrootDirectory V predvolenom nastavení nie sú žiadne podsystémy #
# nevolané. Relevantné len pre protokol ssh2. #
# #
#Subsystem sftp /usr/lib/openssh/sftp-server #
# #
############################################################
##################### Blok zápasu ##########################
############################################################
# #
# Špeciálne presunuté na koniec súboru, aby to bolo pohodlnejšie #
# napíšte pravidlá zápasu. #
#MadKox. #
# #
# Direktíva Match je začiatkom podmieneného #
# blok. Ak sú splnené všetky kritériá uvedené v riadku #
# Zhoda, vykonajú sa príkazy na nasledujúcich riadkoch bloku, #
# vám umožňuje obísť hodnoty globálnych súborových direktív #
# sshd_config pre prípad, ktorý je direktívnym kritériom #
# zápas. Všetky riadky za riadkom # sa považujú za bloky.
# s kritériom (riadok zhody) až po ďalší riadok zhody #
# alebo do konca súboru. Zhoda s argumentom direktívy jedna alebo #
# viac párov položiek kritérií. Možné typy záznamov: #
#Používateľ#
#Skupina#
#Hostiteľ#
#Adresa#
# Záznamy môžu obsahovať obe jednotlivé hodnoty #
# (napr. User=user) a viaceré hodnoty, #
# oddelené čiarkami (Používateľ=používateľ1,používateľ2). Môžu tiež #
# použiť regulárne výrazy opísané v #
# PATTERNS sekcia ssh_config. Záznamy v kritériách č.
# Adresa môže obsahovať adresy v notácii CIDR #
# (Adresa/dĺžka masky, napr. „192.0.2.0/24“ alebo #
# "3ffe:ffff::/32"). Stojí za zmienku, že prezentované #
# dĺžka masky sa musí zhodovať s adresou a tiež #
# long/short for address nebude fungovať. #
# Príkazy zhody môžu používať iba #
# konkrétna sada smerníc: #
# AllowTcpForwarding #
#Banner#
#ChrootDirectory#
#ForceCommand#
#GatewayPorts#
# GSSAPIAutentifikácia #
# Hostiteľská autentifikácia #
#KbdInteractiveAuthentication#
#KerberosAuthentication#
#MaxAuthTries#
#MaxSessions#
#Overenie heslom#
# Otvoriť povolenie #
# PermitRootLogin #
#RhostsRSAAuthentication#
# RSAAoverenie #
#X11DisplayOffset#
#X11Posielanie#
#X11UseLocalHost#

Okamžite malá poznámka ku konfigurácii, zakáže možnosť prihlásiť sa cez ssh ako používateľ root, takže ak " amatérsky"Zmeňte nastavenie PermitRootLogin na áno

Ak chcete skopírovať vyššie uvedenú konfiguráciu do vášho unixového počítača
Prejdite do adresára, kde je uložený konfiguračný súbor sshd_config

Sudo cd /etc/ssh

Keďže sme vytvorili záložnú kópiu súboru sshd_config, odstránime ho

sudo rm sshd_config

Stále v adresári /etc/ssh skopírujte vyššie uvedený konfiguračný súbor ssh zo stránky itautsors,

sudo wget http://website/sshd_config

Reštartujte démona

reštart služby sudo ssh

Uistite sa, že je spustený démon SSH

Ps-A | grep sshd

Niečo také uvidíme.

<какой то номер>? 00:00:00 sshd

Ak neexistuje žiadny riadok, potom démon SSH nebeží,

Skontrolujte, či prichádzajúce pripojenia počúvajú:

Sudo ss -lnp | grep sshd

Ako odpoveď dostávame

0 128:::22:::* users:(("sshd",16893,4)) 0 128 *:22 *:* users:(("sshd",16893,3))

Ak existuje viac ako jeden riadok, potom SSH démon počúva na viac ako jednom porte, ak nie na jednom, musíte zadať aspoň jeden port, v oboch prípadoch sa musíte vrátiť a upraviť konfiguračný súbor

Skúsme sa prihlásiť pomocou lokálny počítač(to znamená, že ideme z rovnakého počítača, na ktorom sme nastavili ssh server, takpovediac počiatočnú kontrolu), (nezabudnite, že náš port nie je štandardný 8022):

ssh -v localhost -p 8022

Zobrazia sa informácie o ladení a výzva na zadanie hesla.
Po úspešnom pripojení na ukončenie napíšte:

