SSH (Secure Shell) er en sikker protokol, der bruges til fjernadgang og administration af Linux-servere. Det giver krypteret kommunikation, hvilket sikrer sikkerheden af data, der overføres mellem klienten og serveren. SSH er et grundlæggende værktøj for systemadministratorer og udviklere, som giver dem mulighed for at udføre forskellige opgaver såsom at udføre kommandoer, overføre filer og administrere netværkstjenester sikkert over et usikret netværk.
For at konfigurere SSH på Rocky Linux 9 eller 8 kan du følge en ligetil installationsproces ved hjælp af standardlagrene. Denne vejledning vil lede dig gennem installationstrinnene og give tip om indledende konfiguration for at forbedre sikkerheden og brugervenligheden.
Opdater Rocky Linux før SSH-installation
Før du installerer og konfigurerer SSH på Rocky Linux, er det afgørende at sikre, at dit systems pakker er aktuelle. Dette garanterer ikke kun mere jævn drift, men minimerer også potentielle softwarekonflikter.
For at opdatere dit Rocky Linux-system skal du bruge kommandoen:
sudo dnf upgrade --refreshInstaller SSH via DNF Command
Det næste trin involverer at verificere, om OpenSSH-serveren allerede er på dit Rocky Linux-system. Dette kan konstateres ved at udføre kommandoen:
rpm -qa | grep openssh-serverDenne kommando returnerer et relevant output, hvis OpenSSH-serveren er installeret. Hvis der ikke er noget output, indikerer det fraværet af OpenSSH-serveren på dit system. For at løse dette og installere OpenSSH-serveren skal du bruge følgende kommando:
sudo dnf install openssh-serverAktiver SSH (SSHD) Service
Efter succesfuld installation af OpenSSH-serveren er aktivering af SSHD-tjenesten inden for systemd-rammen bydende nødvendigt. Dette sikrer, at SSH-dæmonen initialiseres automatisk efter hver systemgenstart. For at opnå dette skal du udføre kommandoen:
sudo systemctl enable sshdMed SSHD-tjenesten nu indstillet til automatisk start, kan du manuelt starte SSH-serveren ved at bruge:
sudo systemctl start sshdTil verifikationsformål og for at sikre, at SSH-serveren kører uden problemer, kan du kontrollere dens status med:
sudo systemctl status sshdFor at bekræfte, at standardporten (22) nu aktivt lytter efter indgående SSH-forbindelser, skal du køre:
sudo ss -ltOpret forbindelse til en fjernserver via SSH på Rocky Linux 9 eller 8
Med SSH korrekt opsat på dit Rocky Linux-system, kan du nu oprette forbindelser til fjernservere. Her er en detaljeret oversigt over, hvordan man bruger SSH til forskellige forbindelsesscenarier:
Tilslutning ved hjælp af adgangskodegodkendelse med SSH på Rocky Linux
For at etablere en forbindelse til en fjernserver ved hjælp af SSH med adgangskodebaseret godkendelse skal du bruge kommandoen:
ssh username@remote_serverHer skal du erstatte "brugernavn" med dit faktiske brugernavn og "remote_server" med IP-adressen eller værtsnavnet på den ønskede fjernserver. Ved udførelse vil du blive bedt om at indtaste din adgangskode til godkendelse.
Forbindelse ved hjælp af offentlig nøglegodkendelse med SSH
SSH tilbyder offentlig nøglegodkendelse til dem, der foretrækker en mere sikker forbindelsesmetode. For at oprette forbindelse ved hjælp af denne metode er kommandoen:
ssh -i /path/to/private_key username@remote_serverI denne kommando skal du erstatte "/path/to/private_key" med stien, der fører til din private nøglefil. På samme måde skal du erstatte "brugernavn" med dit brugernavn og "remote_server" med IP-adressen eller værtsnavnet på fjernserveren. Denne metode omgår behovet for adgangskodeinput og stoler i stedet på den medfølgende private nøgle til godkendelse.
Angivelse af en alternativ port til forbindelse med SSH
Mens SSH som standard er port 22 for forbindelser, kan nogle fjernservere fungere på forskellige porte. For at angive en alternativ port under tilslutning skal du bruge:
ssh -p 2222 username@remote_serverI dette eksempel skal du erstatte "2222" med det portnummer, som fjernserveren bruger.
Sikker filoverførsel med SCP med SSH
SCP, eller Secure Copy, er et potent kommandolinjeværktøj, der letter sikker overførsel af filer mellem systemer via SSH. For at overføre en fil fra dit lokale Rocky Linux-system til en fjernserver er kommandoen:
scp /path/to/local/file username@remote_server:/path/to/remote/directoryErstat "/path/to/local/file" med den filsti, du har til hensigt at overføre. Tilsvarende skal du justere "brugernavn" til dit brugernavn, "remote_server" til IP-adressen eller værtsnavnet på fjernserveren og "/path/to/remote/directory" til biblioteksstien på den eksterne server, hvor du ønsker at placere den overførte fil.
