SSH (Secure Shell) är ett säkert protokoll som används för att fjärråtkomst och hantera Linux-servrar. Den tillhandahåller krypterad kommunikation, vilket säkerställer säkerheten för data som överförs mellan klienten och servern. SSH är ett grundläggande verktyg för systemadministratörer och utvecklare, som låter dem utföra olika uppgifter som att utföra kommandon, överföra filer och hantera nätverkstjänster säkert över ett osäkrat nätverk.
För att ställa in SSH på Rocky Linux 9 eller 8 kan du följa en enkel installationsprocess med hjälp av standardförråden. Den här guiden går igenom installationsstegen och ger tips om initial konfiguration för att förbättra säkerheten och användbarheten.
Uppdatera Rocky Linux före SSH-installation
Innan du installerar och konfigurerar SSH på Rocky Linux är det avgörande att se till att ditt systems paket är aktuella. Detta garanterar inte bara smidigare drift utan minimerar också potentiella programvarukonflikter.
För att uppdatera ditt Rocky Linux-system, använd kommandot:
sudo dnf upgrade --refreshInstallera SSH via DNF Command
Nästa steg innebär att verifiera om OpenSSH-servern redan finns på ditt Rocky Linux-system. Detta kan fastställas genom att utföra kommandot:
rpm -qa | grep openssh-serverDetta kommando kommer att returnera en relevant utdata om OpenSSH-servern är installerad. Om det inte finns någon utdata indikerar det frånvaron av OpenSSH-servern på ditt system. För att åtgärda detta och installera OpenSSH-servern, använd följande kommando:
sudo dnf install openssh-serverAktivera SSH (SSHD) Service
Efter framgångsrik installation av OpenSSH-servern är det absolut nödvändigt att aktivera SSHD-tjänsten inom systemd-ramverket. Detta säkerställer att SSH-demonen initieras automatiskt efter varje omstart av systemet. För att uppnå detta, kör kommandot:
sudo systemctl enable sshdMed SSHD-tjänsten nu inställd på autostart kan du initiera SSH-servern manuellt med:
sudo systemctl start sshdFör verifieringsändamål och för att säkerställa att SSH-servern körs utan problem kan du kontrollera dess status med:
sudo systemctl status sshdFör att bekräfta att standardporten (22) nu aktivt lyssnar efter inkommande SSH-anslutningar, kör:
sudo ss -ltAnslut till en fjärrserver via SSH på Rocky Linux 9 eller 8
Med SSH korrekt inställt på ditt Rocky Linux-system kan du nu upprätta anslutningar till fjärrservrar. Här är en detaljerad uppdelning av hur man använder SSH för olika anslutningsscenarier:
Ansluter med lösenordsautentisering med SSH på Rocky Linux
För att upprätta en anslutning till en fjärrserver med SSH med lösenordsbaserad autentisering, använd kommandot:
ssh username@remote_serverErsätt här "användarnamn" med ditt faktiska användarnamn och "remote_server" med IP-adressen eller värdnamnet för den önskade fjärrservern. Vid körning kommer du att bli ombedd att ange ditt lösenord för autentisering.
Ansluter med public key-autentisering med SSH
SSH erbjuder autentisering med publik nyckel för dem som föredrar en säkrare anslutningsmetod. För att ansluta med den här metoden är kommandot:
ssh -i /path/to/private_key username@remote_serverI det här kommandot, ersätt "/path/to/private_key" med sökvägen som leder till din privata nyckelfil. På liknande sätt, ersätt "användarnamn" med ditt användarnamn och "remote_server" med IP-adressen eller värdnamnet för fjärrservern. Den här metoden kringgår behovet av lösenordsinmatning och förlitar sig istället på den tillhandahållna privata nyckeln för autentisering.
Ange en alternativ port för anslutning med SSH
Medan SSH har som standard port 22 för anslutningar, kan vissa fjärrservrar fungera på olika portar. För att ange en alternativ port under anslutning, använd:
ssh -p 2222 username@remote_serverI det här exemplet, ersätt "2222" med portnumret som fjärrservern använder.
Säker filöverföring med SCP med SSH
SCP, eller Secure Copy, är ett kraftfullt kommandoradsverktyg som underlättar säker överföring av filer mellan system via SSH. För att överföra en fil från ditt lokala Rocky Linux-system till en fjärrserver är kommandot:
scp /path/to/local/file username@remote_server:/path/to/remote/directoryErsätt "/path/to/local/file" med den filsökväg du tänker överföra. På samma sätt, justera "användarnamn" till ditt användarnamn, "remote_server" till IP-adressen eller värdnamnet för fjärrservern och "/sökväg/till/fjärr/katalog" till katalogsökvägen på fjärrservern där du vill placera den överförda fil.