Nastavte prístup na OpenSSH Server pomocou klienta OpenSSH s autorizáciou kľúča

Dané: Hostiteľ OpenSSH Server, ku ktorému sa chceme v budúcnosti prihlásiť cez ssh pod užívateľom NameUserOnOpenSSHServer z hostiteľa OpenSSH Client Vygenerujme pár kľúčov na hostiteľovi, z ktorého sa chceme pripojiť (OpenSSH Client). Skontrolujte, či už bol pár kľúčov vygenerovaný.
Po dohode s miestom, kde je kľúč uložený (/home/NameUserOnOpenSSHClient/.ssh/id_rsa), môže zostať heslo prázdne, potom pri autentifikácii certifikátom jemne nezadá heslo, čo je menej bezpečné, ale oveľa pohodlnejšie (v našom príklade nebudeme zadávať heslo):

ssh-keygen -t rsa -b 4096

V domovskom priečinku ~/.ssh používateľa, pod ktorým bolo generovanie spustené (v našom príklade NameUserOnOpenSSHClient) súbory sa objavia na hostiteľovi klienta OpenSSH:

~/.ssh/id_rsa.pub verejnosti
~/.ssh/id_rsa súkromné

Nastavte povolenia pre priečinok a súbory
Nezáleží na tom, pod ktorým užívateľom spustíme generovanie na OpenSSH Client, jediné prihlásenie na vzdialený stroj OpenSSH Server bude musieť byť pod týmto užívateľom, keďže budú nastavené nasledovné práva (tieto práva musia byť nastavené tak, aby súkromný kľúč nie je ohrozený):

$ chmod 0700 ~/.ssh/ $ chmod 0600 ~/.ssh/id*

Prenesme verejný kľúč z klienta na server pre používateľa, pod ktorým používame príkaz ssh-copy-id, do súboru ~/.ssh/authorized_keys, ak port, na ktorom server počúva, nie je štandardný, musíte ho zaregistrovať pomocou prepínača -p a uzavrieť ho do úvodzoviek. Kľúč je možné preniesť akýmkoľvek spôsobom, pretože je verejný.

ssh-copy-id "-p 8022 [chránený e-mailom]"

NameUserOnOpenSSHServer - toto je používateľ, pod ktorým sa budeme v budúcnosti prihlasovať na vzdialený počítač.
Ďalej musíte zadať heslo používateľa NameUserONOpenSSHServer a po úspešnej autorizácii sa nám zobrazí nápoveda:

Teraz sa pokúste prihlásiť do počítača pomocou "ssh" [chránený e-mailom]"", a skontrolujte: ~/.ssh/authorized_keys, aby ste sa uistili, že sme nepridali ďalšie kľúče, ktoré ste neočakávali.

Prihlásime sa na Host cez ssh a skontrolujeme obsah súboru (v tomto súbore je možné zaregistrovať aj iné kľúče, hľadáme ten náš.) NameUserONOpenSSHServer/.ssh/authorized_keys:

sudo ssh" [chránený e-mailom]" sudo cat /home/NameUserONOpenSSHServer/.ssh/authorized_keys

Musí zodpovedať obsahu súboru. MenoPoužívateľaONOpenSSHClient/.ssh/id_rsa.pub

Sudo mačka /home/NameUserONOpenSSHClient/.ssh/id_rsa.pub

sudo mcedit /etc/ssh/sshd_config

Stlačte F7, vyhľadajte PubkeyAuthentication, RSAAuthentication, AuthorizedKeysFile
riadky by mali byť odkomentované / parametre nastavené (skontrolujte):

# povoliť používanie RSA kľúčov RSAAuthentication yes # ak používate SSH1 nie je to žiadúce # povoliť autorizáciu pomocou kľúčov PubkeyAuthentication áno # Cesta, kde sa budú kľúče nachádzať, s ktorou si každý používateľ môže prepojiť svoj vlastný súbor vo svojom adresári. AuthorizedKeysFile %h/.ssh/authorized_keys

Reštartujte server SSH

reštart služby sudo ssh

Nastavíme práva na súbor /home/NameUserOnOpenSSHServer/.ssh/authorized_keys

Chmod 0600 ~/.ssh/authorized_keys

Ukončíme konzolu OpenSSHServer, pokúsime sa prihlásiť z klienta na server pomocou certifikátu, vstúpime na linku a mali by sme sa dostať do konzoly OpenSSHServer bez zadania hesla (ak ste pri generovaní kľúčov nezadali heslo)

ssh [chránený e-mailom]

Časť 2.

Skôr ako začneme, vytvorme nového používateľa s oprávneniami root.

