Az SSH (Secure Shell) egy biztonságos protokoll, amely a Linux-kiszolgálók távoli elérésére és kezelésére szolgál. Titkosított kommunikációt biztosít, biztosítva a kliens és a szerver között továbbított adatok biztonságát. Az SSH a rendszergazdák és fejlesztők alapvető eszköze, amely lehetővé teszi számukra, hogy különféle feladatokat hajtsanak végre, például parancsok végrehajtását, fájlok átvitelét és hálózati szolgáltatások biztonságos kezelését nem biztonságos hálózaton keresztül.
Az SSH beállításához Rocky Linux 9 vagy 8 rendszeren egyszerű telepítési folyamatot követhet az alapértelmezett tárolók használatával. Ez az útmutató végigvezeti a telepítés lépésein, és tippeket ad a kezdeti konfigurációhoz a biztonság és a használhatóság fokozása érdekében.
Frissítse a Rocky Linuxot az SSH telepítése előtt
Mielőtt telepítené és konfigurálná az SSH-t Rocky Linux rendszeren, döntő fontosságú, hogy megbizonyosodjon arról, hogy a rendszer csomagjai naprakészek. Ez nemcsak gördülékenyebb működést garantál, hanem minimalizálja a lehetséges szoftverkonfliktusokat is.
A Rocky Linux rendszer frissítéséhez használja a következő parancsot:
sudo dnf upgrade --refresh
Telepítse az SSH-t a DNF paranccsal
A következő lépés annak ellenőrzése, hogy az OpenSSH szerver már a Rocky Linux rendszeren van-e. Ez a következő parancs végrehajtásával állapítható meg:
rpm -qa | grep openssh-server
Ez a parancs megfelelő kimenetet ad vissza, ha az OpenSSH szerver telepítve van. Ha nincs kimenet, az azt jelzi, hogy a rendszeren nincs OpenSSH-kiszolgáló. Ennek megoldásához és az OpenSSH-kiszolgáló telepítéséhez használja a következő parancsot:
sudo dnf install openssh-server
Engedélyezze az SSH (SSHD) szolgáltatást
Az OpenSSH szerver sikeres telepítése után feltétlenül engedélyezni kell az SSHD szolgáltatást a systemd keretrendszeren belül. Ez biztosítja, hogy az SSH démon automatikusan inicializálódik minden rendszer újraindítás után. Ennek eléréséhez hajtsa végre a következő parancsot:
sudo systemctl enable sshd
Ha az SSHD szolgáltatás most automatikus indításra van állítva, manuálisan kezdeményezheti az SSH-kiszolgálót a következő használatával:
sudo systemctl start sshd
Ellenőrzési célból és annak biztosítása érdekében, hogy az SSH-szerver problémamentesen fusson, ellenőrizheti állapotát a következővel:
sudo systemctl status sshd
Ha meg szeretné győződni arról, hogy az alapértelmezett port (22) most már aktívan figyeli a bejövő SSH-kapcsolatokat, futtassa:
sudo ss -lt
Csatlakozzon egy távoli kiszolgálóhoz SSH-n keresztül Rocky Linux 9 vagy 8 rendszeren
Ha az SSH-t megfelelően beállította a Rocky Linux rendszeren, most már kapcsolatot létesíthet távoli szerverekkel. Íme egy részletes leírás az SSH használatáról különböző csatlakozási forgatókönyvekhez:
Csatlakozás jelszavas hitelesítés használatával SSH-val Rocky Linux rendszeren
Ha jelszó alapú hitelesítéssel SSH-t használva szeretne kapcsolatot létesíteni távoli szerverrel, használja a következő parancsot:
ssh username@remote_server
Itt cserélje ki a „felhasználónév” szót a tényleges felhasználónevére, a „remote_server”-t pedig a kívánt távoli szerver IP-címére vagy gazdagépnevére. A végrehajtás után a rendszer felkéri a jelszó megadására a hitelesítéshez.
Csatlakozás nyilvános kulcsú hitelesítéssel az SSH-hoz
Az SSH nyilvános kulcsú hitelesítést kínál a biztonságosabb csatlakozási módot kedvelők számára. Ha ezzel a módszerrel szeretne csatlakozni, a parancs a következő:
ssh -i /path/to/private_key username@remote_server
Ebben a parancsban cserélje ki a „/path/to/private_key” karakterláncot a privát kulcs fájljához vezető elérési útra. Hasonlóképpen cserélje ki a „felhasználónév” kifejezést a felhasználónevére, a „távoli_kiszolgáló” kifejezést pedig a távoli szerver IP-címére vagy gazdagépnevére. Ez a módszer megkerüli a jelszó megadásának szükségességét, helyette a megadott privát kulcsra támaszkodik a hitelesítéshez.
Alternatív port megadása az SSH-hoz való csatlakozáshoz
Míg az SSH alapértelmezés szerint a 22-es portot használja a kapcsolatokhoz, egyes távoli kiszolgálók különböző portokon működhetnek. Alternatív port megadásához a csatlakozás során használja:
ssh -p 2222 username@remote_server
Ebben a példában cserélje ki a „2222”-t a távoli kiszolgáló által használt portszámra.