Konfigurera SSH på Rocky Linux
Att optimera SSH-konfigurationen kan förbättra din servers säkerhet och prestanda. SSH-konfigurationsfilen, som finns på /etc/ssh/sshd_config, innehåller olika parametrar som kan justeras för att passa specifika behov. Även om följande konfigurationer bara är exempel, kan de vara fördelaktiga beroende på din server- eller skrivbordskonfiguration.
Inaktiverar GSSAPI-autentisering för SSH
GSSAPI-autentisering, även om den är till hjälp, kan ibland introducera förseningar under etablering av SSH-anslutning. För att mildra detta kan du inaktivera det genom att lägga till raden nedan till SSH-konfigurationsfilen:
GSSAPIAuthentication noÄndra SSH-sessionstimeout för SSH
Justering av sessionstimeout kan hjälpa till att hantera inaktiva SSH-sessioner. För att ställa in servern så att den skickar ett Keep-alive-meddelande var 5:e minut och avslutar sessionen om två på varandra följande meddelanden blir obesvarade, lägg till:
ClientAliveInterval 300
ClientAliveCountMax 2Förbjuder rotinloggning för SSH
För ökad säkerhet, särskilt mot brute-force-attacker, är det lämpligt att inaktivera rotinloggning. Detta kan uppnås med:
PermitRootLogin noImplementering av autentisering med publik nyckel för SSH
Offentlig nyckelautentisering erbjuder ett säkrare alternativ till lösenordsbaserade metoder. För att ställa in detta måste du först generera ett nytt SSH-nyckelpar:
ssh-keygen -t rsa -b 4096Överför sedan den publika nyckeln till önskad fjärrserver:
ssh-copy-id user@remote_serverSe till att du ersätter "användare" med ditt användarnamn och "remote_server" med lämplig IP-adress eller värdnamn. Slutligen, aktivera autentisering med publik nyckel i SSH-konfigurationen:
PubkeyAuthentication yesBegränsar SSH-åtkomst för SSH
Du kan begränsa SSH-åtkomst till specifika användare eller grupper för ökad säkerhet. För att implementera detta, lägg till:
AllowUsers user1 user2
AllowGroups group1 group2Ersätt platshållarna med de faktiska användarnamnen eller gruppnamnen som du vill ge åtkomst.
Ändra SSH-porten för SSH
SSH, som standard, fungerar på port 22. Med tanke på dess ryktbarhet kan en förändring av denna port avskräcka obehöriga åtkomstförsök. För att tilldela en ny port, använd:
Port <port_number>Det är lämpligt att välja ett portnummer mellan 1024 och 65535 som inte är upptaget av en annan tjänst.
Säkra SSH med Firewalld
Säkerställ oavbruten åtkomst när du arbetar med en VPS eller en fjärrservermiljö. Innan du gör några ändringar i Firewalld, särskilt om du använder systemet på distans, är det absolut nödvändigt att vitlista din IP-adress. Om du inte gör det kan du oavsiktligt låsa dig ute från servern efter att du har tillämpat brandväggsändringarna.
För att vitlista din IP-adress i Firewalld, använd följande kommando:
sudo firewall-cmd --permanent --add-source=<your_ip_address>Byta ut med din faktiska IP-adress.
När din IP-adress är vitlistad kan du säkert införliva SSH-tjänsten i Firewalld:
sudo firewall-cmd --add-service=ssh --permanentNär du har gjort de nödvändiga justeringarna, tillämpa den nya Firewalld-konfigurationen:
sudo firewall-cmd --reloadFör att verifiera inkluderingen av SSH-tjänsten i Firewalld, kör följande:
sudo firewall-cmd --list-services | grep sshDetta kommando bekräftar om SSH-tjänsten är vederbörligen tillåten genom brandväggen, vilket säkerställer att dina fjärranslutningar förblir säkra och tillgängliga.
Slutsats
Med SSH framgångsrikt installerat och konfigurerat på ditt Rocky Linux-system kan du säkert hantera din server på distans. Uppdatera regelbundet dina SSH-konfigurationer och tillämpa bästa praxis för att upprätthålla säkerheten. Genom att följa de första installationstipsen säkerställer du en säkrare och effektivare fjärrhanteringsupplevelse. Njut av de robusta funktionerna som SSH erbjuder för säker serveradministration.