Pomocou príkazu zadajte práva pre testovacieho používateľa

usermod -a -G sudo test

Ak chcete overiť, či bol testovací používateľ pridaný do skupiny sudo, môžete spustiť nasledujúci príkaz:


Teraz nakonfigurujeme vzdialený prístup k serveru cez ssh (príkazový riadok), ako v lokálna sieť, ako aj cez internet

Nainštalujte ssh

sudo apt-get nainštalovať openssh-server

Po inštalácii musíme nakonfigurovať zabezpečenie pripojenia a priamy prístup. Poďme do súboru nastavení

sudo nano /etc/ssh/sshd_config

Štandardne ssh používa port 22. Zmeňme ho na neštandardný, zvýši sa tým bezpečnosť nášho prístupu. Zmeňme port napríklad na 2200

Pri pripájaní cez ssh bude náš server vyžadovať RSA kľúč namiesto hesla, nie hesla. Aby ste tomu zabránili, zadajte do parametrov RSAAuthentication a PubkeyAuthentication „NO“. Zakazujeme tiež prístup používateľovi ROOT, na tento účel musíte odkomentovať parameter Autetika: a zadať „NO“ do parametra PermitRootLogin

Teraz zaregistrujeme prístup pre používateľov

V riadku AllowUsers uvádzame používateľov oddelených medzerou v tvare používateľ@hostiteľ, t. j. uvádzame, ktorý používateľ sa môže odkiaľ pripojiť. Môžete použiť *

Priraďme prístupové práva testovaciemu používateľovi a pozrime sa na ne.

    [chránený e-mailom]* - používateľský test sa môže pripojiť odkiaľkoľvek
    [chránený e-mailom]* - testovací používateľ sa môže pripojiť iba v podsieti 192.168.0.0
    [chránený e-mailom]- užívateľský test sa môže pripojiť iba z IP adresy 192.168.0.104
    *@192.168.0.* – všetci používatelia sa môžu pripojiť v podsieti 192.168.0.0

Môžete tiež zakázať prístup. určitých používateľov(napríklad užívateľský test2), na tento účel musíte zadať nižšie

Spúšťame

sudo /etc/init.d/ssh štart

Nastavili sme ssh. Teraz k nemu otvoríme prístup. Za týmto účelom otvoríme prístup k portu 2200.

V minulej časti sme nainštalovali firewall príkazom arno-iptables-firewall, teraz tam musíme urobiť zmeny. Podľa toho ho prekonfigurujeme.

sudo dpkg-reconfigure arno-iptables-firewall

Nastavenie sa spustilo

Zadajte port, ktorý chcete otvoriť. V tomto okne môžete zadať aj iné porty, ak ich treba otvoriť.

V ďalšom okne zadáme aj port 2200.

Po zadaní portov môžete všade stlačiť ENTER a reštartovať bránu firewall.

Potom bude ssh port prístupný zo siete

Na zvýšenie bezpečnosti ssh pripojenia môžeme nakonfigurovať utilitu denyhosts. Pomôcka je python skript, ktorý analyzuje súbor /var/log/auth.log na záznamy o neoprávnených pokusoch o prihlásenie na server cez ssh a pridáva adresy IP, z ktorých boli tieto pokusy uskutočnené, do súboru /etc/hosts.deny , kde je prihlásenie ssh odmietnuté.

Inštalácia podľa tímu

sudo aptitude install denyhosts

Ihneď po inštalácii obslužný program naskenuje súbor /var/log/auth.log a do /etc/hosts.deny pridá ip-adresy, z ktorých boli uhádnuté heslá. Ak už existuje veľa takýchto záznamov v súbore /var/log/auth.log, bude to chvíľu trvať.

Po inštalácii je potrebné opraviť konfiguračný súbor

sudo nano /etc/denyhosts.conf

Upravme nastavenie PURGE_DENY na 3 hodiny. V opačnom prípade si môžeme zablokovať prístup k sebe tým, že niekoľkokrát zadáme nesprávne heslo.

Pre kontrolu je tiež potrebné zadať adresu Email posielať upozornenia o neúspešných pokusoch o prístup na server:

ADMIN_EMAIL= [chránený e-mailom] namiesto [chránený e-mailom] uveďte svoju poštu

Aby sa nové nastavenia prejavili, musíte reštartovať službu denyhosts:

reštart služby sudo denyhosts

P.S. Ak potrebujete zmeniť heslo na účtu. Zadajte príkaz

passwd user - kde user je užívateľské meno

P.S.S. Ak máte problémy s kódovaním, ponorte sa do nastavení klientsky program pst

Najviac populárny program pracovať cez ssh, program PuttY.