SSH (Secure Shell) je zabezpečený protokol používaný ke vzdálenému přístupu a správě linuxových serverů. Poskytuje šifrovanou komunikaci, zajišťující bezpečnost dat přenášených mezi klientem a serverem. SSH je základní nástroj pro systémové administrátory a vývojáře, který jim umožňuje provádět různé úkoly, jako je provádění příkazů, přenos souborů a správa síťových služeb bezpečně přes nezabezpečenou síť.
Chcete-li nastavit SSH na Rocky Linux 9 nebo 8, můžete postupovat podle jednoduchého instalačního procesu pomocí výchozích úložišť. Tato příručka vás provede kroky instalace a poskytne tipy pro počáteční konfiguraci pro zvýšení zabezpečení a použitelnosti.
Aktualizujte Rocky Linux před instalací SSH
Před instalací a konfigurací SSH na Rocky Linux je důležité zajistit, aby byly balíčky vašeho systému aktuální. To nejen zaručuje hladší provoz, ale také minimalizuje potenciální softwarové konflikty.
Chcete-li aktualizovat svůj systém Rocky Linux, použijte příkaz:
sudo dnf upgrade --refreshNainstalujte SSH pomocí příkazu DNF
Další krok zahrnuje ověření, zda je server OpenSSH již ve vašem systému Rocky Linux. To lze zjistit provedením příkazu:
rpm -qa | grep openssh-serverTento příkaz vrátí relevantní výstup, pokud je nainstalován server OpenSSH. Pokud není žádný výstup, znamená to nepřítomnost serveru OpenSSH ve vašem systému. Chcete-li to vyřešit a nainstalovat server OpenSSH, použijte následující příkaz:
sudo dnf install openssh-serverPovolit službu SSH (SSHD).
Po úspěšné instalaci serveru OpenSSH je nutné povolit službu SSHD v rámci systemd. To zajišťuje, že se démon SSH automaticky inicializuje po každém restartu systému. Chcete-li toho dosáhnout, spusťte příkaz:
sudo systemctl enable sshdKdyž je služba SSHD nyní nastavena na automatické spouštění, můžete ručně spustit server SSH pomocí:
sudo systemctl start sshdPro účely ověření a pro zajištění, že server SSH běží bez problémů, můžete zkontrolovat jeho stav pomocí:
sudo systemctl status sshdChcete-li potvrdit, že výchozí port (22) nyní aktivně naslouchá příchozím připojením SSH, spusťte:
sudo ss -ltPřipojte se ke vzdálenému serveru přes SSH na Rocky Linux 9 nebo 8
S vhodně nastaveným SSH na vašem systému Rocky Linux můžete nyní navázat připojení ke vzdáleným serverům. Zde je podrobný rozpis toho, jak používat SSH pro různé scénáře připojení:
Připojení pomocí ověřování hesla s SSH na Rocky Linux
Chcete-li navázat připojení ke vzdálenému serveru pomocí SSH s ověřováním na základě hesla, použijte příkaz:
ssh username@remote_serverZde nahraďte „username“ svým skutečným uživatelským jménem a „remote_server“ za IP adresu nebo název hostitele požadovaného vzdáleného serveru. Po spuštění budete vyzváni k zadání hesla pro ověření.
Připojení pomocí ověřování pomocí veřejného klíče s SSH
SSH nabízí ověřování pomocí veřejného klíče pro ty, kteří preferují bezpečnější způsob připojení. Chcete-li se připojit pomocí této metody, příkaz je:
ssh -i /path/to/private_key username@remote_serverV tomto příkazu nahraďte „/cesta/k/soukromému_klíči“ cestou vedoucí k souboru vašeho soukromého klíče. Podobně nahraďte „username“ svým uživatelským jménem a „remote_server“ za IP adresu nebo název hostitele vzdáleného serveru. Tato metoda obchází potřebu zadání hesla a místo toho se spoléhá na poskytnutý soukromý klíč pro autentizaci.
Určení alternativního portu pro připojení s SSH
Zatímco SSH má výchozí port 22 pro připojení, některé vzdálené servery mohou fungovat na různých portech. Chcete-li určit alternativní port během připojení, použijte:
ssh -p 2222 username@remote_serverV tomto příkladu nahraďte „2222“ číslem portu, který používá vzdálený server.
Zabezpečený přenos souborů pomocí SCP s SSH
SCP nebo Secure Copy je výkonný nástroj příkazového řádku, který usnadňuje bezpečný přenos souborů mezi systémy prostřednictvím SSH. Chcete-li přenést soubor z místního systému Rocky Linux na vzdálený server, příkaz je:
scp /path/to/local/file username@remote_server:/path/to/remote/directoryNahraďte „/path/to/local/file“ cestou k souboru, který chcete přenést. Podobně upravte „username“ na své uživatelské jméno, „remote_server“ na IP adresu nebo název hostitele vzdáleného serveru a „/cesta/k/vzdálenému/adresáři“ na cestu k adresáři na vzdáleném serveru, kam chcete umístit přenesený soubor.
