SSH (Secure Shell) je zabezpečený síťový protokol, který vám umožňuje vzdálený přístup a správu linuxových serverů, včetně systémů Fedora. Poskytuje šifrovanou komunikaci mezi klientem a serverem a zajišťuje bezpečný přenos citlivých dat po síti. SSH je široce používán pro vzdálenou správu systému, přenos souborů a tunelování. Na Fedoře 40 nebo 39 lze SSH snadno nastavit a nakonfigurovat tak, aby umožňoval bezpečný vzdálený přístup k vašemu systému.
Tato příručka vás provede procesem instalace, povolení a konfigurace SSH na Fedoře 40 nebo 39 pomocí terminálu příkazového řádku. Kromě toho pokryje základní příkazy SSH a tipy pro bezpečnou konfiguraci.
Aktualizujte balíčky Fedory před instalací SSH
Aktualizace systémových balíčků Fedory před instalací SSH je zásadní pro zachování kompatibility systému a předcházení konfliktům. To zajišťuje, že všechny součásti vašeho systému jsou aktuální.
Spusťte v terminálu následující příkaz a aktualizujte své balíčky:
sudo dnf upgrade --refresh
Tento příkaz obnoví metadata úložiště a upgraduje balíčky, čímž zajistí, že váš systém je aktuální.
Nainstalujte SSH pomocí příkazu DNF
Před instalací je dobrou praxí zkontrolovat, zda je server OpenSSH již ve vašem systému Fedora. Tento příkaz použijte k vyhledání balíčku serveru OpenSSH:
rpm -qa | grep openssh-server
Pokud tento příkaz vrátí výsledek, bude nainstalován server OpenSSH. Pokud není žádný výstup, musíte jej nainstalovat.
K instalaci serveru OpenSSH použijte tento příkaz:
sudo dnf install openssh-server
Povolení a spuštění služby SSHD
Po instalaci serveru OpenSSH je dalším krokem povolení služby SSHD. Tato akce zajišťuje, že se démon SSH automaticky spustí při každém spuštění systému a nabízí konzistentní vzdálený přístup.
Povolte SSHD pomocí tohoto příkazu:
sudo systemctl enable sshd
Po povolení spusťte server SSH pomocí:
sudo systemctl start sshd
Chcete-li ověřit, zda server SSH běží správně, můžete zkontrolovat jeho stav:
systemctl status sshd
Použití SSH pro připojení ke vzdálenému systému
Připojení ke vzdálenému serveru s ověřením hesla
Po nastavení SSH můžete zahájit připojení ke vzdálenému serveru. Pro ověřování na základě hesla použijte následující syntaxi:
ssh username@remote_server
Nahraďte uživatelské jméno svým skutečným uživatelským jménem a vzdálený_server IP adresou serveru nebo názvem hostitele. Po provedení tohoto příkazu budete vyzváni k zadání hesla pro ověření.
Připojení ke vzdálenému serveru s ověřováním veřejného klíče
Pro lepší zabezpečení podporuje SSH také ověřování pomocí veřejného klíče. Tato metoda je bezpečnější než ověřování heslem, protože používá kryptografické klíče. Proveďte příkaz:
ssh -i /path/to/private_key username@remote_server
Zde nahraďte /cesta/k/soukromému_klíči cestou k souboru vašeho soukromého klíče, uživatelské jméno vaším uživatelským jménem a vzdálený_server IP adresou serveru nebo názvem hostitele. Tato metoda obchází potřebu zadávání hesla a využívá soukromý klíč pro autentizaci.
Určení jiného portu
SSH výchozí port 22 pro připojení. Pokud však vzdálený server naslouchá na jiném portu, zadejte jej pomocí volby -p:
ssh -p 2222 username@remote_server
Změňte 2222 na skutečné číslo portu používané vzdáleným serverem.
Přenos souborů pomocí SCP
SCP (Secure Copy Protocol) je bezpečná metoda pro přenos souborů mezi systémy přes SSH. Chcete-li zkopírovat soubor z místního systému na vzdálený server, použijte tento příkaz:
scp /path/to/local/file username@remote_server:/path/to/remote/directory
Přizpůsobte /path/to/local/file cestě k místnímu souboru, uživatelské jméno vašemu uživatelskému jménu, vzdálený_server IP nebo názvu hostitele serveru a /cesta/k/vzdálenému/adresáři cílovému adresáři na vzdáleném serveru. Tento příkaz bezpečně zkopíruje soubor do zadaného adresáře na vzdáleném serveru.
Nakonfigurujte SSH na příkladech Fedora Linux
Zakázat ověřování GSSAPI
Zvažte vypnutí ověřování GSSAPI pro lepší výkon, protože může zpomalit dobu připojení SSH. Chcete-li to provést, přidejte do souboru /etc/ssh/sshd_config následující řádek:
GSSAPIAuthentication no
Tato úprava zabraňuje ověřování GSSAPI, což může zkrátit zpoždění při nastavování připojení SSH.
