Menggunakan protokol SSH yang selamat, pentadbir menyambung ke pelayan mereka untuk kerja yang selamat. Mari kita lihat dengan lebih dekat ciri-ciri protokol ini:

Apakah protokol SSH

Protokol SSH (dari bahasa Inggeris. Shell Selamat) ialah protokol rangkaian kriptografi yang direka untuk akses jauh ke sistem pengendalian dan kawalan jauh selamat dalam rangkaian yang tidak dilindungi (contohnya, melalui Internet).

SSH menyediakan saluran komunikasi yang selamat antara pelanggan dan pelayan, di mana anda boleh memindahkan data (mel, video, fail), bekerja pada baris arahan dan melancarkan program dari jauh, termasuk yang grafik. Pelayan SSH mesti dipasang pada sistem pengendalian jauh. Pelanggan SSH mesti berjalan pada mesin dari mana sambungan jauh akan dibuat.

Ciri utama yang tersedia apabila menggunakan protokol SSH:

• Pindahkan sebarang data melalui sambungan SSH yang selamat, termasuk pemampatan data untuk penyulitan berikutnya.
• X11 Forwarding ialah mekanisme yang membolehkan anda menjalankan program pelayan UNIX/Linux dalam bentuk cangkerang grafik, seperti dalam Windows (gunakan Sistem Tetingkap X).
• Port forwarding ialah pemindahan trafik yang disulitkan antara port mesin yang berbeza.

Keselamatan sambungan SSH dipastikan oleh:

• penyulitan data menggunakan salah satu algoritma sedia ada
• pengesahan pelayan dan klien menggunakan salah satu daripada beberapa kaedah yang tersedia
• kehadiran fungsi protokol tambahan yang bertujuan untuk mencegah pelbagai serangan penggodam

Pengesahan pelayan menyediakan perlindungan terhadap:

• menggodam dengan menggantikan alamat IP (IP-spoofing), apabila satu hos jauh menghantar paket bagi pihak hos jauh yang lain
• penggantian rekod DNS (DNS-spoofing), apabila rekod pada pelayan DNS diganti, menyebabkan sambungan diwujudkan dengan hos yang dinyatakan dalam rekod palsu, bukannya yang diperlukan
• memintas kata laluan yang jelas dan data lain yang dihantar dalam teks yang jelas melalui sambungan yang telah ditetapkan

Hari ini, terdapat dua versi protokol SSH (SSH-1 dan SSH-2), dan versi kedua ditambah baik dan dikembangkan berbanding yang pertama. Sebagai contoh, versi kedua tahan terhadap serangan MITM (man-in-the-middle, man-in-the-middle). Terdapat juga dua edisi protokol ini: versi terbuka (percuma) dan versi komersial (berbayar). Versi percuma - OpenSSH - dibina ke dalam semua sistem pengendalian seperti UNIX dalam bentuk klien SSH standard dan utiliti pelayan SSH.

Pelaksanaan komersial protokol SSH - Keselamatan Komunikasi SSH - telah dibangunkan oleh organisasi dengan nama yang sama. Ia mempunyai perbezaan kecil daripada versi percuma, seperti ketersediaan sokongan teknikal komersil, kehadiran alat pengurusan web, dll. Set asas perintah dan keupayaan adalah hampir sama untuk kedua-dua produk.

Pelbagai klien dan cengkerang SSH telah dikeluarkan untuk OS Windows, yang paling biasa ialah PuTTY dan WinSCP percuma. Sistem pengendalian lain juga mempunyai pelanggan SSH mereka sendiri.

Apakah protokol SFTP

Protokol SFTP (dari bahasa Inggeris. Protokol Pemindahan Fail SSH) ialah protokol rangkaian lapisan aplikasi yang direka untuk memindahkan fail dan tindakan lain dengannya melalui sambungan yang boleh dipercayai sedia ada. Protokol ini dibangunkan sebagai lanjutan daripada SSH-2, bertujuan untuk operasi fail melalui saluran selamat, tetapi juga boleh berfungsi dengan protokol lain yang menyediakan sambungan selamat antara pelayan dan klien. Dalam erti kata lain, untuk bekerja dengan pasti melalui protokol SFTP, anda mesti mempunyai sambungan selamat yang mantap (contohnya, SSH), yang mengesahkan pelanggan dan pelayan dan menetapkan fakta kebolehpercayaan mereka, kerana protokol SFTP itu sendiri tidak mengesahkan dan tidak tidak memberikan keselamatan.

SFTP mempunyai beberapa kelebihan berbanding pendahulunya - FTP dan SCP - seperti mengganggu pemindahan fail, memadam, menyambung semula pemindahan, mengaitkan fail yang dipindahkan dengan atribut asas seperti cap tarikh/masa, serta kebebasan platform yang lebih tinggi.

Protokol SFTP dilaksanakan melalui pelayan SFTP dan klien SFTP, yang merupakan subsistem OpenSSH.

Untuk apakah protokol SSH dan SFTP digunakan?

Selalunya, protokol SSH dan SFTP digunakan untuk bekerja dari jauh dengan sistem pengendalian atau memindahkan sejumlah besar fail.

Sebagai contoh, pelanggan menyewa pelayan atau sebahagian daripada ruang pelayan. Terdapat keperluan untuk memindahkan data pelanggan sedia ada di sana, sebagai contoh, tapak web atau fail mel. Pembekal mesti memastikan kebolehpercayaan dan kelajuan pertukaran data dengan pelayannya, terutamanya apabila ia melibatkan jumlah maklumat yang besar dan kerahsiaannya yang tinggi. Dalam kes ini, pelayan SSH (dengan protokol SFTP terbina dalam) dipasang pada mesin jauh (dalam kes ini, pelayan maya), dan klien SSH dipasang pada komputer klien. Terowong SSH dicipta dan pertukaran data antara pelanggan dan pelayan jauh dijalankan melalui sambungan selamat dengan semua kelebihan protokol yang diterangkan di atas.

SSH juga boleh digunakan untuk kerja jauh melalui sambungan selamat dengan pelbagai perkhidmatan pembekal, seperti perisian, sistem pengendalian, dsb.

Bagaimana SSH berfungsi

Protokol SSH menjalankan satu set program yang melakukan pelbagai tindakan pada sistem pengendalian jauh. Sebagai contoh, program sshd menyediakan fungsi pelayan SSH dan mesti dijalankan pada pelayan SSH. Program ssh berjalan pada klien SSH dan membolehkan anda membuat sambungan dengan hos jauh, mendaftar padanya, dan bekerja dengan mesin jauh melalui sambungan SSH.

Untuk melancarkan program protokol SSH tertentu, terdapat arahan khas dengan satu set pilihan yang berbeza. Arahan ini mungkin berbeza-beza bergantung pada sistem pengendalian klien dan shell klien SSH yang anda gunakan. Perintah dilancarkan sama ada dari baris arahan, dalam kes sistem seperti UNIX, atau melalui antara muka grafik dalam cengkerang SSH yang sepadan.

Bagaimana untuk menyambung melalui SSH

Jika komputer anda menjalankan Windows, dan mesin jauh adalah sistem seperti UNIX (contohnya, Linux), maka anda boleh menggunakan PuTTY untuk mewujudkan sambungan SSH. Program percuma untuk Windows ini terdiri daripada satu fail boleh laku dan tidak memerlukan pemasangan.

Untuk mewujudkan sambungan menggunakan PuTTY, anda perlu melakukan perkara berikut:

Lancarkan PuTTY (putty.exe).

Secara lalai, tiada tetapan tambahan diperlukan; anda boleh memastikan bahawa port 22 ditentukan dan jenis sambungan ialah SSH. Dalam medan Nama Hos (atau alamat IP) anda perlu memasukkan nama komputer jauh atau alamat IPnya dan klik butang Buka.

Amaran keselamatan PuTTY mungkin muncul, tetapi jika anda yakin bahawa hos itu boleh dipercayai, anda harus mengklik Ya dan meneruskan sambungan.

Dalam baris arahan yang muncul, anda perlu memasukkan nama pengguna di mana anda akan log masuk ke komputer jauh.

Dalam baris seterusnya anda perlu memasukkan kata laluan untuk pengguna ini. Apabila anda memasukkan kata laluan anda, tiada aksara muncul pada baris arahan, jadi anda hanya menaip kata laluan dan tekan Enter. Jika nama pengguna dan kata laluan yang salah dimasukkan, ralat "Akses ditolak" akan dipaparkan; jika sambungan berjaya, baris arahan komputer jauh akan disediakan.

SSH (Secure Shell) ialah protokol rangkaian yang direka untuk pengurusan pelayan jauh dan pemindahan data melalui sambungan yang disulitkan TCP. Kebanyakan perkhidmatan pengehosan, malah perkhidmatan maya, hari ini menyediakan akses melalui FTP dan SSH. Pada pendapat saya, ini bagus, SSH jauh lebih mudah dan lebih selamat untuk digunakan.

Menyediakan SSH

Persediaan akan berlaku untuk pelayan khusus, VDS, VPS pada Debian, Ubuntu. Fail konfigurasi terletak di sini: /etc/ssh/sshd_config.
Jika anda mempunyai pengehosan biasa, semuanya harus dikonfigurasikan sebagaimana mestinya, pergi ke bahagian tersebut.

Secara lalai, daemon SSHD (yang kami buat perubahan) tidak memerlukan sebarang tetapan dan berfungsi dengan baik. Kami hanya akan membuat beberapa perubahan kecil untuk mengehadkan akses orang yang tidak diingini kepada pelayan.

Akibat daripada membuat perubahan yang salah pada fail konfigurasi, anda mungkin kehilangan akses kepada pelayan melalui ssh, jadi pastikan anda mempunyai pilihan alternatif untuk mengaksesnya, contohnya menggunakan panel kawalan ISPManager.

Bagaimana untuk menyekat akses SSH

Semua perubahan dibuat kepada /etc/ssh/sshd_config
Untuk perubahan berkuat kuasa, anda mesti

Tukar port

Pelabuhan 9724

Sekarang, apabila membenarkan, anda perlu menentukan 9724 dan bukannya port 22 standard.
Kaedah ini sangat mudah dan berkesan terhadap kebanyakan bot penggodam mudah yang mengetuk port standard. Perkara utama di sini adalah untuk tidak mencipta konflik dengan perkhidmatan lain dan memilih nombor yang jelas tidak digunakan.