Nakonfigurujte SSH na Rocky Linux
Optimalizace konfigurace SSH může zlepšit zabezpečení a výkon vašeho serveru. Konfigurační soubor SSH, umístěný v /etc/ssh/sshd_config, obsahuje různé parametry, které lze upravit tak, aby vyhovovaly konkrétním potřebám. I když jsou následující konfigurace pouze příklady, mohou být užitečné v závislosti na nastavení vašeho serveru nebo desktopu.
Zakázání ověřování GSSAPI pro SSH
Autentizace GSSAPI, i když je užitečná, může někdy způsobit zpoždění při navazování připojení SSH. Chcete-li to zmírnit, můžete jej zakázat připojením následujícího řádku ke konfiguračnímu souboru SSH:
GSSAPIAuthentication noÚprava časových limitů relací SSH pro SSH
Úprava časových limitů relace může pomoci spravovat neaktivní relace SSH. Chcete-li nastavit server tak, aby každých 5 minut posílal udržovací zprávu a ukončil relaci, pokud dvě po sobě jdoucí zprávy zůstanou bez odpovědi, přidejte:
ClientAliveInterval 300
ClientAliveCountMax 2Zákaz přihlášení uživatele root pro SSH
Pro zvýšení bezpečnosti, zejména proti útokům hrubou silou, je vhodné zakázat přihlášení uživatele root. Toho lze dosáhnout pomocí:
PermitRootLogin noImplementace ověřování pomocí veřejného klíče pro SSH
Autentizace pomocí veřejného klíče nabízí bezpečnější alternativu k metodám založeným na hesle. Chcete-li to nastavit, musíte nejprve vygenerovat nový pár klíčů SSH:
ssh-keygen -t rsa -b 4096Dále přeneste veřejný klíč na požadovaný vzdálený server:
ssh-copy-id user@remote_serverUjistěte se, že jste nahradili „user“ svým uživatelským jménem a „remote_server“ příslušnou IP adresou nebo názvem hostitele. Nakonec povolte ověřování pomocí veřejného klíče v konfiguraci SSH:
PubkeyAuthentication yesOmezení přístupu SSH pro SSH
Pro zvýšení bezpečnosti můžete omezit přístup SSH na konkrétní uživatele nebo skupiny. Chcete-li to implementovat, přidejte:
AllowUsers user1 user2
AllowGroups group1 group2Nahraďte zástupné symboly skutečnými uživatelskými jmény nebo názvy skupin, kterým chcete udělit přístup.
Změna portu SSH pro SSH
SSH ve výchozím nastavení funguje na portu 22. Vzhledem k jeho proslulosti může změna tohoto portu zabránit pokusům o neoprávněný přístup. Chcete-li přiřadit nový port, použijte:
Port <port_number>Je vhodné vybrat číslo portu mezi 1024 a 65535, které není obsazeno jinou službou.
Zabezpečte SSH pomocí Firewallu
Zajistěte nepřetržitý přístup při práci s VPS nebo prostředím vzdáleného serveru. Před provedením jakýchkoli změn v Firewalldu, zejména pokud k systému přistupujete vzdáleně, je nezbytné přidat vaši IP adresu na seznam povolených. Pokud tak neučiníte, může vás po použití změn brány firewall nechtěně uzamknout ze serveru.
Chcete-li svou IP adresu v Firewallu přidat na seznam povolených, použijte následující příkaz:
sudo firewall-cmd --permanent --add-source=<your_ip_address>Nahradit s vaší skutečnou IP adresou.
Jakmile je vaše IP adresa přidána na bílou listinu, můžete službu SSH bezpečně začlenit do Firewallu:
sudo firewall-cmd --add-service=ssh --permanentPo provedení nezbytných úprav použijte novou konfiguraci brány firewall:
sudo firewall-cmd --reloadChcete-li ověřit zahrnutí služby SSH do brány Firewalld, spusťte následující:
sudo firewall-cmd --list-services | grep sshTento příkaz potvrdí, zda je služba SSH přes bránu firewall řádně povolena, a zajistí, že vaše vzdálená připojení zůstanou bezpečná a přístupná.
Závěr
S úspěšně nainstalovaným a nakonfigurovaným SSH ve vašem systému Rocky Linux můžete bezpečně spravovat svůj server na dálku. Pravidelně aktualizujte své konfigurace SSH a používejte osvědčené postupy pro zachování zabezpečení. Dodržováním tipů pro počáteční nastavení zajistíte bezpečnější a efektivnější vzdálenou správu. Užijte si robustní možnosti, které SSH nabízí pro bezpečnou správu serveru.