Upravte časové limity relací SSH
Chcete-li spravovat časové limity relací SSH, přidejte do konfiguračního souboru SSH tyto řádky:
ClientAliveInterval 300
ClientAliveCountMax 2
Tato konfigurace odesílá každých 300 sekund (5 minut) udržovací zprávu a ukončí relaci, pokud po dvou zprávách není přijata žádná odpověď. Pomáhá udržovat aktivní relace a uzavírat neaktivní.
Zakázat přihlášení uživatele root
Zakázání přihlášení root je kritickým bezpečnostním postupem pro obranu proti útokům hrubou silou. Zahrňte tento řádek do konfigurace SSH:
PermitRootLogin no
Toto nastavení zajišťuje, že vzdálené přihlášení root je zakázáno, což výrazně zvyšuje zabezpečení vašeho systému.
Použijte ověřování pomocí veřejného klíče
Autentizace pomocí veřejného klíče nabízí bezpečnější alternativu k metodám založeným na hesle. Nejprve vygenerujte pár klíčů SSH:
ssh-keygen -t rsa -b 4096
Poté přeneste svůj veřejný klíč na vzdálený server:
ssh-copy-id user@remote_server
Nahraďte uživatele svým uživatelským jménem a vzdálený_server IP nebo názvem hostitele serveru. Po zkopírování klíče povolte v konfiguraci SSH ověřování veřejným klíčem:
PubkeyAuthentication yes
Omezte přístup SSH na konkrétní uživatele nebo skupiny
Chcete-li omezit přístup SSH na určité uživatele nebo skupiny, přidejte do konfiguračního souboru SSH tyto řádky:
AllowUsers user1 user2
AllowGroups group1 group2
Nahraďte uživatel1 uživatel2 povolenými uživatelskými jmény a skupina1 skupina2 povolenými názvy skupin. Toto omezení zvyšuje bezpečnost omezením přístupu.
Změna portu SSH
Změna výchozího portu SSH (22) může omezit pokusy o neoprávněný přístup. Chcete-li změnit port SSH, přidejte tento řádek do konfiguračního souboru SSH:
Port <port_number>
Nahradit s vámi zvoleným portem, ideálně mezi 1024 a 65535, abyste zajistili, že jej jiná služba nebude používat. Tento krok přidává další vrstvu zabezpečení tím, že zakryje port SSH před automatizovanými útoky.
Zabezpečení SSH pomocí brány firewall
Povolení vaší IP adresy v Firewallu
Zajištění nepřerušeného přístupu je v prostředí VPS založeném na Fedoře nebo vzdáleném serveru zásadní. Před úpravou nastavení brány firewall je nezbytné povolit vaši IP adresu, zejména pro připojení ke vzdálenému systému. Přehlédnutí by mohlo vést ke ztrátě přístupu k serveru po použití změn brány firewall.
Chcete-li povolit vaši konkrétní IP adresu v bráně firewall, spusťte následující příkaz:
sudo firewall-cmd --permanent --add-source=<your_ip_address>
Nahradit se skutečnou IP adresou, kterou aktuálně používáte. Tento krok je zásadní pro udržení vašeho přístupu bez přerušení.
Integrace SSH Service do Firewallu
Jakmile bude vaše IP adresa bezpečně povolena, přidejte službu SSH do Firewallu. Tato akce zajišťuje, že jsou přes bránu firewall povolena připojení SSH. Použijte tento příkaz:
sudo firewall-cmd --add-service=ssh --permanent
Tento příkaz přidá SSH do seznamu služeb, které brána firewall umožní přes bránu firewall.
Aktivace aktualizovaných nastavení brány firewall
Po provedení nezbytných změn je použijte opětovným načtením brány firewall:
sudo firewall-cmd --reload
Reloading Firewalld aktivuje nová nastavení bez přerušení aktuálního síťového připojení.
Ověření služby SSH ve firewallu
Abyste zajistili, že je SSH správně nakonfigurováno a povoleno v Firewallu, spusťte:
sudo firewall-cmd --list-services | grep ssh
Tento příkaz zkontroluje seznam služeb, které Firewalld povoluje, a potvrdí přítomnost SSH a ověří, že vaše vzdálené relace SSH jsou bezpečné a dostupné.
Závěr
S úspěšně nainstalovaným a nakonfigurovaným SSH ve vašem systému Fedora můžete bezpečně spravovat svůj server na dálku s důvěrou. Pravidelná aktualizace konfigurace SSH a dodržování osvědčených postupů vám pomůže udržet bezpečné a efektivní prostředí vzdálené správy. Ať už přistupujete ke svému systému z jiného počítače ve vaší síti nebo spravujete server v datovém centru, SSH poskytuje základní nástroje pro bezpečnou vzdálenou správu na Fedoře.