If-Koubou

Uzziniet, kā ieviest vai izslēgt OpenSSH jūsu Linux datorā

Uzziniet, kā ieviest vai izslēgt OpenSSH jūsu Linux datorā (Kā)

Mēs esam izspēlējuši SSH tikumus vairākas reizes gan drošības, gan attālinātās piekļuves dēļ. Apskatīsim pašu serveri, dažus svarīgus "uzturēšanas" aspektus un dažus pievilinātājus, kas var radīt satraukumu citādi netraucēti.

Lai gan šī rokasgrāmata ir rakstīta ar Linux, tā var attiekties arī uz OpenSSH operētājsistēmā Mac OS X un Windows 7, izmantojot Cygwin.

Kāpēc tas ir drošs

Mēs esam daudzkārt minējuši, kā SSH ir lielisks veids, kā droši savienot un teltīt datus no viena punkta uz otru. Ļaujiet ļoti īsi aplūkot to, kā lietas darbojas, lai jūs labāk izprastu, kāpēc reizēm reizēm var rasties dīvaini.

Kad mēs nolemjam uzsākt savienojumu ar citu datoru, mēs bieži izmantojam protokolus, ar kuriem ir viegli strādāt. Telnet un FTP abi nāk prātā. Mēs izsūtām informāciju attālajam serverim, un pēc tam mēs saņemam apstiprinājumu par mūsu savienojumu. Lai noteiktu kādu drošības veidu, šie protokoli bieži izmanto lietotājvārdu un paroli kombinācijas. Tas nozīmē, ka viņi ir pilnīgi droši, vai ne? Nepareizi!

Ja mēs domājam par mūsu savienojošo procesu kā pastu, tad, izmantojot FTP un Telnet un tamlīdzīgus līdzekļus, neizmanto standarta pasta aploksnes. Tas vairāk ir kā pastkartes izmantošana. Ja kāds gadās soli pa vidu, viņi var redzēt visu informāciju, tostarp abos korespondentu adreses un izsūtīto lietotājvārdu un paroli. Tad viņi var mainīt ziņu, saglabājot informāciju vienādi, un uzdoties par vienu korespondentu vai otru. Tas ir pazīstams kā "cilvēks-in-the-vidējā" uzbrukums, un tas ne tikai apdraud jūsu kontu, bet arī liek apšaubīt katru saņemto ziņojumu un nosūtīto failu. Jūs nevarat būt pārliecināts, vai runājat ar sūtītāju vai nē, un pat tad, ja esat, jūs nevarat būt pārliecināti, ka neviens neredz visu, sākot no viena starpā.

Tagad aplūkosim SSL šifrēšanu, tādā veidā, kas HTTP padara drošāku. Šeit mums ir pasta nodaļa, kas apstrādā korespondenci, kas pārbauda, ​​vai jūsu saņēmējs ir tas, kurš viņš vai viņa apgalvo, un ir likumi, kas aizsargā jūsu e-pastu. Tas ir drošāks kopumā, un centrālā iestāde - Verisign ir viena, mūsu HTTPS piemērs - nodrošina, ka persona, kurai jūs sūtāt vēstules, pārbauda. Viņi to dara, nepieļaujot pastkartes (nešifrētus akreditācijas datus); Tā vietā viņi pilnvaro reālos aploksnes.

Visbeidzot, ieskatieties SSH. Šeit iestatījums nedaudz atšķiras. Šeit mums nav centrālā autentifikatora, taču lietas joprojām ir drošas. Tas ir tāpēc, ka jūs sūtat vēstules uz kādu personu, kuras adresi jau zinājāt - teiksim, runājot ar viņiem pa tālruni - un jūs izmantojat kādu patiešām iespaidīgu matemātiku, lai parakstītu aploksni. Jūs to nododat savam brālim, draudzenei, tēvam vai meitai, lai to uzņemtu uz adresi, un tikai tad, ja saņēmēja fantāzijas matemātikas sacensībās jūs pieņemat, ka adrese ir tā, kas tam vajadzētu būt. Tad jūs saņemat vēstuli atpakaļ, arī aizsargā no nevēlamiem skatiem ar šo awesome matemātiku. Visbeidzot, jūs nosūtīt savus akreditācijas datus citā slepenā algoritmiski enchanted aploksnē uz galamērķi. Ja matemātika neatbilst, mēs varam pieņemt, ka sākotnējais adresāts ir pārvietots, un mums vēlreiz jāapstiprina viņu adrese.

Ar izskaidrojumu tik ilgi, cik tas ir, mēs domājam, ka to sagriežam. Ja jums ir vēl kāds ieskats, protams, jūtieties brīvi tērzēt komentāros. Lai gan tagad apskatīsim vissvarīgāko SSH funkciju, uzņēmēja autentifikāciju.

