Το πρωτόκολλο SSH ή Secure Shell χρησιμοποιείται για την απομακρυσμένη σύνδεση σε ένα μηχάνημα και την εκτέλεση εντολών στο απομακρυσμένο μηχάνημα. Τα δεδομένα που μεταφέρονται χρησιμοποιώντας το πρωτόκολλο SSH είναι κρυπτογραφημένα με ειδικούς αλγόριθμους που καθιστούν το SSH πιο ασφαλές από το Telnet. Βασικά, το OpenSSH είναι ένα εργαλείο που υλοποιεί αυτό το πρωτόκολλο.
Τι Θα Καλύψουμε;
Σε αυτόν τον οδηγό, θα εξερευνήσουμε τις διάφορες πτυχές του αρχείου διαμόρφωσης διακομιστή OpenSSH. Ας ξεκινήσουμε τώρα.
Αρχεία διαμόρφωσης OpenSSH
Υπάρχουν ορισμένα βασικά αρχεία τόσο για τον πελάτη OpenSSH όσο και για τον διακομιστή. Έχει δύο τύπους αρχείων διαμόρφωσης:
1. Αρχεία που σχετίζονται με την πλευρά του πελάτη: Ένα από τα αρχεία είναι το ssh_config. Είναι ένα αρχείο διαμόρφωσης σε όλο το σύστημα. Αυτό το αρχείο βρίσκεται στη διεύθυνση /etc/ssh/ssh_config.
Το άλλο αρχείο είναι το config, το οποίο είναι ένα αρχείο ρυθμίσεων για συγκεκριμένο χρήστη που βρίσκεται στο $HOME/.ssh/config.
Το πρόγραμμα SSH σε έναν κεντρικό υπολογιστή λαμβάνει τη διαμόρφωση είτε από αυτά τα αρχεία είτε μέσω της διεπαφής της γραμμής εντολών. Στην περίπτωση των αρχείων που αναφέρθηκαν προηγουμένως, το αρχείο διαμόρφωσης σε όλο το σύστημα, το οποίο είναι ssh_config, έχει προτεραιότητα έναντι του αρχείου 'config' του συγκεκριμένου χρήστη.
2. sshd_config: Σχετίζεται με την πλευρά του διακομιστή. Ο διακομιστής OpenSSH διαβάζει αυτό το αρχείο όταν ξεκινά.
Εξερευνώντας το sshd Αρχείο Διαμόρφωσης
Το αρχείο διαμόρφωσης sshd περιέχει πολλές οδηγίες που μπορούν επίσης να προσαρμοστούν. Ας δούμε την προεπιλεγμένη διάταξη αυτού του αρχείου:
$ Γάτα / και τα λοιπά / ssh / sshd_config
# Αυτό είναι το αρχείο διαμόρφωσης του διακομιστή sshd σε όλο το σύστημα. Βλέπω
# sshd_config(5) για περισσότερες πληροφορίες.
Λιμάνι 222ListenAddress 0.0.0.0
Διεύθυνση Ακρόασης::
HostKey / και τα λοιπά / ssh / ssh_host_key
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin Ναί
IgnoreRhosts Ναί
StrictModes Ναί
X11 Αρ
AllowTcpForwarding αρ
επιτρέπωTTY αρ
X11DisplayOffset 10
PrintMotd Ναί
Κρατήσει ζωντανή Ναί
SyslogFacility ΑΠΘ
ΠΛΗΡΟΦΟΡΙΕΣ LogLevel
RhostsAuthentication αρ
Αριθμός ελέγχου ταυτότητας RhostsRSAA
Έλεγχος ταυτότητας RSAA Ναί
PasswordAuthentication Ναί
AllowEmptyPasswords αρ
CheckMail αρ
Οποιαδήποτε γραμμή αρχίζει με '#' λαμβάνεται ως σχόλιο. Ας εξερευνήσουμε μερικές από τις παραμέτρους που δίνονται:
1. Η οδηγία Port καθορίζει έναν αριθμό θύρας. Αυτός είναι ο αριθμός θύρας στην οποία το sshd ακούει για συνδέσεις. Η προεπιλεγμένη τιμή για αυτήν τη θύρα είναι 22 που είναι η τυπική. Ωστόσο, στην περίπτωσή μας, το αλλάξαμε σε 222.
