Ismerje meg az OpenSSH be és ki az Ön Linux PC-jét

Tartalomjegyzék:

Ismerje meg az OpenSSH be és ki az Ön Linux PC-jét
Ismerje meg az OpenSSH be és ki az Ön Linux PC-jét

Videó: Ismerje meg az OpenSSH be és ki az Ön Linux PC-jét

Videó: Ismerje meg az OpenSSH be és ki az Ön Linux PC-jét
Videó: 4 best Bandwidth monitors for Windows in 2023 - YouTube 2024, Lehet
Anonim
Az SSH erényeit több alkalommal is kiemeltük, mind a biztonság, mind a távoli hozzáférés tekintetében. Vessünk egy pillantást a szerverre, néhány fontos "karbantartási" szempontra, és olyan furcsaságokra, amelyek turbulenciát adhatnak az egyébként sima utazáshoz.
Az SSH erényeit több alkalommal is kiemeltük, mind a biztonság, mind a távoli hozzáférés tekintetében. Vessünk egy pillantást a szerverre, néhány fontos "karbantartási" szempontra, és olyan furcsaságokra, amelyek turbulenciát adhatnak az egyébként sima utazáshoz.

Miközben ezt az útmutatót Linux-szal szemléltetjük, ez a Cygwin-en keresztül is alkalmazható az OpenSSH-ra Mac OS X és Windows 7 rendszereken.

Miért biztonságos?

Sokszor említettük, hogy az SSH egy nagyszerű módja annak, hogy biztonságosan összekapcsolják és összekapcsolják az adatokat egy pontról a másikra. Vessünk egy nagyon rövid pillantást arra, hogy a dolgok hogyan működnek, így jobban el tudja képzelni, miért lehet néha furcsaság.

Amikor úgy döntünk, hogy kapcsolatot létesítünk egy másik számítógéppel, gyakran olyan protokollokat használunk, amelyekkel könnyű dolgozni. Telnet és FTP mindketten eszébe jutnak. Információkat küldenünk egy távoli kiszolgálónak, majd visszaigazolást kapunk a kapcsolatunkról. Bizonyos típusú biztonság megteremtése érdekében ezek a protokollok gyakran felhasználónevet és jelszót kombinálnak. Ez azt jelenti, hogy teljesen biztonságos, ugye? Rossz!
Amikor úgy döntünk, hogy kapcsolatot létesítünk egy másik számítógéppel, gyakran olyan protokollokat használunk, amelyekkel könnyű dolgozni. Telnet és FTP mindketten eszébe jutnak. Információkat küldenünk egy távoli kiszolgálónak, majd visszaigazolást kapunk a kapcsolatunkról. Bizonyos típusú biztonság megteremtése érdekében ezek a protokollok gyakran felhasználónevet és jelszót kombinálnak. Ez azt jelenti, hogy teljesen biztonságos, ugye? Rossz!

Ha a kapcsolódási folyamatunkat mailként értelmezzük, akkor az FTP és a Telnet használata nem olyan, mint a hagyományos levelező borítékok használata. Ez több, mint a képeslapok használata. Ha valaki középen lép be, láthatják az összes információt, beleértve a két levelező címét és a küldött felhasználónevet és jelszót. Ezután megváltoztathatják az üzenetet, megtartva ugyanazokat az információkat, és megszólalhatják az egyik tudósítót vagy a másik személyt. Ezt úgynevezett "ember-in-the-middle" támadás, és nem csak ez veszélyezteti fiókját, hanem megkérdőjelezi minden elküldött üzenetet és fájlt. Nem biztos abban, hogy beszél-e a feladóval, vagy sem, és még ha te is vagy, nem lehet biztos abban, hogy senki sem néz mindent a kettő között.