Konfigurer SSH på Rocky Linux
Optimering af SSH-konfigurationen kan forbedre din servers sikkerhed og ydeevne. SSH-konfigurationsfilen, som findes på /etc/ssh/sshd_config, indeholder forskellige parametre, der kan justeres for at passe til specifikke behov. Selvom følgende konfigurationer kun er eksempler, kan de være fordelagtige afhængigt af din server- eller skrivebordsopsætning.
Deaktivering af GSSAPI-godkendelse for SSH
Selvom GSSAPI-godkendelse er nyttig, kan den nogle gange introducere forsinkelser under etablering af SSH-forbindelse. For at afbøde dette kan du deaktivere det ved at tilføje linjen nedenfor til SSH-konfigurationsfilen:
GSSAPIAuthentication noÆndring af SSH-sessionstimeouts for SSH
Justering af sessionstimeout kan hjælpe med at administrere inaktive SSH-sessioner. For at indstille serveren til at sende en hold-alive besked hvert 5. minut og afslutte sessionen, hvis to på hinanden følgende beskeder forbliver ubesvarede, skal du tilføje:
ClientAliveInterval 300
ClientAliveCountMax 2Forbyder root-login til SSH
For øget sikkerhed, især mod brute-force-angreb, er det tilrådeligt at deaktivere root-login. Dette kan opnås med:
PermitRootLogin noImplementering af offentlig nøglegodkendelse til SSH
Offentlig nøglegodkendelse tilbyder et mere sikkert alternativ til adgangskodebaserede metoder. For at konfigurere dette skal du først generere et nyt SSH-nøglepar:
ssh-keygen -t rsa -b 4096Overfør derefter den offentlige nøgle til den ønskede fjernserver:
ssh-copy-id user@remote_serverSørg for at erstatte "bruger" med dit brugernavn og "remote_server" med den relevante IP-adresse eller værtsnavn. Til sidst skal du aktivere offentlig nøglegodkendelse i SSH-konfigurationen:
PubkeyAuthentication yesBegrænsning af SSH-adgang til SSH
Du kan begrænse SSH-adgang til bestemte brugere eller grupper for ekstra sikkerhed. For at implementere dette skal du tilføje:
AllowUsers user1 user2
AllowGroups group1 group2Erstat pladsholderne med de faktiske brugernavne eller gruppenavne, du ønsker at give adgang.
Ændring af SSH-porten til SSH
SSH fungerer som standard på port 22. I betragtning af dets berygtede, kan ændring af denne port afskrække uautoriserede adgangsforsøg. For at tildele en ny port skal du bruge:
Port <port_number>Det er tilrådeligt at vælge et portnummer mellem 1024 og 65535, der ikke er optaget af en anden tjeneste.
Sikker SSH med Firewalld
Sørg for uafbrudt adgang, når du arbejder med en VPS eller et eksternt servermiljø. Før du foretager ændringer i Firewalld, især hvis du fjernadgang til systemet, er det bydende nødvendigt at hvidliste din IP-adresse. Hvis du undlader at gøre det, kan du ved et uheld låse dig ude af serveren efter at have anvendt firewallændringerne.
For at hvidliste din IP-adresse i Firewalld skal du bruge følgende kommando:
sudo firewall-cmd --permanent --add-source=<your_ip_address>Erstatte med din faktiske IP-adresse.
Når din IP-adresse er hvidlistet, kan du sikkert inkorporere SSH-tjenesten i Firewalld:
sudo firewall-cmd --add-service=ssh --permanentNår du har foretaget de nødvendige justeringer, skal du anvende den nye Firewalld-konfiguration:
sudo firewall-cmd --reloadFor at bekræfte medtagelsen af SSH-tjenesten i Firewalld skal du køre følgende:
sudo firewall-cmd --list-services | grep sshDenne kommando vil bekræfte, om SSH-tjenesten er behørigt tilladt gennem firewallen, hvilket sikrer, at dine fjernforbindelser forbliver sikre og tilgængelige.
Konklusion
Med SSH installeret og konfigureret på dit Rocky Linux-system, kan du sikkert styre din server eksternt. Opdater regelmæssigt dine SSH-konfigurationer og anvend bedste praksis for at opretholde sikkerheden. Ved at følge de indledende opsætningstip sikrer du en mere sikker og effektiv fjernstyringsoplevelse. Nyd de robuste muligheder, som SSH tilbyder til sikker serveradministration.