Lumpuhkan komunikasi menggunakan protokol lama

Di sini kami mentakrifkan bahawa komunikasi hanya boleh dilakukan menggunakan protokol v2

Jika anda tidak log masuk akar, sebelum semua arahan konsol anda perlu menambah sudo - ia bermaksud Pengguna Ganti dan DO- gantikan pengguna dan lakukan (di bawahnya). Sebagai contoh, ia membolehkan anda melaksanakan arahan sebagai pengguna super akar.

Kurangkan bilangan percubaan kebenaran

MaxAuthTries 2

Bilangan percubaan kata laluan. Lalai ialah 6. Jika carian gagal, sesi komunikasi ditamatkan.

Kurangkan masa menunggu kebenaran

Log MasukGraceTime 30s

Secara lalai, sesi kebenaran boleh bertahan selama 120 saat. Selepas masa ini ia berakhir. 2 minit untuk kebenaran adalah berlebihan; selama ini pelayan memastikan sambungan terbuka, yang sangat tidak rasional. Setengah minit sudah memadai.

Tutup akses IP

Jika anda hanya memerlukan akses, cara paling mudah dan boleh dipercayai ialah menyekat akses dari mana-mana kecuali IP anda atau, jika ia dinamik, maka julat IP.

1. Buka /etc/hosts.allow dan tambah SSHD di sana: 192.168.1.1

   di mana 192.168.1.1 ialah IP anda. Jika anda mempunyai IP dinamik, tentukan IP dengan subnet mask dan tuliskan subnet anda dan bukannya IP, contohnya:

   SSHD: 192.168.0.0/16

2. Buka /etc/hosts.deny dan tambah di sana: SSHD: ALL

Satu lagi cara untuk menyekat akses melalui IP

Anda boleh menggunakan arahan berikut:

AllowUsers = *@1.2.3.4

Di sini kami hanya membenarkan akses untuk IP 1.2.3.4

Keizinan SSH dengan kunci

Ia akan menjadi lebih selamat, lebih mudah dan betul untuk menyediakan kebenaran ssh tanpa kata laluan. Untuk tujuan ini, kebenaran utama akan digunakan.

Jadi inilah arahannya:

Sambungan dikonfigurasikan. Jika anda melakukan sesuatu yang salah, ralat Pelayan menolak kunci kami akan muncul semasa kebenaran, iaitu Pelayan tidak menerima kunci kami. Dalam kes ini, semak semua titik secara berurutan dan cari ralat

Terima kasih MadKox

Contoh fail konfigurasi

# Lagenda: #
# Dengan "lalai" kami maksudkan tingkah laku sshd apabila #
# arahan yang tidak ditentukan. Perlu diingat bahawa dalam Ubuntu #
# fail sshd_config sudah mengandungi beberapa tetapan yang #
# ialah tetapan lalai khusus untuk Ubuntu. #
# Tetapan sedemikian dinyatakan dalam fail ini. #
# #

################Tetapan alamat/port, dsb. ##########
############################################################
# #
## Pelabuhan ################################################ ## #####
# #
# Port untuk digunakan. Anda boleh menentukan beberapa, sebagai contoh: #
# Pelabuhan 22 #
# Pelabuhan 23 #
# Pelabuhan 24 #
# Adalah disyorkan untuk menggunakan port bukan standard, kerana #
# standard sering diimbas oleh bot untuk item #
# potensi "lubang". Boleh diabaikan jika # diberi
# melalui alamat. Lihat juga parameter ListenAddress. #
# #
Pelabuhan 8022
# #
## ListenAddress ############################################
# #
# Alamat rangkaian di mana pelayan sedang mendengar. Alamat boleh #
# tulis seperti ini: #
# Hos ListenAddress|IPv4_addr|IPv6_addr #
# Hos ListenAddress|IPv4_addr:port #
# ListenAddress :port #
# Jika tiada port dinyatakan, sshd akan mendengar pada alamat itu dan #
# pada port yang dinyatakan dalam pilihan Port. Jika anda akan menjadi #
# gunakan ListenAddress tanpa menyatakan port, kemudian pilihan #
# Port mesti mendahului pilihan ListenAddress. Jika tidak #
# tentukan, kemudian secara lalai mendengar pada semua setempat #
# alamat. Anda boleh menentukan berbilang alamat. #
# #
## Alamat Keluarga ############################################
# #
# Menentukan keluarga alamat IP yang sepatutnya #
# sshd terpakai. Pilihan yang mungkin: #
# “mana-mana” mana-mana #
# “inet” (IPv4 sahaja) #
# “inet6” (IPv6 sahaja) #
# Lalai ialah “mana-mana”. #
AddressFamily inet
# #
## UseDNS ################################################ ## ###
# #
# Menentukan sama ada sshd harus menyemak nama hos dan #
# menggunakan nama ini untuk menyemak alamat IP yang dihantar oleh klien dengan #
# diterima daripada DNS. #

# #
############################################################
############ Tetapan akses pengguna ##############
############################################################
# #
# Benarkan/tidak benarkan pengguna ditentukan oleh arahan #
# DenyUsers, AllowUsers, DenyGroups dan AllowGroups. #
# dalam kes ini, cek pergi dari atas ke bawah sepanjang rantai: #
# ## DenyUsers ## #
# || #
# ## Benarkan Pengguna ## #
# || #
# ## DenyGroups ## #
# || #
# ## AllowGroups ## #
# Hanya nama pengguna dan kumpulan angka yang diterima #
# pengecam (UserID) tidak dikenali. Betul #
# rekod beberapa pengguna/kumpulan secara bergilir-gilir, melalui #
#ruang. Jika ditulis dalam borang user@host maka #
# pengguna dan hos disemak secara berasingan, ini membolehkan #
# hadkan akses kepada pengguna tertentu #
# hos tertentu. Perlu diingat bahawa arahan #
# DenyUsers dan AllowUsers ambil sebagai parameter #
# nama pengguna, dan nama DenyGroups dan AllowGroups #
# kumpulan. Lihat CORAK dalam man ssh_config untuk # tambahan
# maklumat tentang borang untuk merekod nama pengguna dan kumpulan. #
# #
## DenyUsers ################################################ ###
# #
# Senarai PENGGUNA yang TIDAK BOLEH menggunakan sshd. #
# Lalai tidak dinyatakan = tiada siapa yang diharamkan. Itu. jika #
# pengguna dinyatakan di sini, dia akan dinafikan akses #
# ke pelayan ssh. #
# #
## AllowUsers ################################################
# #
# Senarai PENGGUNA yang BOLEH menggunakan sshd, #

# sekurang-kurangnya seorang pengguna ditentukan, akses ssh ke pelayan #
# hanya tersedia untuknya. #
# #
## DenyGroups ################################################
# #
# Senarai KUMPULAN yang TIDAK sepatutnya digunakan oleh sshd. #
# Lalai tidak dinyatakan = tiada kumpulan dilarang. #
# Itu dia jika sekurang-kurangnya satu kumpulan ditentukan, maka pengguna #
# ahli kumpulan ini akan dinafikan akses kepada ssh #
# ke pelayan. #
# #
## AllowGroups ################################################
# #
# Senarai GROUPS yang sshd BOLEH gunakan. #
# Lalai tidak dinyatakan = dibenarkan kepada semua. Itu. jika #
# sekurang-kurangnya satu kumpulan ditentukan, kemudian hanya kepada pengguna tersebut#
# yang disertakan di dalamnya akan dibenarkan akses kepada pelayan ssh.#
# #
############################################################
######### Pilihan pengesanan keadaan sambungan ############
############################################################
# #
## TCPKeepAlive ################################################
# #
# Menunjukkan sama ada sistem harus menghantar mesej TCP kepada klien #
# untuk tujuan mengekalkan sambungan. Jika anda menghantar paket ini, #
# anda boleh mengesan sambungan putus. Namun ini juga #
# bermakna sambungan mungkin ditutup jika #
# gangguan jangka pendek dalam penghalaan dan #
# Ini sangat menjengkelkan bagi sesetengah orang. Sebaliknya, jika #
# sesi pada pelayan mungkin tidak menghantar mesej sedemikian #
# kekal selama-lamanya, mencipta pengguna "hantu",#
# dan memakan sumber pelayan. Nilai lalai ialah “ya”,#
# iaitu menghantar mesej sedemikian. Untuk melumpuhkan penghantaran #
# mesej sedemikian hendaklah ditetapkan kepada "tidak". Sebelum ini #
# pilihan itu dipanggil KeepAlive. Perlu diingat bahawa #
# terdapat cara yang lebih selamat untuk menyemak status #
# sambungan (lihat di bawah). #
# #
TCPKeepAlive ya
# #
## ClientAliveCountMax ######################################
# #
# Menetapkan bilangan mesej kepada pelanggan yang sshd #
# menghantar berturut-turut tanpa menerima sebarang respons daripada #
# pelanggan. Jika ambang dicapai dan #
# pelanggan tidak pernah menjawab sshd akan memutuskan sambungan pelanggan dengan membatalkan #
# sesi ssh. Perlu diingat bahawa penggunaan # tersebut
# mesej berbeza sama sekali daripada arahan TCPKeepAlive. #
# Mesej kepada/daripada pelanggan dihantar secara disulitkan #
# saluran dan oleh itu tidak terdedah kepada penipuan. Mesej #
# TCPKeepAlive terdedah kepada penipuan. Mekanisme pelanggan hidup #
# amat berharga dalam kes di mana pelayan dan pelanggan memerlukan #
# tahu bila sambungan menjadi tidak aktif. Lalai #
# nilai ialah 3. Sekiranya ClientAliveInterval #
# ditetapkan kepada sama
5 dan ClientAliveCountMax tinggal di #
# secara lalai, pelanggan yang tidak bertindak balas akan diputuskan sambungan lebih kurang #
# dalam 45 saat. Arahan ini hanya berfungsi untuk #
# protokol ssh2. #
# #
## ClientAliveInterval ######################################
# #
# Menentukan selang masa dalam saat. Jika dalam tempoh #
# tiada pertukaran data dengan pelanggan semasa selang waktu ini, sshd #
# menghantar mesej melalui saluran yang disulitkan, #
# meminta jawapan daripada pelanggan. Lalai ialah 0, i.e. #
# jangan hantar mesej sedemikian. Arahan ini berfungsi #
# hanya untuk protokol ssh2. #
# #
############################################################
################ Pilihan pengesahan am ################
############################################################
# #
## AuthorizedKeysFile ########################################
# #
# Menentukan fail yang mengandungi kunci awam #
# digunakan untuk pengesahan pengguna. Arahan #
# mungkin mengandungi penanda seperti %M, yang dimasukkan ke dalam #
# proses persediaan sambungan. #
# Penanda berikut ditakrifkan: #