Most nézzük meg az SSL titkosítást, amely a HTTP-t biztonságosabbá teszi. Itt van egy postairodánk, amely kezeli a levelezést, aki ellenőrizni fogja, hogy az Ön címzettje melyik állítja, és törvényeket tartalmaz, amelyek védik az e-mailjeit attól, hogy megvizsgálják. Összességében biztonságosabb, és a központi hatóság - a Verisign egy, HTTPS példánk esetében - gondoskodik arról, hogy az a személy, akinek küldi az e-maileket, ellenőrzi. Ezt nem teszik lehetővé levelezőlapok (titkosított hitelesítő adatok); helyette valódi borítékokat küld.

Végül nézzük meg az SSH-t. Itt a beállítás kicsit más. Nincs itt központi hitelesítőnk, de a dolgok még mindig biztonságban vannak. Ez azért van, mert leveleket küldesz valakinek, akinek a címét már ismered - mondjuk beszélgetve velük a telefonon -, és egy igazán díszes matematikát használsz, hogy aláírd a borítékodat. A bátyádnak, barátnődnek, apának vagy lánynak átadod a címre, és csak akkor, ha a címzett díszes matematikai mérkőzései azt feltételezik, hogy a cím az, aminek kell lennie. Aztán megkapod a levelet, és ez a csodálatos matematika védi a kíváncsiskodó szemektől. Végül elküldi hitelesítő adatait egy titkos algoritmikusan elvarázsolt borítékban a rendeltetési helyre. Ha a matematika nem egyezik meg, feltételezhetjük, hogy az eredeti címzett költözött, és meg kell erősítenünk a címüket.
Végül nézzük meg az SSH-t. Itt a beállítás kicsit más. Nincs itt központi hitelesítőnk, de a dolgok még mindig biztonságban vannak. Ez azért van, mert leveleket küldesz valakinek, akinek a címét már ismered - mondjuk beszélgetve velük a telefonon -, és egy igazán díszes matematikát használsz, hogy aláírd a borítékodat. A bátyádnak, barátnődnek, apának vagy lánynak átadod a címre, és csak akkor, ha a címzett díszes matematikai mérkőzései azt feltételezik, hogy a cím az, aminek kell lennie. Aztán megkapod a levelet, és ez a csodálatos matematika védi a kíváncsiskodó szemektől. Végül elküldi hitelesítő adatait egy titkos algoritmikusan elvarázsolt borítékban a rendeltetési helyre. Ha a matematika nem egyezik meg, feltételezhetjük, hogy az eredeti címzett költözött, és meg kell erősítenünk a címüket.

Ha a magyarázatot addig tartja, akkor úgy gondoljuk, kivágjuk. Ha több betekintést kap, nyugodtan beszélhet a hozzászólásokban, természetesen. Most azonban nézzük meg az SSH legfontosabb jellemzőjét, a gazda-hitelesítést.

Host kulcsok

A gazdaigazolvány lényegében azon a részen áll, ahol valaki megbízik, átveszi a borítékot (mágikus matematikával lepecsételt), és megerősíti a címzett címét. Ez elég részletes leírás a címről, és ez egy bonyolult matematikán alapul, amelyet csak át kell ugrani. Van néhány fontos dolog, hogy elvinni ezt, mégis:

  1. Mivel nincs központi hatóság, az igazi biztonság a gazda kulcsában, a nyilvános kulcsokban és a privát kulcsokban rejlik. (Az utóbbi két kulcs konfigurálva van, amikor hozzáférést kap a rendszerhez.)
  2. Általában, ha SSH-n keresztül csatlakozik egy másik számítógéphez, a gazda kulcs tárolódik. Ezzel a jövőbeni műveletek gyorsabbak (vagy kevésbé szűkösek).
  3. Ha megváltozik a fogadó kulcs, akkor valószínűleg figyelmeztetni fog, és óvatosnak kell lennie!

Mivel a gazda kulcsot a hitelesítés előtt használják az SSH kiszolgáló személyazonosságának megállapításához, mindenképpen ellenőrizze a kulcsot a kapcsolat megkezdése előtt. Az alábbiakban egy megerősítési párbeszédablak jelenik meg.