Επίσης, μπορούμε να καθορίσουμε περισσότερες από μία οδηγίες Port. Με αυτόν τον τρόπο, μπορούμε να χρησιμοποιήσουμε πολλές θύρες για ακρόαση στις συνδέσεις sshd.
2. Η ListenAddress περιέχει τη διεύθυνση IP για ακρόαση. Η προεπιλεγμένη ενέργεια είναι να ακούσετε όλες τις διευθύνσεις IP που είναι συνδεδεμένες στον διακομιστή. Σημειώστε επίσης ότι η οδηγία Port πρέπει να διαδέχεται την οδηγία ListenAddress.
3. Η πλήρως πιστοποιημένη διαδρομή του αρχείου του ιδιωτικού κλειδιού κεντρικού υπολογιστή RSA καθορίζεται από την οδηγία HostKey. Στην προηγούμενη περίπτωση, η διαδρομή είναι /etc/ssh/ssh_host_key .
4. Η οδηγία PermitRootLogin επιτρέπει τη ρίζα σύνδεσης για sshd όταν έχει οριστεί σε ναι. Αυτό θα πρέπει να οριστεί σε όχι εκτός εάν τα αρχεία hosts.allow και hosts.deny χρησιμοποιούνται για τον περιορισμό της πρόσβασης sshd.
5. Η οδηγία X11Forwarding επιτρέπει την προώθηση συστήματος X Window όταν έχει οριστεί σε ναι.
6. Ποια εγκατάσταση Syslog που η sshd Πρέπει να χρησιμοποιείται προσδιορίζεται χρησιμοποιώντας την οδηγία SyslogFacility. Διατηρήστε την προεπιλεγμένη τιμή ως έχει.
7. Το επίπεδο καταγραφής για το Syslog καθορίζεται χρησιμοποιώντας την οδηγία LogLevel.
Αλλαγή του sshd Λιμάνι
Από προεπιλογή, το sshd ή ο δαίμονας διακομιστή OpenSSH χρησιμοποιεί τη θύρα 22 του πρωτοκόλλου TCP. Συνιστάται να αλλάξετε αυτόν τον αριθμό θύρας σε κάποια άλλη τιμή σε περιβάλλον δοκιμής. Αυτό μας διαβεβαιώνει ότι η συνδεσιμότητα διακομιστή είναι διαθέσιμη όλη την ώρα.
Επίσης, είναι καλή πρακτική να ελέγχετε τη σύνταξη της διαμόρφωσης ενός νέου αρχείου sshd_config πριν το χρησιμοποιήσετε, ανεξάρτητα από τη θύρα που εκτελείται. Για να ελέγξουμε τη σύνταξη, μπορούμε να χρησιμοποιήσουμε την ακόλουθη εντολή:
$ sshd -τ
Είναι επίσης σημαντικό να σημειωθεί ότι μόνο ο χρήστης root θα πρέπει να μπορεί να διαβάζει και να γράφει σε αυτό το αρχείο. Αυτό σημαίνει ότι εάν ένα αρχείο διαμόρφωσης sshd_config είναι σωστά ασφαλισμένο, η εκτέλεση της προηγούμενης εντολής χρειάζεται εξουσιοδότηση root.
Εάν δεν εμφανίζεται καμία έξοδος κατά την εκτέλεση της προηγούμενης εντολής επαλήθευσης σύνταξης, σημαίνει ότι το αρχείο είναι εντάξει.