# Oleh itu, fail kunci boleh ditentukan sebagai #
# laluan mutlak (iaitu satu fail biasa dengan kunci), dan #
# secara dinamik bergantung kepada pengguna (iaitu dengan #
# fail bagi setiap pengguna). #
# Lalai kepada ".ssh/authorized_keys". #
# Contoh untuk fail kunci dalam folder rumah pengguna: #
# AuthorizedKeysFile %h/.ssh/authorized_key #
# Contoh untuk fail kongsi: #
# AuthorizedKeysFile /etc/ssh/authorized_keys #
# Lihat fail authorized_keys untuk butiran lanjut #
# maklumat. #
# #
## ChallengeResponseAuthentication ##########################
# #
# Menunjukkan sama ada untuk membenarkan pengesahan soalan-jawapan #
# (pengesahan respons-cabaran). Semua disokong #
# jenis pengesahan daripada login.conf Lalai ialah “ya”, #
# iaitu benarkan. #
# Dilumpuhkan dalam Ubuntu atas sebab keselamatan. #
# #
ChallengeResponseAuthentication no
# #
## HostbasedUsesNameFromPacketOnly ##########################
# #
# Menentukan cara pelayan harus mendapatkan nama hos pelanggan #
# dengan skim pengesahan berdasarkan pengesahan hos. #
# Jika anda menetapkan "ya" semasa menyemak pematuhan dalam fail #
# ~/.shosts, ~/.rhosts atau /etc/hosts.equiv sshd akan #
# gunakan nama hos yang disediakan oleh pelanggan. #
# (melakukan resolusi DNS terbalik) Jika ditetapkan kepada "tidak"#
# sshd akan menyelesaikan nama daripada sambungan TCP itu sendiri. #
# Lalai kepada "tidak". #
# #
## IgnoreRhosts ################################################
# #
# Melumpuhkan penggunaan fail .rhosts dan .shosts #
# semasa pengesahan berasaskan hos. #

# Fail /etc/hosts.equiv dan /etc/ssh/shosts.equiv masih #
# digunakan. #
# Lalai ialah "ya". #
# #
IgnoreRhosts ya
# #
## IgnoreUserKnownHosts ######################################
# #
# Menentukan sama ada sshd harus mengabaikan nama pengguna #
# Fail "hos dikenali" ~/.ssh/host_known sedang dijalankan #
# pengesahan berdasarkan pengesahan hos #
# (RhostsRSAAuthentication atau HostbasedAuthentication). #
# Lalai ialah "tidak". #
# #
## PermitBlacklistedKeys ####################################
# #
# Menunjukkan sama ada sshd harus menerima kunci yang disenaraikan dalam #
# senarai hitam sebagai dikompromi #
# kunci (lihat ssh-vulnkey)). Jika ditetapkan kepada "ya" #
# percubaan pengesahan dengan kunci sedemikian akan direkodkan #
# log dan diterima jika nilai "tidak" percubaan #
# pengesahan akan ditolak. #
# Lalai ialah "tidak". #
# #
## PermitEmptyPasswords ######################################
# #
# Jika pengesahan kata laluan didayakan, #
# menunjukkan sama ada log masuk dengan kata laluan kosong boleh dilakukan. #
# Lalai ialah "tidak". #
# #
PermitEmptyPasswords no
# #
## PermitRootLogin ############################################
# #
# Menunjukkan sama ada log masuk ssh sebagai root adalah mungkin #
# (akar). Boleh mengambil nilai: #
# "ya" pengguna super boleh log masuk. Berlaku #
# skim pengesahan global semasa. #
# #
# "tanpa kata laluan" pengguna super boleh log masuk. #
# Pengesahan kata laluan akan dilumpuhkan untuknya. #
# #
# "perintah-paksa-sahaja" pengguna super akan dapat log masuk, #
# menggunakan pengesahan kunci awam dan #
# hanya jika ia melepasi arahan yang perlu dilaksanakan. #
# Ini mudah untuk membuat sandaran, #
# walaupun biasa (iaitu bukan melalui ssh) #
# log masuk superuser dilumpuhkan. Semua kaedah lain #
# pengesahan untuk pengguna super akan disekat.#
# #
# "tidak" pengguna super tidak boleh menggunakan ssh untuk #
# log masuk. #
# #
# Nilai lalai ialah "ya". #
# #
PermitRootLogin no
# #
## Protokol ################################################ #
# #
# Menentukan protokol sshd yang harus digunakan. #
# Nilai yang mungkin adalah '1' dan '2' ssh1 dan ssh2 #
# masing-masing. Rakaman serentak boleh dilakukan, dengan #
# nilai mana yang harus dipisahkan dengan koma. #
# Lalai ialah "2.1". #
# Perlu diingat bahawa susunan protokol dalam #
# rekod tidak menetapkan keutamaan, kerana pelanggan memilih # yang mana
# daripada beberapa protokol yang dicadangkan oleh pelayan kepadanya #
# guna. Entri "2,1" sama sekali #
# rekod "1,2". #
# #
Protokol 2
# #
## UsePAM ################################################## ### ###
# #
# Membolehkan antara muka PAM (Modul Pengesahan Boleh Pasang) #
# antara muka). Jika ditetapkan kepada "ya" untuk semua jenis #
# pengesahan selain memproses modul sesi dan akaun #
# Pengesahan berasaskan PAM akan digunakan #
# cabaran-tindak balas (ChallengeResponseAuthentication dan #
# Pengesahan Kata Laluan) Kerana pengesahan #
# permintaan-tindak balas dalam PAM biasanya memainkan peranan yang sama seperti #
# seperti pengesahan kata laluan, anda harus melumpuhkan #
# sama ada Pengesahan Kata Laluan atau #
#ChallengeResponseAuthentication. Perlu diingat bahawa #
# jika arahan UsePAM didayakan anda tidak akan dapat menjalankan #
# sshd sebagai pengguna selain root. #
# Nilai lalai ialah "tidak". #
# #
GunakanPAM ya
# #
## Pengesahan Kata Laluan ####################################
# #
# Menunjukkan sama ada pengesahan menggunakan #
# kata laluan. #
# Lalai ialah "ya". #
# #
Pengesahan Kata Laluan ya
#
## HostKey ################################################ ##
# #
# Menentukan fail yang mengandungi kunci hos peribadi, #
# SSH digunakan. Lalai /etc/ssh/ssh_host_key #
# untuk protokol ssh
dan /etc/ssh/ssh_host_rsa_key dan #
# /etc/ssh/ssh_host_dsa_key untuk protokol ssh2. Kos #
# ambil perhatian bahawa sshd tidak akan menggunakan fail #
# yang boleh diakses oleh sesiapa sahaja selain pengguna. Boleh #
# gunakan berbilang fail utama, kekunci "rsa1" #
# untuk protokol ssh1 dan "dsa"/"rsa" untuk protokol ssh2. #
# #
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
# #
############################################################
########## Pilihan protokol SSH versi 1 (ssh1) ############
############################################################
# AMAT TIDAK DISYORKAN untuk menggunakan protokol ssh1.#
# Protokol ssh2 jauh lebih selamat daripada ssh1 #
############################################################
# #
## KeyRegeneration Interval ####################################
# #
# Untuk protokol ssh1 sekali pada masa tertentu #
# kunci pelayan sementara baharu dijana secara automatik #
# (jika ia digunakan). Ini dilakukan untuk #
# menghalang penyahsulitan sesi yang dipintas, untuk #
# kemudian log masuk ke mesin dengan parameter sesi ini dan #
# curi kunci. Kunci sedemikian tidak disimpan di mana-mana (ia disimpan dalam #
# memori capaian rawak). Arahan ini menyatakan tempoh #
# "kehidupan" kunci dalam beberapa saat, selepas itu ia akan #
# dijana semula. Jika nilai ditetapkan kepada 0 #
# kunci tidak akan dijana semula. #
# Nilai lalai ialah 3600 (saat). #
# #
KeyRegenerationInterval 3600
# #
## Pengesahan RhostsRSAA ####################################
# #
# Menunjukkan sama ada pengesahan berasaskan fail diperlukan #
# rhosts atau /etc/hosts.equiv bersama-sama dengan # yang berjaya
# pengesahan hos melalui RSA. #

# Lalai ialah "tidak". #
# #
RhostsRSAAuthentication no
# #
## Pengesahan RSAA ##########################################
# #
# Menunjukkan sama ada pengesahan RSA "tulen" dibenarkan. #
# Hanya relevan untuk protokol ssh1. #
# Lalai ialah "ya". #
# #
Pengesahan RSAA no
# #
## ServerKeyBits ############################################
# #
# Mentakrifkan bilangan bit dalam kunci sementara pelayan untuk #
# protokol ssh1. Nilai minimum 512. #
# Nilai lalai ialah 1024. #
ServerKeyBits 1024
# #
############################################################
########## Pilihan protokol SSH versi 2 (ssh2) ############
############################################################
# #
## Sifir ################################################## ##
# #
# Menunjukkan algoritma penyulitan yang dibenarkan untuk #
# protokol ssh2. Berbilang algoritma mestilah #
# dipisahkan dengan koma. Algoritma yang disokong: #
# “3des-cbc”, “aes128-cbc”, “aes192-cbc”, “aes256-cbc”, #
# “aes128-ctr”, “aes192-ctr”, “aes256-ctr”, “arcfour128”, #
# “arcfour256”, “arcfour”, “blowfish-cbc”, “cast128-cbc”. #

# aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour128, #
# arcfour256,arcfour,aes192-cbc,aes256-cbc,aes128-ctr, #
#aes192-ctr,aes256-ctr #
# #
## Pengesahan Berasaskan Hos ####################################
# #
# Menunjukkan sama ada pengesahan berdasarkan #
# menyemak hos. Menyemak rhosts atau /etc/hosts.equiv, #
# dan sekiranya berjaya, digabungkan dengan semakan yang berjaya #
# kunci awam, akses dibenarkan. Arahan ini #
# sama seperti arahan RhostsRSAAuthentication dan #
# hanya sesuai untuk protokol ssh2. #
# Lalai kepada "tidak". #
# #
HostbasedAuthentication no
# #
## MAC ################################################ #####
# #
# Menunjukkan algoritma MAC yang sah (mesej #
# kod pengesahan). Algoritma MAC digunakan #
# menggunakan protokol ssh2 untuk melindungi integriti data. Beberapa #
# algoritma mesti dipisahkan dengan koma. #
# Lalainya ialah: #
#hmac-md5,hmac-sha1, [e-mel dilindungi],hmac-ripemd160, #
#hmac-sha1-96,hmac-md5-96 #
# #
## Pengesahan Pubkey ######################################
# #
# Menunjukkan sama ada pengesahan berdasarkan #
# kunci awam. Hanya relevan untuk protokol ssh2. #
# Lalai ialah "ya". #
# #
Pengesahan Pubkey ya
############################################################
###################### Pilihan GSSAPI ############################
############################################################
# #
############ Terpakai hanya untuk protokol ssh2 ##########
# #
## Pengesahan GSSAPIA ######################################
# #
# Menunjukkan sama ada pengesahan pengguna dibenarkan pada #
# berdasarkan GSSAPI. Lalai ialah "tidak", i.e. dilarang. #
# #
## GSSAPIKeyExchange ##########################################
# #
# Menunjukkan sama ada pertukaran kunci berdasarkan #
#GSSAPI. Pertukaran kunci menggunakan GSSAPI tidak bergantung pada #
# kunci ssh semasa mengesahkan identiti hos. #
# Lalai ialah "tidak" i.e. pertukaran adalah dilarang. #
# #
## GSSAPICleanupCredentials ####################################
# #
# Menunjukkan sama ada untuk memusnahkan secara automatik #
# cache tersuai kelayakan pengesahan apabila #
# menamatkan sesi. #
# Lalai ialah "ya" i.e. perlu dimusnahkan. #
# #
## GSSAPIStrictAcceptorCheck ################################
# #
# Menentukan betapa ketatnya cek itu #
# identiti pelanggan apabila mengesahkan melalui GSSAPI. #
# Nilai "ya" memaksa pelanggan untuk mengesahkan #
# perkhidmatan hos penerima pada hos semasa. Nilai "tidak" #
# membenarkan pelanggan untuk mengesahkan menggunakan mana-mana #
# kunci perkhidmatan. #
# Nilai lalai ialah "ya". #
# Perlu diingat bahawa menetapkan nilai kepada "tidak" mungkin #
# Hanya bekerja dengan perpustakaan Kerberos GSSAPI yang jarang ditemui. #
# #
############################################################
################## Pilihan Kerberos ##########################
############################################################
# #
## Pengesahan Kerberos ####################################
# #
# Menunjukkan sama ada kata laluan yang disediakan # memerlukan
# pengguna untuk pengesahan #
# Pengesahan (PasswordAuthentication) dalam Kerberos KDC. #
# Untuk menggunakan pilihan ini pelayan memerlukan #
# sahkan bahawa KDC adalah benar. (Pelayan memerlukan #
# Kerberos servtab yang membenarkan pengesahan #
# identiti KDC) #
# Lalai ialah "tidak". #
# #
## KerberosGetAFSToken ##########################################
# #
# Jika AFS aktif dan pengguna telah menerima Kerberos 5 TGT, #
# sama ada hendak cuba mendapatkan token AFS sebelum pengguna #
# akan mempunyai akses kepada folder rumah anda. #
# Lalai ialah "tidak". #
# #
## KerberosOrLocalPasswd ########################################
# #
# Menentukan perkara yang perlu dilakukan jika pengesahan #
# melalui Kerberos gagal. jika #
# value = "ya" kata laluan akan disemak menggunakan #
# sebarang mekanisme kebenaran tempatan tambahan, #
# contohnya /etc/passwd. #
# Lalai ialah "ya". #
# #
## KerberosTicketCleanup ########################################
# #
# Menunjukkan sama ada fail harus dimusnahkan secara automatik #
# cache tiket pengguna selepas sesi tamat. #
# Lalai ialah "ya". #
# #
############################################################
################ Pilihan ubah hala ######################
############################################################
# #
## AllowAgentForwarding ######################################
# #
# Menentukan sama ada untuk membenarkan atau melumpuhkan pengalihan #
# ssh-agent "a. Secara lalai "ya", iaitu benarkan. #
# Perlu diingat bahawa melumpuhkan pengalihan tidak #
# akan meningkatkan keselamatan sehingga pengguna mempunyai # yang sama
# Akses Shell dinafikan, kerana mereka akan sentiasa dapat memasang #
# analog ejen anda sendiri. #
# #
AllowAgentForwarding no
# #
## AllowTcpForwarding ########################################
# #
# Menunjukkan sama ada untuk mendayakan atau melumpuhkan pengalihan TCP. #
# Lalai ialah "ya", i.e. benarkan. Perlu diperhatikan #
# yang sama seperti dalam kes AllowAgentForwarding melumpuhkan #
# ubah hala tidak akan meningkatkan keselamatan sehingga #
# pengguna akan mempunyai akses konsol, kerana mereka boleh #
# pasang analog anda. #
# #
# #
AllowTcpForwarding no
# #
## Gateway Ports ##############################################
# #
# Menentukan sama ada untuk membenarkan hos jauh mengakses #
# port dimajukan. Secara lalai, sshd mendengar #
# sambungan ke port yang dimajukan hanya pada setempat #
# antara muka (loopback). Ini menghalang # jauh lain
# hos menyambung ke port yang dimajukan. Boleh #
# gunakan GatewayPorts untuk membenarkan sshd melakukan ini #
# buat. Arahan itu boleh membawa 3 maksud: #
# "tidak" ialah gelung balik sahaja. #
# "ya" - sebarang alamat. #
# alamat "clientspecified" yang ditentukan oleh klien. #
# #
GatewayPorts no
# #
## PermitBuka ################################################
# #
# Menentukan tempat pemajuan port TCP dibenarkan. #
# Ubah hala mesti menerima salah satu daripada #
# borang berikut: #
# PermitBuka hos:port #
# PermitBuka IPv4_addr:port #
# PermitBuka :port #
# Entri berbilang boleh ditentukan dengan memisahkannya dengan ruang. #
# Hujah “mana-mana” boleh digunakan untuk mengalih keluar semua #
# larangan penghantaran port. Lalai ialah sebarang #
# ubah hala dibenarkan. #
# #
## PermitTunnel ##################################################
# #
# Menunjukkan sama ada ubah hala peranti tun dibenarkan. #
# Boleh mengambil nilai: #
# “ya” #
# "titik-ke-titik" (lapisan rangkaian ke-3) #
# “ethernet” (lapisan rangkaian ke-2) #
# “tidak” #
# Nilai "ya" membenarkan "titik ke titik" pada masa yang sama #
# dan "ethernet". Lalai ialah "tidak". #
# #
############################################################
################## Pilihan pembalakan ######################
############################################################
# #
## SyslogFacility ############################################
# #
# Menentukan kod objek log untuk menulis mesej kepada #
# syslog daripada sshd. Nilai yang mungkin: #
#DAEMON#
# PENGGUNA #
#AUTH#
#LOCAL0#
#LOCAL1#
#LOCAL2#
#LOCAL3#
#LOCAL4#
#LOCAL5#
#LOCAL6#
#LOCAL7#
# Lalai ialah AUTH. #
# #
SyslogFacility AUTH
# #
## Tahap Log ################################################ #
# #
# Menetapkan tahap verbositi log sshd. #
# Pilihan yang mungkin: #
#SENYAP #
#SENYAP #
#MAUT #
# RALAT #
# INFO #
#VERBOSE#
# DEBUG #
# DEBUG1 #
# DEBUG2 #
# DEBUG3 #
# Lalai kepada INFO. #
# DEBUG dan DEBUG
adalah setara antara satu sama lain. #
# DEBUG2 dan DEBUG3 menetapkan tahap penyahpepijatan tertinggi #
# pengeluaran. Menulis log dengan tahap DEBUG adalah berbahaya #
# privasi pengguna dan tidak disyorkan. #
# #
INFO Tahap Log
# #
############################################################
################## Ubah hala X