De ne aggódjon! Gyakran előfordul, hogy a biztonság aggodalomra ad okot, ott lesz egy különleges hely, ahol a gazdagép (ECDSA ujjlenyomat fent) megerősíthető. Teljesen online vállalkozásokban gyakran csak egy biztonságos bejelentkezési webhely lesz. Előfordulhat, hogy (vagy választja!) Telefonálja az informatikai osztályát, hogy megerősítse ezt a kulcsot a telefonon. Még hallottam olyan helyekről is, ahol a kulcs a munka jelvényén vagy a speciális "segélykérő számok" listán. És ha fizikai hozzáféréssel rendelkezik a célgéphez, akkor is ellenőrizheti magát!
De ne aggódjon! Gyakran előfordul, hogy a biztonság aggodalomra ad okot, ott lesz egy különleges hely, ahol a gazdagép (ECDSA ujjlenyomat fent) megerősíthető. Teljesen online vállalkozásokban gyakran csak egy biztonságos bejelentkezési webhely lesz. Előfordulhat, hogy (vagy választja!) Telefonálja az informatikai osztályát, hogy megerősítse ezt a kulcsot a telefonon. Még hallottam olyan helyekről is, ahol a kulcs a munka jelvényén vagy a speciális "segélykérő számok" listán. És ha fizikai hozzáféréssel rendelkezik a célgéphez, akkor is ellenőrizheti magát!

A rendszer gazda kulcsának ellenőrzése

A kulcskészítéshez 4 típusú titkosítási algoritmus létezik, de az OpenSSH alapértelmezése az év elején az ECDSA (jó okokkal). Ma erre összpontosítunk.Íme a parancs, amelyet futtathat az SSH kiszolgálón, amelyhez hozzáférhet:

ssh-keygen -f /etc/ssh/ssh_host_ecdsa_key.pub -l

A kimenetnek vissza kell térnie ehhez:

256 ca:62:ea:7c:e4:9e:2e:a6:94:20:11:db:9c:78:c3:4c /etc/ssh/ssh_host_ecdsa_key.pub

Az első szám a kulcs bithosszúsága, akkor maga a kulcs, és végül megvan a fájl, amelyben tárolt. Hasonlítsa össze azt a középső részt, amit lát, amikor a távoli bejelentkezést kéri. Meg kell egyeznie, és mind meg van állítva. Ha nem, akkor valami más is történhet.

Az ismert SSH-n keresztül megtekintheti a known_hosts fájlt. Általában:

~/.ssh/known_hosts

Bármelyik szövegszerkesztőben megnyithatod. Ha megnézed, próbáld meg figyelmet fordítani a kulcsok tárolására. A gazdaszámítógép neve (vagy webcíme) és IP címe tárolódik.

Host kulcsok és problémák megváltoztatása

Van néhány oka annak, hogy a gazda kulcsok megváltoztak, vagy nem egyeznek meg a known_hosts fájljában bejelentettekkel.

  • A rendszer újratelepítésre került.
  • A gazda kulcsokat kézzel módosították a biztonsági protokollok miatt.
  • Az OpenSSH kiszolgáló frissített és különböző szabványokat használ a biztonsági problémák miatt.
  • Az IP- vagy DNS-bérlet megváltozott. Ez gyakran azt jelenti, hogy egy másik számítógéphez próbál hozzáférni.
  • A rendszert valamilyen módon veszélyeztette, hogy megváltozott a fogadó kulcs.

Valószínűleg a probléma az első három, és figyelmen kívül hagyhatja a változást. Ha megváltoztatta az IP / DNS bérletet, előfordulhat, hogy probléma merül fel a kiszolgálóval, és Ön másik gépre irányítható. Ha nem vagy biztos benne, hogy mi a változás oka, valószínűleg feltételezed, hogy ez az utolsó a listán.