Saimniekdatora atslēgas

Uzņēmuma autentifikācija būtībā ir tā daļa, kurā jūsu uzticamais lietotājs ņem aploksni (aizzīmogo ar burvju matemātiku) un apstiprina adresāta adresi. Tas ir diezgan sīks adreses apraksts, un tas ir balstīts uz kādu sarežģītu matemātiku, ka mēs vienkārši pārietam. Tomēr ir dažas no svarīgām lietām, kas no tā jānoņem:

  1. Tā kā centrālā iestāde nav, reālā drošība atrodas uzņemšanas taustiņā, publiskās atslēgas un privātās atslēgas. (Šie pēdējie divi taustiņi ir konfigurēti, kad jums tiek piešķirta piekļuve sistēmai.)
  2. Parasti, kad jūs izveidojat savienojumu ar citu datoru, izmantojot SSH, resursdatora atslēga tiek saglabāta. Tādējādi turpmākā rīcība būs ātrāka (vai mazāk verbāla).
  3. Ja mainās resursdatora atslēga, visticamāk, tiks brīdināti, un jums vajadzētu būt piesardzīgiem!

Tā kā resursdatora atslēga tiek izmantota pirms autentifikācijas, lai noteiktu SSH servera identitāti, pirms saiti pārliecinieties, ka esat to pārbaudījis. Jūs redzēsit apstiprinājuma dialogu, kā parādīts zemāk.

Tomēr nevajadzētu uztraukties! Bieži vien, kad drošība ir bažas, būs īpaša vieta, kurā var apstiprināt saimniekdatora atslēgu (ECDSA pirkstu nospiedumu iepriekš). Pilnībā tiešsaistes uzņēmumos bieži tā būs drošā pieteikšanās vietā. Iespējams, jums būs (vai izvēlieties!) Savu IT nodaļu, lai apstiprinātu šo taustiņu pa tālruni. Esmu dzirdējis pat par dažām vietām, kur galvenais ir jūsu darba žetonā vai īpašajā sarakstā "Avārijas numuri". Un, ja jums ir fiziska piekļuve mērķa mašīnai, varat arī pārbaudīt sev!

Jūsu sistēmas galvenās atslēgas pārbaude

Atslēgu izgatavošanai izmanto 4 veidu šifrēšanas algoritmus, taču sākotnējais OpenSSH noklusējums šī gada sākumā ir ECDSA (ar dažiem pamatotiem iemesliem). Mēs koncentrēsies uz šo vienu šodien. Šeit ir komanda, kuru varat palaist SSH serverī, kuram varat piekļūt:

ssh-keygen -f /etc/ssh/ssh_host_ecdsa_key.pub -l

Jūsu produkcijai vajadzētu atgriezties šādi:

256 ca: 62: ea: 7c: e4: 9e: 2e: a6: 94: 20: 11: db: 9c: 78: c3: 4c /etc/ssh/ssh_host_ecdsa_key.pub

Pirmais numurs ir taustiņa bitu garums, pēc tam ir pati atslēga, un visbeidzot jums ir fails, kurā tas tiek saglabāts. Salīdziniet šo vidējo daļu ar to, ko redzat, kad tiek parādīts uzaicinājums no attāluma pieteikties.Tam vajadzētu sakrist, un jūs visi esat iestatījis. Ja tā nav, tad kaut kas cits varētu notikt.

Jūs varat apskatīt visus saimniekus, kuriem esat izveidojis savienojumu ar SSH, meklējot failu known_hosts. Parasti tā atrodas:

~ / .ssh / known_hosts

To var atvērt jebkurā teksta redaktorā. Ja paskatās, mēģiniet pievērst uzmanību tam, kā tiek saglabāti taustiņi. Tie tiek saglabāti ar saimniekdatora nosaukumu (vai tīmekļa adresi) un tā IP adresi.

Mainīt resursdatora atslēgas un problēmas

Ir daži iemesli, kāpēc resursdatora atslēgas mainās vai tās neatbilst tam, kas ir pieteicies jūsu zināmā_hosts failā.

  • Sistēma tika atkārtoti instalēta / atkārtoti konfigurēta.
  • Drošības protokolu dēļ saimniekdatora atslēgas tika manuāli mainītas.
  • Atjauninātais OpenSSH serveris drošības problēmu dēļ ir atjaunināts un izmanto dažādus standartus.
  • IP vai DNS noma mainīta. Tas bieži nozīmē, ka mēģināt piekļūt citam datoram.
  • Sistēma bija kaut kādā veidā apdraudēta, tādā veidā mainot resursdatora atslēgu.

Visticamāk, jautājums ir viens no pirmajiem trim, un jūs varat ignorēt izmaiņas. Ja IP / DNS nomaiņa mainīta, tad serverī var būt problēma, un jūs, iespējams, novirzīsit uz citu ierīci. Ja nezināt, kāds ir izmaiņu iemesls, tad droši vien vajadzētu uzskatīt, ka tas ir pēdējais no saraksta.

Kā OpenSSH rīkojas ar nezināmiem saimniekiem

OpenSSH ir iestatījums, kā rīkoties ar nezināmiem saimniekiem, kas atspoguļojas mainīgajā lielumā "StrictHostKeyChecking" (bez pēdiņām).