####################
############################################################
# #
## X11Memajukan ##############################################
# #
# Menunjukkan sama ada ubah hala grafik # dibenarkan
# Subsistem X11. Boleh mengambil nilai "ya" atau "tidak". #
# Lalai ialah "tidak". #
# Perhatian, membolehkan ubah hala X11 mudah #
# risiko besar untuk kedua-dua pelayan dan pelanggan, kerana V #
# sekiranya terdapat paparan proksi ubah hala sshd #
# menerima sambungan dari mana-mana alamat. Gunakan #
# X11UseLocalhost arahan untuk menyekat akses kepada #
# ke pelayan ubah hala "x". Perlu diingat bahawa #
# melumpuhkan ubah hala tidak akan menjamin bahawa #
# pengguna tidak akan dapat mengubah hala X11, kerana mempunyai #
# akses konsol mereka sentiasa memasang # mereka sendiri
# pengarah semula. Ubah hala X11 akan menjadi #
# dilumpuhkan secara automatik jika didayakan #
# Gunakan arahan Log masuk. #
# #
X11Pemajuan no
# #
## X11UseLocalhost ##############################################
# #
# Menunjukkan sama ada sshd harus mengehadkan skop #
# ubah hala X11 ke alamat gelung balik setempat, atau #
# harus membenarkan sebarang alamat. Lalai kepada sshd #
# "meletakkan" pelayan ubah hala X11 pada alamat setempat #
# dan menetapkan bahagian pembolehubah persekitaran DISPLAY yang #
# untuk nama hos sebagai “localhost”. Perlu diingat bahawa #
# sesetengah pelanggan X11 yang lebih lama mungkin tidak berfungsi dengan # ini
# tetapan. Lalai ialah "ya", i.e. ubah hala #
# terhad kepada localhost, nilai "tidak" melumpuhkan #
# sekatan. #
# #
## XAuthLocation ############################################
# #
# Menentukan laluan penuh ke program xauth. #
# Lalai kepada /usr/bin/X11/xauth. #
# #
## X11DisplayOffset ############################################
# #
# Menunjukkan bilangan paparan pertama yang boleh diakses oleh sshd dalam #
# sebagai ubah hala X11. Ini dilakukan untuk #
# supaya X yang diubah hala tidak bersilang dengan #
# sebenar. Lalai ialah 10. #
# #
X11DisplayOffset10
# #
############################################################
################## Pelbagai pilihan ##########################
############################################################
# #
## LoginGraceTime ##############################################
# #
# Masa selepas itu pelayan ditutup #
# pengguna jika dia tidak dapat memuaskan #
#log masuk. Nilai 0 membolehkan pengguna #
# log masuk tanpa henti. Lalai ialah 120 (saat). #
# #
Log MasukGraceTime 120
# #
## MaxAuthTries ################################################
# #
# Menunjukkan bilangan maksimum percubaan pengesahan #
# dibenarkan untuk satu sambungan. #
# Sebaik sahaja bilangan percubaan yang gagal melebihi separuh #
# nilai yang diberikan, semua percubaan berikutnya akan #
# dilog. Nilai lalai ialah 6. #
# #
MaxAuthTries 4
# #
## MaxSessions ################################################
# #
# Menentukan bilangan maksimum sambungan serentak #
# untuk setiap sambungan rangkaian. Lalai ialah 10. #
# #
MaxSessions1
# #
## MaxStartups ################################################
# #
# Menunjukkan bilangan maksimum serentak #
# sambungan tanpa kebenaran ke sshd. jika #
# bilangan sambungan akan melebihi had, semua tambahan #
# sambungan akan ditetapkan semula selagi sambungan semasa #
# sambungan tidak akan selesai sama ada dengan kebenaran yang berjaya, #
# atau selepas tempoh masa yang dinyatakan dalam arahan #
#LoginGraceTime. Nilai lalai ialah 10. #
# Selain itu, anda boleh menetapkan tetapan semula awal sambungan, #
# dengan menentukan tiga nilai sebagai parameter, dipisahkan #
# dengan titik bertindih “start:rate:ful” (contohnya: “10:30:60”). #
# sshd akan menolak percubaan sambungan dengan kebarangkalian sama dengan #
# “kadar/100” (iaitu dalam contoh kami 30%), jika sudah #
# terdapat "mula" (10) sambungan yang tidak dibenarkan. #
# Kebarangkalian meningkat secara linear dan sebarang percubaan #
# sambungan akan ditolak jika bilangan # yang tidak dibenarkan
# sambungan akan mencapai "penuh" (60). #
# #
## Mampatan ################################################
# #
# Menunjukkan sama ada pemampatan data didayakan. Mungkin #
# mampatan "ya" didayakan. #
# mampatan "tertunda" ditangguhkan sehingga #
# Pengguna tidak berjaya disahkan. #
# mampatan "tidak" dinyahdayakan. #
# Lalai adalah "tertunda". #
# #
## UseLogin ################################################## ### #
# #
# Menunjukkan sama ada log masuk harus digunakan untuk #
# sesi interaktif. Nilai lalai ialah "tidak". #
# Perlu diingat bahawa log masuk tidak pernah digunakan untuk #
# laksanakan arahan jauh. Kami juga ambil perhatian bahawa #
# menggunakan log masuk akan menjadikannya mustahil untuk digunakan #
# X11Memajukan arahan kerana log masuk tidak tahu itu #
# dia harus lakukan dengan xauth. Jika # arahan didayakan
# UsePrivilegeSeparation ia akan dilumpuhkan selepas #
# kebenaran. #
# #
## UsePrivilegeSeparation ####################################
# #
# Menunjukkan sama ada sshd harus berkongsi keistimewaan. Jika ya #
# maka anak yang tidak bernasib baik itu akan dicipta dahulu #
# proses untuk trafik rangkaian masuk. Selepas berjaya #
# kebenaran akan membuat proses lain dengan keistimewaan #
# daripada pengguna log masuk. Tujuan utama perpisahan #
# keistimewaan menghalang penyalahgunaan hak akses. #
# Nilai lalai ialah "ya". #
# #
UsePrivilegeSeparation ya
# #
## StrictModes ################################################
# #
# Menunjukkan sama ada sshd perlu menyemak mod akses dan #
# pemilikan folder dan fail pengguna sebelum #
# biarkan pengguna log masuk. Ini biasanya dijelaskan oleh fakta bahawa #
# pemula sering membuat fail mereka boleh ditulis #
# semua orang. Lalai ialah "ya". #
# #
StrictModes ya
# #
## AcceptEnv ################################################
# #
# Menunjukkan pembolehubah persekitaran yang diluluskan #
# akan diterima oleh pelanggan. Lihat pilihan SendEnv dalam klien. #
# Perlu diingat bahawa lulus pembolehubah hanya mungkin #
# untuk protokol ssh2. Pembolehubah ditentukan mengikut nama, #
# Anda boleh menggunakan kad bebas ('*' dan '?'). Anda boleh menentukan #
# beberapa pembolehubah dipisahkan oleh ruang, atau dipecahkan kepada #
# beberapa baris AcceptEnv. Berhati-hatilah beberapa #
# pembolehubah persekitaran boleh digunakan untuk memintas #
# persekitaran pengguna yang dilarang. Guna ini #
# arahan berhati-hati. Tiada secara lalai #
# pembolehubah persekitaran pengguna tidak diterima. #
# #
AcceptEnv LANG LC_*
# #
## PermitUserEnvironment ######################################
# #
# Menunjukkan sama ada sshd harus menerima #
# ~/.ssh/environment dan persekitaran= pilihan dalam #
# ~/.ssh/authorized_keys. Lalai ialah "tidak". Kos #
# ambil perhatian bahawa mendayakan pemprosesan persekitaran boleh memberi #
# pengguna peluang untuk memintas sekatan dalam beberapa #
# konfigurasi menggunakan mekanisme seperti #
#LD_PRELOAD. #
# #
# #
## PidFile ################################################ ### ##
# #
# Menentukan fail yang mengandungi ID proses #
# (ID proses, PID) daemon SSH. #
# Lalai kepada /var/run/sshd.pid #
# #
# #
## PrintLastLog ##############################################
# #
# Menentukan sama ada sshd harus memaparkan tarikh dan masa #
# sesi terakhir apabila pengguna log masuk secara interaktif. #
# Lalai ialah "ya". #
# #
PrintLastLog ya
# #
## PrintMotd ################################################ ###
# #
# Menentukan sama ada sshd harus memaparkan /etc/motd #
# apabila pengguna log masuk secara interaktif. Pada beberapa #
# sistem (contohnya dalam Ubuntu) maklumat ini juga #
# Dicetak ke skrin oleh cangkerang. #
# Nilai lalai ialah "ya". #
# #
PrintMotd no
# #
## Banner ################################################ ## ###
# #
# Menunjukkan fail yang mengandungi sepanduk teks yang #
# akan ditunjukkan kepada pengguna SEBELUM prosedur #
# pengesahan. Pilihan ini hanya tersedia untuk protokol ssh2.#
# Tidak menunjukkan apa-apa secara lalai. #
# Di Ubuntu, fail issue.net mengandungi frasa Ubuntu (versi), #
# contohnya untuk karma ia adalah "Ubuntu 9.10". Boleh #
# digunakan untuk mengelirukan kemungkinan penyerang, #
# dengan menulis di sana sebagai contoh "Penghala Interet D-Link Saya" =) #
# #
Sepanduk /etc/issue.net
# #
## ChrootDirectory ##########################################
# #
# Jika dinyatakan menyediakan laluan di mana #
# chroot selepas pengesahan. Jalan dan segalanya #
# kandungan mesti sepadan dengan milik #
# folder superuser dan tidak boleh diakses oleh #
# siaran oleh pengguna lain. #
# Laluan mungkin mengandungi label yang digantikan dalam #
# proses pengesahan: #
# %% digantikan dengan literal "%" #
# %h digantikan dengan direktori rumah #
# pengguna yang disahkan #
# %u digantikan dengan nama pengguna yang disahkan #
# Folder chroot harus mengandungi semua fail yang diperlukan dan #
# folder untuk sesi pengguna. Untuk # interaktif
# sesi diperlukan sekurang-kurangnya: #
# shell, biasanya sh #
# peranti asas dalam /dev, seperti: #
# null, zero, stdin, stdout, stderr, arandom dan tty #
# untuk sesi pemindahan data menggunakan sftp no #
# tiada tetapan tambahan diperlukan jika digunakan #
# proses dalaman pelayan sftp. Lihat Subsistem untuk #
# maklumat lanjut. Secara lalai, chroot tidak dilakukan. #
# #
## ForceCommand ##############################################
# #
# Menyebabkan arahan yang ditentukan dilaksanakan. Abaikan #
# sebarang arahan yang dihantar oleh klien atau ditulis kepada #
# ~/.ssh/rc. Perintah dipanggil daripada pengguna #
# cengkerang dengan pilihan -c. Sesuai untuk menjalankan shell, #
# perintah atau subsistem. Paling berguna di dalam blok #
#Padan. Perintah yang asalnya dihantar oleh klien disimpan #
# dalam pembolehubah persekitaran SSH_ORIGINAL_COMMAND. jika #
# nyatakan arahan "internal-sftp", ia akan dilancarkan #
# pelayan sftp dalaman yang tidak memerlukan # tambahan
# fail dan folder yang diterangkan dalam arahan ChrootDirectory. #
# #
## Subsistem ################################################
# #
# Mentakrifkan dan mengkonfigurasi subsistem luaran (contohnya #
# daemon pemindahan fail). #
# Argumen adalah nama dan arahan (dengan pilihan #
# argumen) yang akan dilaksanakan semasa permintaan #
# setiap subsistem. Perintah sftp-server menjalankan "sftp" #
# subsistem pemindahan fail. Selain itu, anda boleh menentukan #
# sebagai subsistem "internal-sftp" yang akan melancarkan #
# pelayan sftp dalaman. Ini boleh memudahkan urusan #
# tetapan sekiranya menggunakan arahan #
# ChrootDirectory Tiada subsistem secara lalai #
# tidak dipanggil. Hanya relevan untuk protokol ssh2. #
# #
#Subsistem sftp /usr/lib/openssh/sftp-server #
# #
############################################################
###################### Blok Padanan ##########################
############################################################
# #
# Saya mengalihkannya khas ke hujung fail untuk menjadikannya lebih mudah #
# tulis peraturan Padanan. #
#MadKox. #
# #
# Arahan Padanan mewakili permulaan # bersyarat
# blok. Jika semua kriteria yang dinyatakan dalam baris # dipenuhi
# Padanan, arahan dalam baris berikutnya blok dilaksanakan, #
# membolehkan anda memintas arahan fail global #
# sshd_config untuk kes yang menjadi kriteria arahan #
#Padan. Semua baris yang mengikuti baris # dianggap sebagai blok
# dengan kriteria (Rentetan padanan) ke rentetan padanan seterusnya #
# atau sehingga akhir fail. Padankan hujah arahan satu atau #
# beberapa pasang entri kriteria. Jenis penyertaan yang mungkin: #
#Pengguna#
#Kumpulan#
# Hos #
# Alamat #
# Entri boleh mengandungi nilai tunggal #
# (contohnya Pengguna=pengguna), dan beberapa nilai, #
# dipisahkan dengan koma (User=user1,user2). Mereka juga boleh #
# ungkapan biasa yang diterangkan dalam # boleh digunakan
# PATTERNS bahagian ssh_config. Penyertaan dalam kriteria #
# Alamat boleh mengandungi alamat dalam tatatanda CIDR #
# (Alamat/Panjang topeng, contohnya “192.0.2.0/24” atau #
# “3ffe:ffff::/32”). Perlu diingat bahawa # yang dibentangkan
# panjang topeng mesti sepadan dengan alamat, dan terlalu #
# panjang/pendek untuk alamat tidak akan berfungsi. #
# Arahan padanan hanya boleh menggunakan #
# set arahan khusus: #
# AllowTcpForwarding #
# Sepanduk #
# ChrootDirectory #
#ForceCommand#
#GatewayPorts#
# Pengesahan GSSAPIA #
# Pengesahan Berasaskan Hos #
# KbdInteractiveAuthentication #
# Pengesahan Kerberos #
# MaxAuthTries #
# MaxSessions #
#PasswordAuthentication#
# PermitBuka #
# PermitRootLogin #
# Pengesahan RhostsRSAA #
# Pengesahan RSAA #
#X11DisplayOffset#
#X11Forwarding #
# X11UseLocalHost #