Τροποποίηση του προεπιλεγμένου αρχείου διαμόρφωσης και της θύρας
Σε ορισμένες περιπτώσεις, θέλουμε να εκτελέσουμε μια νέα παρουσία του sshd σε διαφορετικό λιμάνι. Αυτό μπορεί να οφείλεται στο ότι η θύρα 22 χρησιμοποιείται ήδη ή μπορεί να υπάρχουν ορισμένες περιοχές κινδύνου για την αλλαγή αυτής της θύρας σε περιβάλλον παραγωγής. Σε τέτοιες περιπτώσεις, μπορούμε να δημιουργήσουμε ένα εναλλακτικό αρχείο διαμόρφωσης για τον διακομιστή μας.
Ας δημιουργήσουμε ένα νέο αρχείο sshd_config ως sshd_config_new. Αυτό το αρχείο μπορεί να χρησιμοποιηθεί για ορισμένες διαφορετικές παραμέτρους διακομιστή. Τώρα, ας καθορίσουμε αυτό το αρχείο να θεωρείται ως το νέο αρχείο διαμόρφωσης διακομιστή στη θύρα 100:
$ sudo / usr / sbin / sshd -φά / και τα λοιπά / ssh / sshd_config_new -Π 100
Ο δαίμονας sshd ακούει τώρα στη θύρα 100. Μπορούμε να χρησιμοποιήσουμε οποιαδήποτε τιμή θύρας αλλά όχι αυτήν που χρησιμοποιείται ήδη.
Τώρα, ας ελέγξουμε αν η νέα μας θύρα λειτουργεί όπως επιθυμούμε. Για αυτό, πρέπει να χρησιμοποιήσουμε ένα πρόγραμμα πελάτη ssh και να εκτελέσουμε την ακόλουθη εντολή:
$ / usr / αποθήκη / ssh -Π 100 < ip του διακομιστή >
Η επιλογή «-p» καθορίζει τη θύρα 100 που θα χρησιμοποιηθεί στον απομακρυσμένο διακομιστή. Σε περίπτωση που δοκιμάζουμε τοπικά, μπορούμε να χρησιμοποιήσουμε την IP του διακομιστή ως την IP του localhost:
Αντιμετώπιση προβλημάτων Διαμόρφωση OpenSSH
Μερικές φορές, ο διακομιστής μας δεν λειτουργεί όπως επιθυμούμε. Σε τέτοιες περιπτώσεις, μπορούμε να χρησιμοποιήσουμε τη σημαία '-d' για την αντιμετώπιση προβλημάτων της διαμόρφωσης διακομιστή OpenSSH. Χρησιμοποιώντας τη σημαία '-d', ο διακομιστής εισέρχεται στη λειτουργία εντοπισμού σφαλμάτων και χειρίζεται μόνο μία σύνδεση.
Η έξοδος που παράγεται στη λειτουργία εντοπισμού σφαλμάτων είναι αναλυτική. Μπορούμε να χρησιμοποιήσουμε περισσότερες σημαίες '-d' για να αυξήσουμε το επίπεδο εντοπισμού σφαλμάτων. Ας εκτελέσουμε την εντολή εντοπισμού σφαλμάτων στον διακομιστή μας χρησιμοποιώντας το νέο αρχείο διαμόρφωσης:
$ / usr / sbin / sshd -ρε -Π 100 -φά / και τα λοιπά / ssh / sshd_config_new
Η έξοδος από την προηγούμενη εντολή καταγράφεται στο stderr αντί να χρησιμοποιεί τη δυνατότητα ΑΠΘ του syslogd.
συμπέρασμα
Ο δαίμονας OpenSSH ή sshd είναι ένα κρίσιμο μέρος πολλών υποδομών διαχείρισης. Ως εκ τούτου, απαιτεί τεχνογνωσία για τη διαχείρισή του για βέλτιστη λειτουργία. Σε αυτό το άρθρο, μάθαμε για το αρχείο διαμόρφωσης διακομιστή OpenSSH όπως το sshd_config.