Az SSH (Secure Shell) egy biztonságos hálózati protokoll, amely lehetővé teszi a Linux-kiszolgálók távoli elérését és kezelését, beleértve a Fedora rendszereket is. Titkosított kommunikációt biztosít a kliens és a szerver között, biztosítva az érzékeny adatok biztonságos továbbítását a hálózaton keresztül. Az SSH-t széles körben használják távoli rendszerfelügyeletre, fájlátvitelre és alagútkezelésre. Fedora 40 vagy 39 rendszeren az SSH könnyen beállítható és konfigurálható, hogy biztonságos távoli hozzáférést biztosítson a rendszerhez.
Ez az útmutató végigvezeti az SSH telepítésének, engedélyezésének és konfigurálásának folyamatán Fedora 40 vagy 39 rendszeren, a parancssori terminál használatával. Ezenkívül az alapvető SSH-parancsokat és a biztonságos konfiguráláshoz szükséges tippeket is tartalmazza.
Frissítse a Fedora csomagokat az SSH telepítése előtt
A Fedora rendszercsomagok frissítése az SSH telepítése előtt kulcsfontosságú a rendszerkompatibilitás fenntartása és a konfliktusok megelőzése szempontjából. Ez biztosítja, hogy a rendszer minden összetevője naprakész legyen.
A csomagok frissítéséhez futtassa a következő parancsot a terminálban:
sudo dnf upgrade --refresh
Ez a parancs frissíti a lerakat metaadatait és frissíti a csomagokat, biztosítva, hogy a rendszer naprakész legyen.
Telepítse az SSH-t a DNF paranccsal
A telepítés előtt jó gyakorlat annak ellenőrzése, hogy az OpenSSH-kiszolgáló már megtalálható-e a Fedora rendszeren. Ezzel a paranccsal keresheti meg az OpenSSH szervercsomagot:
rpm -qa | grep openssh-server
Ha ez a parancs eredményt ad vissza, az OpenSSH-kiszolgáló telepítésre kerül. Ha nincs kimenet, telepítenie kell.
Ezzel a paranccsal telepítheti az OpenSSH-kiszolgálót:
sudo dnf install openssh-server
Az SSHD szolgáltatás engedélyezése és indítása
Az OpenSSH szerver telepítése után a következő lépés az SSHD szolgáltatás engedélyezése. Ez a művelet biztosítja, hogy az SSH démon automatikusan elinduljon minden rendszerindításkor, és állandó távoli hozzáférést biztosít.
Engedélyezze az SSHD-t ezzel a paranccsal:
sudo systemctl enable sshd
Az engedélyezés után indítsa el az SSH-kiszolgálót a következővel:
sudo systemctl start sshd
Az SSH-kiszolgáló megfelelő működésének ellenőrzéséhez ellenőrizze az állapotát:
systemctl status sshd
SSH használata távoli rendszerhez való csatlakozáshoz
Csatlakozás távoli szerverhez jelszó-hitelesítéssel
Az SSH beállítása után kapcsolatot kezdeményezhet egy távoli szerverrel. Jelszó alapú hitelesítéshez használja a következő szintaxist:
ssh username@remote_server
Cserélje le a felhasználónevet a tényleges felhasználónevére, a távoli_kiszolgálót pedig a kiszolgáló IP-címére vagy gazdagépnevére. A parancs végrehajtása után a rendszer felkéri a jelszó megadására a hitelesítéshez.
Csatlakozás távoli kiszolgálóhoz nyilvános kulcsú hitelesítéssel
A fokozott biztonság érdekében az SSH támogatja a nyilvános kulcsú hitelesítést is. Ez a módszer biztonságosabb, mint a jelszavas hitelesítés, mivel kriptográfiai kulcsokat használ. Hajtsa végre a parancsot:
ssh -i /path/to/private_key username@remote_server
Itt cserélje ki a /path/to/private_key fájlt a privát kulcs fájl elérési útjára, a felhasználónevet a felhasználónevére, a távoli_kiszolgálót pedig a kiszolgáló IP-címére vagy gazdagépnevére. Ez a módszer megkerüli a jelszó megadásának szükségességét, és a titkos kulcsot használja fel a hitelesítéshez.
Másik port megadása
Az SSH alapértelmezés szerint a 22-es portot használja a kapcsolatokhoz. Ha azonban a távoli kiszolgáló egy másik porton figyel, adja meg a -p kapcsolóval:
ssh -p 2222 username@remote_server
Módosítsa a 2222-t a távoli kiszolgáló által használt tényleges portszámra.
Fájlok átvitele SCP-vel
Az SCP (Secure Copy Protocol) egy biztonságos módszer a fájlok rendszerek közötti SSH-n keresztüli átvitelére. Fájl másolásához a helyi rendszerről egy távoli kiszolgálóra használja ezt a parancsot:
scp /path/to/local/file username@remote_server:/path/to/remote/directory
A /path/to/local/file igazítsa a helyi fájl elérési útjához, a felhasználónevet a felhasználónevéhez, a távoli_kiszolgálót a kiszolgáló IP-címéhez vagy gazdagépnevéhez, és a /útvonal/távoli/könyvtárhoz a távoli kiszolgáló célkönyvtárához. Ez a parancs biztonságosan másolja a fájlt a távoli kiszolgáló megadott könyvtárába.
Konfigurálja az SSH-t Fedora Linuxon Példák
A GSSAPI hitelesítés letiltása
Fontolja meg a GSSAPI-hitelesítés letiltását a jobb teljesítmény érdekében, mivel az lelassíthatja az SSH-kapcsolati időt. Ehhez adja hozzá a következő sort az /etc/ssh/sshd_config fájlhoz:
GSSAPIAuthentication no
Ez a módosítás megakadályozza a GSSAPI-hitelesítést, amely csökkentheti az SSH-kapcsolat beállítása során felmerülő késéseket.