Hanya nota kecil kepada konfigurasi: keupayaan untuk log masuk melalui ssh kerana pengguna root dilumpuhkan, jadi jika anda " amatur"betulkan tetapan PermitRootLogin kepada ya

Untuk menyalin konfigurasi di atas ke mesin unix anda
Pergi ke direktori tempat fail konfigurasi sshd_config disimpan

Sudo cd /etc/ssh

Oleh kerana kami telah membuat salinan sandaran fail sshd_config, kami akan memadamkannya

Sudo rm sshd_config

Masih dalam direktori /etc/ssh, salin fail konfigurasi ssh di atas dari tapak web itautsors,

Sudo wget http://site/sshd_config

Mari mulakan semula daemon

Perkhidmatan sudo ssh dimulakan semula

Mari pastikan daemon SSH sedang berjalan

Ps-A | grep sshd

Kita akan melihat sesuatu seperti itu

<какой то номер>? 00:00:00 sshd

Jika tiada baris, maka daemon SSH tidak berjalan,

Mari semak sama ada sambungan masuk sedang didengari:

Sudo ss -lnp | grep sshd

Sebagai tindak balas kami akan menerima

0 128:::22:::* pengguna:(("sshd",16893,4)) 0 128 *:22 *:* pengguna:(("sshd",16893,3))

Jika terdapat lebih daripada satu baris, maka daemon SSH sedang mendengar pada lebih daripada satu port, jika lebih daripada satu anda perlu menentukan sekurang-kurangnya satu port, dalam kedua-dua kes anda perlu kembali dan mengedit fail konfigurasi

Mari cuba log masuk dari komputer tempatan (iaitu, kami log masuk dari PC yang sama di mana kami menyediakan pelayan ssh, boleh dikatakan, semakan awal), (ingat bahawa port kami bukan standard 8022) :

Ssh -v localhost -p 8022

Maklumat penyahpepijatan akan dipaparkan dan anda akan digesa untuk memasukkan kata laluan.
Selepas sambungan berjaya, untuk log keluar, dail:

Mari konfigurasikan akses kepada Pelayan OpenSSH dengan Klien OpenSSH dengan kebenaran melalui kunci

Diberikan: Hos Pelayan OpenSSH yang kami ingin log masuk melalui ssh pada masa hadapan di bawah pengguna NameUserOnOpenSSHServer daripada hos Klien OpenSSH. Mari jana pasangan kunci pada Hos yang kami ingin sambungkan (Klien OpenSSH). Semak sama ada pasangan kunci telah dijana.
Setelah bersetuju dengan lokasi di mana kunci disimpan (/home/NameUserOnOpenSSHClient/.ssh/id_rsa), kata laluan boleh dibiarkan kosong, kemudian apabila mengesahkan menggunakan sijil anda tidak perlu memasukkan kata laluan dengan berhati-hati, yang kurang selamat tetapi lebih mudah (dalam contoh kami, kami tidak akan memasukkan kata laluan):

Ssh-keygen -t rsa -b 4096

Dalam folder rumah ~/.ssh pengguna di mana penjanaan dimulakan (dalam contoh kami NameUserOnOpenSSHClient) fail berikut akan muncul pada hos Klien OpenSSH:

~/.ssh/id_rsa.pub awam
~/.ssh/id_rsa persendirian

Tetapkan kebenaran untuk folder dan fail
Tidak kira di bawah pengguna mana kami akan menjalankan penjanaan pada Klien OpenSSH, satu-satunya perkara yang kami perlukan untuk log masuk ke mesin Pelayan OpenSSH jauh adalah di bawah pengguna ini, kerana hak berikut akan ditetapkan (hak tersebut mesti tetapkan supaya kunci persendirian tidak terjejas):

$ chmod 0700 ~/.ssh/ $ chmod 0600 ~/.ssh/id*

Mari pindahkan kunci awam daripada klien ke pelayan untuk pengguna di mana kami menggunakan perintah ssh-copy-id ke fail ~/.ssh/authorized_keys. Jika port di mana pelayan mendengar bukan standard, anda perlu mendaftarkannya menggunakan suis -p dan sertakan dalam petikan. Kunci boleh dipindahkan dalam apa jua cara kerana ia adalah awam.

Ssh-copy-id "-p 8022 NameUserONOpenSSHServer@ipAdressOpenSSHServer"

NameUserOnOpenSSHServer ialah pengguna di mana kami akan log masuk ke mesin jauh pada masa hadapan.
Seterusnya, anda perlu memasukkan kata laluan pengguna NameUserONOpenSSHServer, dan selepas kebenaran berjaya kami akan melihat petunjuk:

Sekarang cuba log masuk ke mesin, dengan "ssh "NameUserONOpenSSHServer@ipAdressOpenSSHServer"", dan daftar masuk: ~/.ssh/authorized_keys untuk memastikan kami tidak menambah kunci tambahan yang anda tidak jangkakan.

Log masuk ke Hos melalui ssh dan semak kandungan fail (kunci lain mungkin didaftarkan dalam fail ini, cari kunci kami.) NameUserONOpenSSHServer/.ssh/authorized_keys:

Sudo ssh "NameUserONOpenSSHServer@ipAdressOpenSSHServer" sudo cat /home/NameUserONOpenSSHServer/.ssh/authorized_keys

Ia mesti sepadan dengan kandungan fail NameUserONOpenSSHClient/.ssh/id_rsa.pub

Sudo cat /home/NameUserONOpenSSHClient/.ssh/id_rsa.pub

Sudo mcedit /etc/ssh/sshd_config

Tekan F7, cari PubkeyAuthentication, RSAAuthentication, AuthorizedKeysFile
Baris hendaklah tidak dikomen/parameter ditetapkan (semak):

# benarkan penggunaan kekunci RSA Pengesahan RSAA ya # jika anda menggunakan SSH1 adalah tidak digalakkan # benarkan kebenaran menggunakan kekunci Pengesahan Pubkey ya # Laluan di mana kunci akan ditempatkan dengan mana anda boleh menyambungkan setiap pengguna mempunyai fail sendiri dalam direktorinya. AuthorizedKeysFile %h/.ssh/authorized_keys

Mulakan semula pelayan SSH

Perkhidmatan sudo ssh dimulakan semula

Tetapkan kebenaran pada fail /home/NameUserOnOpenSSHServer/.ssh/authorized_keys

Chmod 0600 ~/.ssh/authorized_keys

Kami keluar dari konsol OpenSSHServer, cuba log masuk dari klien ke pelayan menggunakan sijil, masukkan baris dan harus masuk ke konsol OpenSSHServer tanpa memasukkan kata laluan (jika anda tidak memasukkan kata laluan semasa menjana kunci)

Ssh NameUser@ipAdressOpenSSHServer

Terdapat banyak peluang untuk mengatur akses jauh ke komputer anda melalui sambungan Internet. Sesetengah daripada mereka sangat kompleks dan hanya digunakan oleh pakar dalam persekitaran profesional, manakala yang lain sangat mudah dan boleh dikuasai walaupun oleh pengguna yang tidak berpengalaman. Kami telah menulis tentang beberapa kaedah, khususnya, mengenai program TeamViewer dan protokol VNC.

Nuansa bekerja dengan protokol SSH di Ubuntu.

Dalam artikel ini kita akan bercakap tentang protokol sambungan selamat SSH, yang baru-baru ini menjadi hampir standard di kalangan pengguna Linux. Ia sangat selamat kerana ia menyokong penyulitan dan juga sangat mudah untuk dikonfigurasikan. Kami akan melihat ciri-ciri protokol SSH, dan juga mempelajari cara mengkonfigurasi pelayan dan klien. Apa yang diperlukan daripada anda ialah mempunyai komputer dengan sistem pengendalian Ubuntu yang dipasang dan sambungan Internet.

