Ssh, російськомовна документація по ubuntu
Встановити OpenSSH можна з термінала командою:
У метапакете ssh міститься як клієнт, так і сервер, але при цьому, швидше за все, буде встановлений тільки сервер, т. К. Клієнт вже є в Ubuntu за замовчуванням.
При установці SSH-сервер автоматично прописується в автозавантаження. Управляти його запуском, зупинкою або перезапуском можна за допомогою команд:
Основний файл конфігурації SSH-сервера - файл / etc / ssh / sshd_config. доступний для читання або редагування тільки суперкористувачеві. Після кожної зміни цього файлу необхідно перезапустити ssh-сервер для застосування таких змін.
Приклад конфігурації SSH-сервера в Ubuntu за замовчуванням 2).
Ви маєте можливість копіювати наведений вище текст в ваш власний sshd_config і використовувати в подальшому для настройки.
Сам по собі, неправильно налаштований SSH-сервер - величезна вразливість в безпеці системи, т. К. У можливого зловмисника є можливість отримати практично необмежений доступ до системи. Крім цього, у sshd є багато додаткових корисних опцій, які бажано включити для підвищення зручності роботи і безпеки 3).
По-друге, бажано змінити стандартний порт (22) на якому слухає sshd. Це пов'язано з тим, що численні мережеві сканери постійно намагаються з'єднатися з 22-м портом і як мінімум отримати доступ шляхом перебору логінів / паролів зі своєї бази. Навіть якщо у вас і відключена парольний аутентифікація - ці спроби сильно засмічують журнали і (у великій кількості) можуть негативно вплинути на швидкість роботи ssh сервера. Якщо ж ви з якої-небудь причини не бажаєте змінити стандартний порт ви можете використовувати як різні зовнішні утиліти для боротьби брутфорсер, наприклад fail2ban. так і вбудовані, такі як MaxStartups.
Задати порт можна як абсолютним значенням для всіх інтерфейсів за допомогою директиви Port. так і конкретним значенням для кожного інтерфейсу, за допомогою директиви ListenAddress. наприклад:
За замовчуванням root-доступ заборонений по паролю (по ключу - можна) - опція PermitRootLogin встановлена в without-password 4). Але, за умови, що за замовчуванням в Ubuntu користувач, доданий при установці системи має можливість вирішувати всі адміністративні завдання через sudo, створювати можливість root доступу до системи через ssh - виглядає нерозумно (навіть при аутентифікації по ключу). Рекомендується зовсім відключити. цю опцію, або застосовувати її тільки в режимі forced-commands-only. Відключити root-доступ можна так:
Як вже було сказано, sshd може працювати з протоколами SSH1 і SSH2. При цьому використання небезпечного SSH1 вкрай не рекомендується. Змусити sshd працювати тільки з протоколом SSH2 можна так:
Сервер повинен знати, де йому слід шукати публічний ключ користувача. Для цього застосовується спеціальний файл authorized_keys. Синтаксис його може бути наступним:
Можна вказати як один загальний файл з ключами, так і по файлу на кожного користувача. Останній спосіб є більш зручним і безпечним, т. К. Можна по-перше вказувати різні комбінації ключів для кожного користувача 5). а по-друге обмежити доступ до публічного ключа користувача. Задати файл з ключами можна за допомогою директиви AuthorizedKeysFile.
для схеми користувач - файл
або
для схеми з загальним файлом. За замовчуванням SSH-клієнт шукає ключі в файлі
20 порад щодо безпечного використання сервера OpenSSH
Розташування конфігураційних файлів можна дізнатися з
2. Підготовка сервера. Вам необхідно переконатися що в конфігурації sshd дозволена аутентифікація за допомогою публічних ключів. Для цього необхідно в файлі «sshd_config» вказати значення параметра «PubkeyAuthentication» в «yes». Потім в файл »
/.ssh/authorized_keys »додаємо наш публічний ключ отриманий раніше (одним рядком). Зверніть увагу, файл ».ssh / authorized_keys» знаходиться в домашньому каталозі того користувача, який потім буде логінитися з публічного ключу.
Потрібно дописати статтю, перевести з man # 'ов і описати потрібні файли
1) Насправді існує багато додаткових утиліт для роботи з ssh.
2) Перекладено з оригінального man sshd_config в Ubuntu 9.10. Додані додаткові коментарі.
3) Опис різних директив см. Вище в прикладі sshd_config. нижче наведені лише деякі, найцікавіші директиви
4) У старіших версіях і на деяких інших дистрибутивах може стояти і зовсім # 'Yes #'.
5) Т. е. User1 може бути прописаний як у себе - в файлі /home/user1/.ssh/keys) так і в іншого користувача, що дозволить йому виконувати зі свого комп'ютера вхід як «під собою», так і під « іншим »
Сервери на Ubuntu