Az OpenSSH hogyan kezeli az ismeretlen gazdákat

Az OpenSSH-nak van egy beállítása arra vonatkozóan, hogyan kezeli az ismeretlen gazdákat, amit a "StrictHostKeyChecking" változó (idézőjelek nélkül) tükröz.
Az OpenSSH-nak van egy beállítása arra vonatkozóan, hogyan kezeli az ismeretlen gazdákat, amit a "StrictHostKeyChecking" változó (idézőjelek nélkül) tükröz.

A konfigurációtól függően ismeretlen gazdagépekkel ellátott SSH-kapcsolatok (amelyek kulcsai még nem szerepelnek a known_hosts fájlban) háromféle módon történhetnek.

  • A StrictHostKeyChecking beállítása nincs; Az OpenSSH automatikusan csatlakozik bármely SSH kiszolgálóhoz, tekintet nélkül a gazda kulcs állapotára. Ez bizonytalan és nem ajánlott, kivéve, ha egy csomó gazda hozzáadásával újratelepíti az operációs rendszert, majd visszaállítja.
  • A StrictHostKeyChecking beállítása megkérdezi; Az OpenSSH megmutatja az új gazda kulcsokat, és megerősítést kér, mielőtt hozzáadná őket. Megakadályozza, hogy a kapcsolatok megváltoztak-e a megváltozott gazda kulcsokkal. Ez az alapértelmezett.
  • A StrictHostKeyChecking beállítása igen; A "nem" ellentétben ez megakadályozza Önt, hogy csatlakozzon minden olyan állomáshoz, amely még nincs jelen a known_hosts fájlban.

Ezt a változót könnyen megváltoztathatja a parancssorban a következő paradigmával:

ssh -o 'StrictHostKeyChecking [option]' user@host

Cserélje ki az [opciót] a "nem", a "kérd" vagy az "igen" lehetőséggel. Ne feledje, hogy egyetlen egyenesen idézőjelet tartalmaz ez a változó és annak beállítása. Cserélje ki a felhasználó @ hostot a kiszolgáló nevével és a gazdagépnevével, amelyhez csatlakozik. Például:

ssh -o 'StrictHostKeyChecking ask' [email protected]

A megváltozott billentyűk miatt blokkolt hostok

Ha van olyan kiszolgálója, amelynek megpróbálta elérni a kulcsát, akkor az alapértelmezett OpenSSH konfiguráció megakadályozza, hogy hozzáférjen hozzá. Megváltoztathatta a StrictHostKeyChecking értéket a gazda számára, de ez nem lenne teljesen, alaposan, paranoid módon biztonságos lenne? Ehelyett egyszerűen eltávolíthatjuk a offending értéket a known_hosts fájlból.

Ez biztosan csúnya dolog a képernyőn. Szerencsére ennek oka volt egy újratelepített operációs rendszer. Szóval, nagyítsuk fel a szükséges vonalat.
Ez biztosan csúnya dolog a képernyőn. Szerencsére ennek oka volt egy újratelepített operációs rendszer. Szóval, nagyítsuk fel a szükséges vonalat.
Itt megyünk. Tekintse meg, hogyan említi a szerkeszteni kívánt fájlt? Még a vonalszámot is megadja nekünk! Nyissuk meg tehát a fájlt a Nano-ban:
Itt megyünk. Tekintse meg, hogyan említi a szerkeszteni kívánt fájlt? Még a vonalszámot is megadja nekünk! Nyissuk meg tehát a fájlt a Nano-ban:
Image
Image
Itt van a sértő kulcsunk, az 1. sorban. Csak annyit kell tennünk, hogy a Ctrl + K billentyűvel kivágjuk az egész sort.
Itt van a sértő kulcsunk, az 1. sorban. Csak annyit kell tennünk, hogy a Ctrl + K billentyűvel kivágjuk az egész sort.
Ez sokkal jobb! Tehát most megnyomjuk a Ctrl + O billentyűt a fájl mentéséhez (mentés), majd kilépéshez a Ctrl + X billentyűt.
Ez sokkal jobb! Tehát most megnyomjuk a Ctrl + O billentyűt a fájl mentéséhez (mentés), majd kilépéshez a Ctrl + X billentyűt.