Állítsa be az SSH-munkamenet időtúllépéseit
Az SSH-munkamenet időtúllépéseinek kezeléséhez adja hozzá a következő sorokat az SSH-konfigurációs fájlhoz:
ClientAliveInterval 300
ClientAliveCountMax 2
Ez a konfiguráció 300 másodpercenként (5 percenként) életben tartási üzenetet küld, és leállítja a munkamenetet, ha két üzenet után nem érkezik válasz. Segít az aktív munkamenetek fenntartásában és az inaktívak bezárásában.
Root Login letiltása
A root bejelentkezés letiltása kritikus biztonsági gyakorlat a brute force támadások elleni védekezéshez. Szerelje be ezt a sort az SSH konfigurációjába:
PermitRootLogin no
Ez a beállítás biztosítja, hogy a távoli root bejelentkezés le legyen tiltva, ami jelentősen növeli a rendszer biztonságát.
Használja a nyilvános kulcsú hitelesítést
A nyilvános kulcsú hitelesítés biztonságosabb alternatívát kínál a jelszó alapú módszerek helyett. Először hozzon létre egy SSH kulcspárt:
ssh-keygen -t rsa -b 4096
Ezután vigye át nyilvános kulcsát a távoli szerverre:
ssh-copy-id user@remote_server
Cserélje ki a felhasználót a felhasználónevére, a távoli_kiszolgálót pedig a kiszolgáló IP-címére vagy gazdagépnevére. A kulcs másolása után engedélyezze a nyilvános kulcsú hitelesítést az SSH-konfigurációban:
PubkeyAuthentication yes
Az SSH-hozzáférés korlátozása meghatározott felhasználókra vagy csoportokra
Ha az SSH-hozzáférést bizonyos felhasználókra vagy csoportokra szeretné korlátozni, adja hozzá a következő sorokat az SSH-konfigurációs fájlhoz:
AllowUsers user1 user2
AllowGroups group1 group2
Cserélje le a user1 user2-t az engedélyezett felhasználónevekkel és a group1-es csoport2-t az engedélyezett csoportnevekkel. Ez a korlátozás a hozzáférés korlátozásával növeli a biztonságot.
Az SSH portjának módosítása
Az alapértelmezett SSH-port (22) megváltoztatása csökkentheti a jogosulatlan hozzáférési kísérleteket. Az SSH-port megváltoztatásához adja hozzá ezt a sort az SSH-konfigurációs fájlhoz:
Port <port_number>
Cserélje ki a választott porttal, ideális esetben 1024 és 65535 között, biztosítva, hogy más szolgáltatás ne használja. Ez a lépés további biztonsági réteget ad azáltal, hogy eltakarja az SSH-portot az automatizált támadásoktól.
SSH biztonság tűzfallal
IP-címének engedélyezése a tűzfalban
A megszakítás nélküli hozzáférés biztosítása kritikus fontosságú Fedora-alapú VPS vagy távoli szerver környezetben. Az IP-cím engedélyezése elengedhetetlen a tűzfal beállításainak módosítása előtt, különösen távoli rendszerkapcsolatok esetén. Ennek figyelmen kívül hagyása a tűzfal módosítása után elveszítheti a kiszolgálóhoz való hozzáférést.
Adott IP-címének engedélyezéséhez a Firewallban futtassa a következő parancsot:
sudo firewall-cmd --permanent --add-source=<your_ip_address>
Cserélje ki az aktuálisan használt tényleges IP-címmel. Ez a lépés kulcsfontosságú a zavartalan hozzáférés érdekében.
Az SSH szolgáltatás integrálása a tűzfalba
Miután az IP-cím biztonságosan engedélyezett, adja hozzá az SSH szolgáltatást a Firewalldhoz. Ez a művelet biztosítja, hogy az SSH-kapcsolatok engedélyezettek legyenek a tűzfalon keresztül. Használja ezt a parancsot:
sudo firewall-cmd --add-service=ssh --permanent
Ez a parancs hozzáadja az SSH-t azon szolgáltatások listájához, amelyeket a tűzfal engedélyez a tűzfalon keresztül.
A frissített tűzfalbeállítások aktiválása
A szükséges módosítások elvégzése után alkalmazza azokat a Firewall újratöltésével:
sudo firewall-cmd --reload
A Firewalld újratöltése a jelenlegi hálózati kapcsolat megszakítása nélkül aktiválja az új beállításokat.
Az SSH szolgáltatás ellenőrzése a tűzfalban
Annak érdekében, hogy az SSH helyesen legyen konfigurálva és engedélyezve legyen a tűzfalban, hajtsa végre a következőket:
sudo firewall-cmd --list-services | grep ssh
Ez a parancs ellenőrzi a tűzfal által engedélyezett szolgáltatások listáját, és megerősíti az SSH jelenlétét, ellenőrzi, hogy a távoli SSH-munkamenetek biztonságosak és hozzáférhetőek-e.
Következtetés
Ha az SSH sikeresen telepítve és konfigurálva van Fedora rendszerén, biztonságosan, távolról kezelheti szerverét. Az SSH-konfiguráció rendszeres frissítése és a bevált gyakorlatok követése elősegíti a biztonságos és hatékony távoli felügyeleti környezet fenntartását. Akár a hálózat egy másik számítógépéről éri el a rendszert, akár egy adatközpontban kezel szervert, az SSH biztosítja az alapvető eszközöket a biztonságos távoli adminisztrációhoz a Fedorán.