Protokol Secure Shell, juga dikenali sebagai SSH, ialah protokol khas untuk capaian jauh selamat kepada komputer melalui sambungan rangkaian. Protokol ini mempunyai banyak keupayaan, termasuk mewujudkan sambungan selamat, melancarkan terminal baris arahan pada komputer yang anda sambungkan dari jauh, menjalankan aplikasi GUI, memindahkan fail dan menggunakan rangkaian peribadi.

Terdapat banyak utiliti yang bertanggungjawab untuk menguruskan protokol. Pada sistem pengendalian Ubuntu, yang paling terkenal ialah Open SSH. Ini adalah produk percuma sepenuhnya dengan lesen terbuka dan set lengkap fungsi yang paling diperlukan. Pelanggan untuk menguruskan sambungan SSH sudah termasuk dalam pengedaran Ubuntu, anda hanya perlu memasang dan mengkonfigurasi komponen pelayan. Kawalan dijalankan melalui arahan di terminal.

Memasang SSH pada Ubuntu

Memandangkan protokol klien SSH untuk pengurusannya ialah piawaian yang diterima umum, anda boleh memasangnya menggunakan arahan pendek dalam terminal Ubuntu. untuk melakukan ini, lancarkan terminal itu sendiri dengan menekan pintasan papan kekunci Ctrl + Alt + T, kemudian gunakan perintah sudo apt-get install ssh. Setelah bersedia untuk memuat turun, utiliti akan bertanya sama ada anda mahu meneruskan. tukar papan kekunci kepada bahasa Rusia dan tekan D. Pada komputer Ubuntu anda, pemasangan ssh akan selesai dalam beberapa saat. Jika anda ingin mendayakan permulaan automatik pada permulaan sistem, gunakan perintah sudo systemctl enable sshd. Oleh itu, jika anda kemudiannya ingin mengalih keluar perkhidmatan daripada permulaan automatik, anda memerlukan perintah sudo systemctl disable sshd.

Kini anda boleh menyemak cara semuanya berfungsi. Apa yang anda perlu lakukan ialah cuba menyambung ke pelayan SSH tempatan: ssh localhost. Utiliti pasti akan meminta kata laluan superuser, dan juga akan menawarkan untuk menambah alamat yang dimasukkan ke senarai yang dibenarkan. Jika semuanya berfungsi seperti yang diharapkan untuk anda, anda akan melihat mesej kecil yang berakhir dengan pemberitahuan tentang tarikh sambungan terakhir ke alamat.

Kini anda boleh menyambung ke mana-mana komputer pada rangkaian jika anda mengetahui alamat IP dan nama penggunanya. Untuk melakukan ini, di terminal anda perlu memasukkan arahan dalam format berikut:

ssh nama pengguna@ip_address

Sebagai contoh, jika anda ingin menyambung ke komputer Vasya Pupkin dengan alamat 132.14.25.10, maka arahan akan kelihatan seperti ini:

ssh [e-mel dilindungi]

Menyediakan SSH pada Ubuntu

Untuk berfungsi dengan betul dan selamat dengan pelayan SSH, ia mesti dikonfigurasikan dengan cara tertentu. Untuk melakukan ini, anda perlu mengedit fail parameter sshd_config yang terletak dalam direktori /etc/ssh. Perlu diperhatikan bahawa ia tidak boleh diubah dengan hanya membukanya melalui pengurus fail dalam editor teks biasa. Sistem akan memberitahu anda bahawa anda mempunyai hak yang tidak mencukupi, dan anda tidak akan dapat menyimpan perubahan tersebut. Oleh itu, anda sekali lagi memerlukan terminal dan pengetahuan tentang beberapa arahan, yang kini akan kami bincangkan. Mari kita lihat langkah-langkah yang perlu untuk menyediakan pelayan ssh pada sistem pengendalian Ubuntu.

Apakah yang boleh anda ubah dalam tetapan SSH?

Perintah minimum yang diperlukan

Atau singkatannya SSH, adalah salah satu teknologi paling canggih untuk melindungi data semasa penghantaran. Menggunakan mod ini pada penghala yang sama membolehkan anda memastikan bukan sahaja kerahsiaan maklumat yang dihantar, tetapi juga mempercepatkan pertukaran paket. Benar, tidak semua orang tahu bagaimana untuk SSH dan mengapa semua ini diperlukan. Dalam kes ini, anda perlu memberikan penjelasan yang membina.

Port SSH: apakah itu dan mengapa ia diperlukan?

Oleh kerana kita bercakap tentang keselamatan, dalam kes ini port SSH harus difahami sebagai saluran komunikasi khusus dalam bentuk terowong yang menyediakan penyulitan data.

Cara paling primitif terowong sedemikian berfungsi ialah port SSH terbuka lalai digunakan untuk menyulitkan maklumat pada sumber dan menyahsulitnya pada titik akhir. Ini boleh dijelaskan dengan cara ini: sama ada anda suka atau tidak, trafik yang dihantar, tidak seperti IPSec, disulitkan secara paksa pada output satu terminal rangkaian dan pada input bahagian penerima. Untuk menyahsulit maklumat yang dihantar melalui saluran ini, terminal penerima menggunakan kunci khas. Dalam erti kata lain, tiada siapa yang boleh mengganggu penghantaran atau melanggar integriti data yang dihantar tanpa kunci.

Hanya membuka port SSH pada mana-mana penghala atau menggunakan tetapan yang sesuai bagi klien tambahan yang berinteraksi secara langsung dengan pelayan SSH membolehkan anda menggunakan sepenuhnya semua keupayaan keselamatan rangkaian moden. Maksudnya di sini ialah menggunakan port lalai atau tetapan tersuai. Parameter ini mungkin kelihatan agak rumit dalam aplikasi, tetapi anda tidak boleh melakukannya tanpa memahami organisasi sambungan sedemikian.

Port SSH standard

Jika kita benar-benar meneruskan dari parameter mana-mana penghala, mula-mula kita perlu memutuskan jenis perisian yang akan digunakan untuk membolehkan saluran komunikasi ini. Sebenarnya, port SSH lalai mungkin mempunyai tetapan yang berbeza. Semuanya bergantung pada teknik yang digunakan pada masa ini (sambungan terus ke pelayan, memasang klien tambahan, penghantaran port, dll.).

Jadi, sebagai contoh, jika Jabber digunakan sebagai pelanggan, port 443 harus digunakan untuk sambungan, penyulitan dan pemindahan data yang betul, walaupun port 22 dipasang sebagai standard.

Untuk mengkonfigurasi semula penghala untuk memperuntukkan syarat yang diperlukan untuk program atau proses tertentu, anda perlu memajukan port SSH. terdapat penetapan akses khusus untuk program tunggal yang menggunakan sambungan Internet, tanpa mengira tetapan yang terdapat pada protokol komunikasi semasa (IPv4 atau IPv6).

Justifikasi teknikal

Seperti yang sudah jelas, port SSH standard 22 tidak selalu digunakan. Walau bagaimanapun, di sini adalah perlu untuk menyerlahkan beberapa ciri dan parameter yang digunakan semasa persediaan.

Mengapakah kerahsiaan pemindahan data yang disulitkan memerlukan penggunaan protokol SSH sebagai port pengguna luaran (tetamu) secara eksklusif? Ya, hanya kerana terowong yang digunakan membolehkan anda menggunakan apa yang dipanggil shell jauh (SSH), mendapatkan akses kepada pengurusan terminal melalui log masuk jauh (slogin), dan juga menggunakan prosedur salinan jauh (scp).

Di samping itu, port SSH juga boleh digunakan dalam kes apabila pengguna perlu melaksanakan skrip Windows X jauh, yang dalam kes paling mudah ialah pemindahan maklumat dari satu mesin ke mesin lain, seperti yang telah disebutkan, dengan penyulitan data paksa. Dalam situasi sedemikian, yang paling perlu ialah penggunaan algoritma berasaskan AES. Ini adalah algoritma penyulitan simetri, yang pada asalnya disediakan dalam teknologi SSH. Dan ia bukan sahaja mungkin untuk menggunakannya, tetapi juga perlu.

Sejarah pelaksanaan

Teknologi itu sendiri muncul agak lama dahulu. Mari kita ketepikan buat masa ini persoalan bagaimana untuk memajukan port SSH, dan mari kita memikirkan cara semuanya berfungsi.

Biasanya ia datang kepada menggunakan proksi berasaskan Socks atau menggunakan terowong VPN. Jika sesetengah aplikasi perisian boleh berfungsi dengan VPN, adalah lebih baik untuk memilih pilihan ini. Hakikatnya ialah hampir semua program yang diketahui pada masa ini yang menggunakan trafik Internet boleh berfungsi dengan VPN, dan menyediakan penghalaan tidak sukar. Ini, seperti dalam kes pelayan proksi, membolehkan anda meninggalkan alamat luaran terminal dari mana anda sedang mengakses rangkaian tidak dikenali. Iaitu, dalam kes proksi, alamat sentiasa berubah, tetapi dalam versi VPN ia kekal tidak berubah dengan penetapan rantau tertentu, berbeza daripada yang larangan akses berkuat kuasa.

Teknologi itu sendiri, apabila port SSH dibuka, dibangunkan pada tahun 1995 di Universiti Teknologi Finland (SSH-1). Pada tahun 1996, peningkatan telah ditambah dalam bentuk protokol SSH-2, yang telah menjadi agak meluas di ruang pasca-Soviet, walaupun untuk ini, seperti di beberapa negara Eropah Barat, kadang-kadang perlu mendapatkan kebenaran untuk menggunakan terowong daripada pihak berkuasa kerajaan.

Kelebihan utama membuka port SSH, berbanding telnet atau rlogin, ialah penggunaan tandatangan digital RSA atau DSA (menggunakan pasangan dalam bentuk kunci awam dan peribadi). Di samping itu, dalam situasi ini, kunci sesi yang dipanggil berdasarkan algoritma Diffie-Hellman boleh digunakan, yang membayangkan penggunaan penyulitan simetri pada output, walaupun ia tidak mengecualikan penggunaan algoritma penyulitan asimetri dalam proses penghantaran dan penerimaan data oleh mesin lain.