Atkarībā no konfigurācijas, SSH savienojumi ar nezināmajiem saimniekiem (kuru atslēgas jau nav jūsu zināmā_hosts failā) var iet trīs veidos.

  • StrictHostKeyChecking ir iestatīts uz nē; OpenSSH automātiski izveidos savienojumu ar jebkuru SSH serveri neatkarīgi no resursdatora atslēgas statusa. Tas ir nedrošs un nav ieteicams, izņemot gadījumus, ja pēc operētājsistēmas pārinstalēšanas pievienojat lielu skaitu saimniekdatoru, pēc kura jūs to nomainīsit atpakaļ.
  • StrictHostKeyChecking ir iestatīts uz jautāšanu; OpenSSH parādīs jaunus resursdatora atslēgas un lūgs apstiprinājumu pirms to pievienošanas. Tas novērsīs savienojumus no mainīgajiem resursdatora taustiņiem. Tas ir noklusējums.
  • StrictHostKeyChecking ir iestatīts uz Jā; Pretēji "nē", tas neļaus jums izveidot savienojumu ar jebkuru saimniekdatoru, kurš vēl nav pieejams jūsu zināmā_hosts failā.

Varat viegli mainīt šo mainīgo komandrindu, izmantojot šādu paradigmu:

ssh -o 'StrictHostKeyChecking [opcija]' user @ host

Aizstāt [opciju] ar "nē", "jautāt" vai "jā". Jāņem vērā, ka šis mainīgais un tā iestatījums ir vienotas taisnās cenas. Arī nomainiet user @ host ar tā servera lietotājvārdu un resursdatora nosaukumu, ar kuru esat izveidojis savienojumu. Piemēram:

ssh -o 'StrictHostKeyChecking jautāt' [email protected]

Bloķētie saimnieki sakarā ar mainītajiem taustiņiem

Ja jums ir serveris, kuru mēģināt piekļūt, ja tā atslēga jau ir mainīta, noklusējuma OpenSSH konfigurācija neļaus jums piekļūt tam. Jūs varētu mainīt šī resursdatora StrictHostKeyChecking vērtību, bet tas nebūtu pilnīgi, rūpīgi, paranoidāli drošs, vai tas būtu? Tā vietā mēs varam vienkārši noņemt pārkāpjošo vērtību no mūsu zināmā_hosts faila.

Tas noteikti ir neglīts jūsu ekrānā. Par laimi, mūsu iemesls tam bija pārinstalēta operētājsistēma. Tātad, palielināsim nepieciešamo līniju.

Tur ejam Skatiet, kā tas atsaucas uz failu, kas mums jāreģistrē? Tas pat dod mums līnijas numuru! Tātad, atveram šo failu Nano:

Lūk, mūsu pārkāpjošā atslēga 1. rindiņā. Viss, kas mums jādara, ir hit Ctrl + K, lai izgrieztu visu rindu.

Tas ir daudz labāk! Tātad, tagad nospiediet Ctrl + O, lai izrakstītu (saglabātu) failu, pēc tam - Ctrl + X, lai izietu.

Tagad mēs saņemam jauku ātru vietā, uz kuru mēs varam vienkārši atbildēt ar "jā".

Jaunu saimniekdatoru izveidošana

Lai iegūtu ierakstu, jums patiešām nav pārāk daudz iemeslu, kāpēc mainīt saimniekdatora atslēgu vispār, taču, ja jūs kādreiz atradīsit vajadzību, jūs varat to viegli izdarīt.

Vispirms mainiet atbilstošo sistēmas direktoriju:

cd / etc / ssh /

Parasti tas parasti notiek, ja ir izvietoti globālie resursdatora atslēgas, lai gan daži distiori tos novieto citur. Ja rodas šaubas, pārbaudiet savu dokumentāciju!

Tālāk mēs izdzēsīsim visas vecās atslēgas.

sudo rm / etc / ssh / ssh_host_ *

Jūs varat arī pārvietot tos uz drošu dublējuma direktoriju. Tikai ideja!

Tad mēs varam pateikt, ka OpenSSH serverim ir jāpārkonfigurē sevi:

sudo dpkg-pārkonfigurēt openssh-serveri

Kad dators izveidos jaunus taustiņus, parādīsies uzvedne. Ta-da!

Tagad, kad jūs zināt, kā SSH darbojas nedaudz labāk, jums vajadzētu būt iespējai izkļūt no grūtībām. Brīdinājums / kļūda ir "Remote Host Identification Has Changed", kas nobloķē daudzus lietotājus, pat tos, kuri ir pazīstami ar komandrindu.

Par bonusa punktiem varat iepazīties ar to, kā attālināti kopēt failus, izmantojot SSH, neieviesot paroli. Šeit jūs uzzināsiet nedaudz vairāk par citiem šifrēšanas algoritmu veidiem un to, kā izmantot papildu failus drošībai.