Most pedig egy szép kérést kapunk, amelyre egyszerűen "igen" válaszolunk.

Image
Image

Új gazda kulcsok létrehozása

A rekordot illetően tényleg nem sok ok arra, hogy egyáltalán megváltoztassa a gazda kulcsát, de ha valaha megtalálja az igényt, egyszerűen megteheti.

Először lépjen át a megfelelő rendszerkönyvtárba:

cd /etc/ssh/

Ez általában ott van, ahol a globális gazda kulcsok vannak, noha vannak olyanok, amelyek máshol vannak elhelyezve. Ha kétségei vannak, ellenőrizze a dokumentációját!

Ezután töröljük az összes régi kulcsot.

sudo rm /etc/ssh/ssh_host_*

Alternatívaként érdemes áthelyezni őket egy biztonságos biztonsági könyvtárba. Csak egy gondolat!

Ezután elmondhatjuk az OpenSSH kiszolgálónak, hogy újra konfigurálja magát:

sudo dpkg-reconfigure openssh-server

Megjelenik egy prompt, amikor a számítógép új kulcsokat hoz létre. Ta-da!

Image
Image

Most, hogy tudod, hogy az SSH egy kicsit jobban működik, képesnek kell lennie arra, hogy kipróbálja magát a kemény foltokból. A "távoli házigazda azonosítása megváltozott" figyelmeztetés / hiba olyan tényező, amely sok felhasználó kikapcsol, még azok is, akik ismerik a parancssort.

A bónuszpontoknál ellenőrizheti, hogyan távolról másolhat fájlokat az SSH-n keresztül a jelszó beírása nélkül. Ott megtudhatsz egy kicsit többet a titkosítási algoritmusok egyéb fajtáiról, és hogyan használhatsz kulcsfájlokat a nagyobb biztonság érdekében.

Ajánlott:

Geek Iskola: Ismerje meg a PowerShell munkahelyeinek használatát

Geek Iskola: Ismerje meg a PowerShell munkahelyeinek használatát

A PowerShell négyféle munkát végez: háttérmunkák, távoli munkák, WMI-munkák és ütemezett munkák. Csatlakozzon hozzánk, és megtudjuk, hogy ők, és hogyan tudjuk használni őket.

Ismerje meg a Windows Build-szám titkait

Ismerje meg a Windows Build-szám titkait

Legtöbbjük valószínűleg soha nem gondol a Windows-építési számra - végül is ez nem olyan, amit gyakran láttál, és ez nem számít. De a Windows Vista óta érdekes titkot tart.

Ismerje meg a Webhely aktuális helyét a Flagfox segítségével

Ismerje meg a Webhely aktuális helyét a Flagfox segítségével

Meglátogatott egy weboldalt, és azon töprengett, vajon hol található? Most már tudod az igazi helyet, függetlenül attól, hogy melyik címet jeleníti meg a címsávban a Flagfox.

Ismerje meg a Geeky részleteit minden Apple termékről, régi és új

Ismerje meg a Geeky részleteit minden Apple termékről, régi és új

Ha az Apple termékek rajongója vagy, de a hardvered csak arra korlátozódik, amit megengedhetsz, akkor még mindig élvezheted az utazás során az Apple terméktörténetét a Mactrackerrel.

Mi az OpenSSH? Az OpenSSH engedélyezése és használata a Windows 10 operációs rendszeren

Mi az OpenSSH? Az OpenSSH engedélyezése és használata a Windows 10 operációs rendszeren

Most engedélyezheti és használhatja az OpenSSH szolgáltatást Windows 10 számítógépeken. Az OpenSSH rendkívül népszerű a Linux gépeken dolgozó fejlesztők körében.