Biztonságos fájlátvitel SCP-vel és SSH-val
Az SCP vagy a Secure Copy egy hatékony parancssori segédprogram, amely megkönnyíti a fájlok biztonságos átvitelét a rendszerek között SSH-n keresztül. Fájlok átviteléhez a helyi Rocky Linux rendszerről egy távoli szerverre a következő parancsot kell adni:
scp /path/to/local/file username@remote_server:/path/to/remote/directory
Cserélje le a „/útvonal/helyi/fájl” elemet az átvinni kívánt fájl elérési útjára. Hasonlóképpen állítsa be a „felhasználónév”-t a felhasználónevére, a „távoli_szerver”-t a távoli kiszolgáló IP-címére vagy állomásnevére, a „/útvonal/távoli/könyvtár”-ba pedig a távoli kiszolgálón lévő könyvtár elérési útját, ahová az átvitt fájlt el kívánja helyezni. fájlt.
Állítsa be az SSH-t Rocky Linuxon
Az SSH-konfiguráció optimalizálása növelheti a szerver biztonságát és teljesítményét. Az /etc/ssh/sshd_config címen található SSH konfigurációs fájl különféle paramétereket tartalmaz, amelyek az egyedi igényeknek megfelelően módosíthatók. Bár az alábbi konfigurációk csupán példák, a szerver vagy az asztali számítógép beállításától függően hasznosak lehetnek.
A GSSAPI hitelesítés letiltása SSH-hoz
A GSSAPI hitelesítés ugyan hasznos, de néha késéseket okozhat az SSH-kapcsolat létrehozása során. Ennek enyhítésére letilthatja az alábbi sort az SSH konfigurációs fájlhoz való hozzáfűzésével:
GSSAPIAuthentication no
Az SSH-munkamenet időtúllépéseinek módosítása az SSH-hoz
A munkamenetek időtúllépéseinek beállítása segíthet az inaktív SSH-munkamenetek kezelésében. Ha azt szeretné beállítani, hogy a szerver 5 percenként küldjön életben tartási üzenetet, és megszakítsa a munkamenetet, ha két egymást követő üzenetre nem válaszol, adja hozzá:
ClientAliveInterval 300
ClientAliveCountMax 2
A root bejelentkezés letiltása az SSH-hoz
A fokozott biztonság érdekében, különösen a brute force támadások ellen, tanácsos letiltani a root bejelentkezést. Ez a következőkkel érhető el:
PermitRootLogin no
Nyilvános kulcsú hitelesítés megvalósítása SSH-hoz
A nyilvános kulcsú hitelesítés biztonságosabb alternatívát kínál a jelszó alapú módszerek helyett. Ennek beállításához először létre kell hoznia egy új SSH-kulcspárt:
ssh-keygen -t rsa -b 4096
Ezután vigye át a nyilvános kulcsot a kívánt távoli szerverre:
ssh-copy-id user@remote_server
Győződjön meg róla, hogy a „user” szót a felhasználónevével, a „távoli_szerver”-t pedig a megfelelő IP-címmel vagy gazdagépnévvel cseréli le. Végül engedélyezze a nyilvános kulcsú hitelesítést az SSH konfigurációban:
PubkeyAuthentication yes
Az SSH hozzáférés korlátozása az SSH számára
A nagyobb biztonság érdekében korlátozhatja az SSH-hozzáférést bizonyos felhasználókra vagy csoportokra. Ennek megvalósításához adja hozzá:
AllowUsers user1 user2
AllowGroups group1 group2
Cserélje ki a helyőrzőket azokkal a tényleges felhasználónevekkel vagy csoportnevekkel, amelyekhez hozzáférést kíván adni.
Az SSH-port módosítása az SSH-hoz
Az SSH alapértelmezés szerint a 22-es porton működik. Ismertsége miatt a port megváltoztatása megakadályozhatja a jogosulatlan hozzáférési kísérleteket. Új port hozzárendeléséhez használja:
Port <port_number>
Célszerű olyan portszámot választani 1024 és 65535 között, amelyet nem foglal el más szolgáltatás.
Biztonságos SSH tűzfallal
Gondoskodjon megszakítás nélküli hozzáférésről, ha VPS-sel vagy távoli szerverkörnyezettel dolgozik. Mielőtt bármilyen módosítást végezne a Firewalldon, különösen akkor, ha távolról éri el a rendszert, feltétlenül fel kell vennie IP-címét az engedélyezőlistára. Ha ezt elmulasztja, a tűzfal módosításainak alkalmazása után véletlenül kizárhatja a kiszolgálóról.
IP-címének engedélyezőlistájára a tűzfalban használja a következő parancsot:
sudo firewall-cmd --permanent --add-source=<your_ip_address>
Cserélje ki a tényleges IP-címeddel.
Miután IP-címe felkerült az engedélyezőlistára, biztonságosan beépítheti az SSH szolgáltatást a Firewalldba:
sudo firewall-cmd --add-service=ssh --permanent
A szükséges beállítások elvégzése után alkalmazza az új tűzfalkonfigurációt:
sudo firewall-cmd --reload
Az SSH-szolgáltatás tűzfalba való beépítésének ellenőrzéséhez futtassa a következőt:
sudo firewall-cmd --list-services | grep ssh
Ez a parancs megerősíti, hogy az SSH-szolgáltatás megfelelően engedélyezett-e a tűzfalon keresztül, így biztosítva, hogy a távoli kapcsolatok biztonságosak és hozzáférhetők maradnak.
Következtetés
Ha az SSH sikeresen telepítve és konfigurálva van a Rocky Linux rendszeren, biztonságosan kezelheti szerverét távolról. Rendszeresen frissítse SSH-konfigurációit, és alkalmazza a bevált módszereket a biztonság fenntartása érdekében. A kezdeti beállítási tippek követésével biztonságosabb és hatékonyabb távkezelési élményt biztosít. Élvezze az SSH által a biztonságos szerveradminisztrációhoz kínált robusztus képességeket.