Pelayan dan cengkerang

Di Windows atau di dalamnya tidak begitu sukar. Satu-satunya soalan ialah jenis alat yang akan digunakan untuk ini.

Dalam pengertian ini, kita perlu memberi perhatian kepada isu pemindahan maklumat dan pengesahan. Pertama, protokol itu sendiri ternyata cukup dilindungi daripada apa yang dipanggil menghidu, yang merupakan "pendawaian" trafik yang paling biasa. SSH-1 tidak berdaya melawan serangan. Mengganggu proses penghantaran data dalam bentuk skema "man in the middle" mempunyai hasilnya. Maklumat itu hanya boleh dipintas dan ditafsirkan dengan cara asas sepenuhnya. Tetapi versi kedua (SSH-2) dilindungi daripada gangguan jenis ini, dipanggil rampasan sesi, itulah sebabnya ia menjadi paling meluas.

Sekatan keselamatan

Bagi keselamatan mengenai data yang dihantar dan diterima, mengatur sambungan yang dibuat menggunakan teknologi sedemikian mengelakkan masalah berikut:

• menentukan kunci kepada hos pada peringkat pemindahan, apabila "cap" cap jari digunakan;
• sokongan untuk sistem seperti Windows dan UNIX;
• penggantian alamat IP dan DNS (spoofing);
• memintas kata laluan terbuka semasa akses fizikal kepada saluran penghantaran data.

Sebenarnya, keseluruhan organisasi sistem sedemikian dibina berdasarkan prinsip "pelayan pelanggan", iaitu, pertama sekali, mesin pengguna, melalui program khas atau tambahan, mengakses pelayan, yang melakukan pengalihan yang sesuai.

Terowong

Tidak perlu dikatakan bahawa untuk membuat sambungan seperti ini, pemacu khas mesti dipasang dalam sistem.

Sebagai peraturan, pada sistem Windows ini ialah pemacu Microsoft Teredo yang dibina ke dalam cangkerang perisian, yang merupakan sejenis cara maya untuk meniru protokol IPv6 dalam rangkaian yang hanya menyokong IPv4. secara lalai ia berada dalam keadaan aktif. Sekiranya berlaku kegagalan yang berkaitan dengannya, anda boleh mulakan semula sistem atau jalankan penutupan dan mulakan semula arahan dalam Shell. Talian berikut digunakan untuk menyahaktifkan:

• netsh;
• antara muka teredo set keadaan dilumpuhkan;
• antara muka isatap set keadaan dilumpuhkan.

Selepas memasukkan arahan, but semula akan menyusul. Untuk mendayakan semula penyesuai dan menyemak statusnya, kebenaran yang didayakan ditetapkan dan bukannya dilumpuhkan, selepas itu, sekali lagi, keseluruhan sistem dimulakan semula.

pelayan SSH

Sekarang mari kita lihat port SSH mana yang digunakan sebagai yang utama, bermula dari skema pelayan pelanggan. Biasanya, port 22 digunakan secara lalai, tetapi, seperti yang dinyatakan di atas, port 443 juga boleh digunakan. Satu-satunya persoalan ialah keutamaan pelayan itu sendiri.

Pelayan SSH yang paling biasa dianggap sebagai berikut:

• untuk Windows: Tectia SSH Server, OpenSSH dengan Cygwin, MobaSSH, KpyM Telnet/SSH Server, WinSSHD, copssh, freeSSHd;
• untuk FreeBSD: OpenSSH;
• untuk Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Semua pelayan yang disenaraikan adalah percuma. Walau bagaimanapun, anda juga boleh mencari perkhidmatan berbayar yang mempunyai tahap keselamatan yang lebih tinggi, yang penting untuk mengatur akses rangkaian dan melindungi maklumat dalam perusahaan. Kos perkhidmatan sedemikian tidak dibincangkan pada masa ini. Tetapi secara umum, kita boleh mengatakan bahawa ia agak murah, walaupun dibandingkan dengan memasang perisian khusus atau tembok api perkakasan.

Pelanggan SSH

Port SSH boleh ditukar berdasarkan program klien atau tetapan yang sepadan apabila memajukan port pada penghala.

Walau bagaimanapun, apabila ia berkaitan dengan shell pelanggan, produk perisian berikut boleh digunakan untuk sistem yang berbeza:

• Windows - SecureCRT, PuTTY\KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD, dsb.;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux dan BSD: lsh-client, kdessh, openssh-client, Vinagre, putty.

Pengesahan Kunci Awam dan Perubahan Port

Sekarang beberapa perkataan tentang cara pelayan disahkan dan dikonfigurasikan. Dalam kes paling mudah, anda perlu menggunakan fail konfigurasi (sshd_config). Walau bagaimanapun, anda boleh melakukannya tanpa ini, sebagai contoh, dalam hal menggunakan program seperti PuTTY. Menukar port SSH daripada nilai standard (22) kepada mana-mana yang lain boleh dilakukan dengan mudah.

Perkara utama ialah bilangan pelabuhan yang dibuka tidak melebihi 65535 (tiada pelabuhan yang lebih tinggi dalam alam semula jadi). Di samping itu, anda harus memberi perhatian kepada beberapa port yang dibuka secara lalai, yang mungkin digunakan oleh pelanggan seperti pangkalan data MySQL atau FTPD. Jika anda menentukan konfigurasi mereka untuk SSH, sudah tentu, mereka hanya akan berhenti berfungsi.

Perlu dipertimbangkan bahawa klien Jabber yang sama mesti dilancarkan dalam persekitaran yang sama menggunakan pelayan SSH, sebagai contoh, pada mesin maya. Dan pelayan localhost itu sendiri perlu diberikan nilai 4430 (dan bukan 443, seperti yang ditunjukkan di atas). Konfigurasi ini boleh digunakan apabila akses kepada fail jabber.example.com utama disekat oleh tembok api.

Sebaliknya, anda boleh memajukan port pada penghala itu sendiri, menggunakan tetapan antara muka dan membuat peraturan pengecualian. Pada kebanyakan model, log masuk dilakukan dengan memasukkan alamat bermula dengan 192.168 dengan penambahan 0.1 atau 1.1, tetapi pada penghala yang menggabungkan keupayaan modem ADSL seperti Mikrotik, alamat akhir memerlukan penggunaan 88.1.

Dalam kes ini, peraturan baharu dibuat, selepas itu parameter yang diperlukan ditetapkan, contohnya, untuk mewujudkan sambungan dst-nat luaran, dan port juga dinyatakan secara manual bukan dalam bahagian tetapan umum, tetapi dalam bahagian Pilihan Tindakan. Tiada apa-apa yang rumit di sini. Perkara utama ialah menentukan tetapan yang diperlukan dan tetapkan port yang betul. Secara lalai, anda boleh menggunakan port 22, tetapi jika anda menggunakan klien khusus (salah satu daripada di atas untuk sistem yang berbeza), nilai boleh ditukar sewenang-wenangnya, tetapi hanya supaya parameter ini tidak melebihi nilai yang diisytiharkan, di atasnya terdapat cuma tiada nombor port.

Apabila menyediakan sambungan, anda juga harus memberi perhatian kepada tetapan program klien. Mungkin dalam tetapannya anda perlu menentukan panjang kunci minimum (512), walaupun lalai biasanya ditetapkan kepada 768. Ia juga dinasihatkan untuk menetapkan tamat masa log masuk kepada 600 saat dan membenarkan akses jauh menggunakan hak akar . Selepas menggunakan tetapan sedemikian, anda juga mesti memberi kebenaran untuk menggunakan semua hak pengesahan, kecuali yang berdasarkan penggunaan .rhost (tetapi hanya pentadbir sistem yang memerlukannya).

Antara lain, jika nama pengguna yang didaftarkan dalam sistem tidak sepadan dengan nama yang dimasukkan pada masa ini, anda perlu menyatakannya secara eksplisit menggunakan arahan induk ssh pengguna dengan parameter tambahan (bagi mereka yang memahami perkara yang kita bicarakan).

Perintah ~/.ssh/id_dsa (atau rsa) boleh digunakan untuk menukar kunci dan kaedah penyulitan itu sendiri. Untuk mencipta kunci awam, transformasi menggunakan baris ~/.ssh/identity.pub digunakan (tetapi ini tidak perlu). Tetapi, seperti yang ditunjukkan oleh amalan, cara paling mudah ialah menggunakan arahan seperti ssh-keygen. Di sini intipati soalan adalah untuk menambah kunci kepada alat kebenaran yang tersedia (~/.ssh/authorized_keys).

Tetapi kita telah pergi terlalu jauh. Jika kita kembali kepada isu menetapkan port SSH, seperti yang sudah jelas, menukar port SSH tidak begitu sukar. Benar, dalam beberapa situasi, seperti yang mereka katakan, anda perlu bekerja keras, kerana anda perlu mengambil kira semua nilai parameter utama. Jika tidak, isu konfigurasi datang kepada sama ada log masuk ke pelayan atau program klien (jika ini diberikan pada mulanya), atau menggunakan pemajuan port pada penghala. Tetapi walaupun anda menukar port lalai 22 kepada 443 yang sama, anda perlu memahami dengan jelas bahawa skim ini tidak selalu berfungsi, tetapi hanya dalam hal memasang alat tambah Jabber yang sama (analog lain juga boleh menggunakan port yang sepadan, berbeza daripada yang standard). Di samping itu, perhatian khusus harus diberikan kepada menetapkan parameter klien SSH yang akan berinteraksi secara langsung dengan pelayan SSH, jika ini sebenarnya bertujuan untuk digunakan dalam sambungan semasa.

Jika tidak, jika tidak disediakan pada mulanya (walaupun dinasihatkan untuk melakukan tindakan sedemikian), tetapan dan parameter untuk akses melalui protokol SSH tidak perlu diubah. Secara umum, tiada masalah khas yang diramalkan semasa membuat sambungan dan penggunaan selanjutnya (melainkan, sudah tentu, konfigurasi manual digunakan berdasarkan pelayan dan klien). Cara paling biasa untuk mencipta peraturan pengecualian pada penghala adalah untuk menyelesaikan semua masalah atau mengelakkannya.