Numele de utilizator este folosit pentru teste: user
Creați un director pentru chei
Generarea cheilor SSH
pentru aceasta există un utilitar ssh-keygen
în cazul în care:
utilitarul ssh-keygen pentru generarea unei chei
-t - cheia utilitarului responsabil pentru tipul de cheie generată
Tipul rsa al cheii este rsa / dsa
-b-cheie prin care lungimea cheii în biți
1024 - lungimea cheie pentru testele vor fi de ajuns pentru 1024 indica o mai mare securitate în 2048, cauze mai mult CPU-cheie shifrovaka / decriptarea datelor
-parametrul f specifică unde să pui cheia
/home/user/.ssh/id_dsa - unde să pună cheia
Ca rezultat, avem 2 fișiere în directorul /home/user/.ssh/:
Un fișier cu extensia .pub este o cheie publică, îl aruncam pe serverul la care ne vom conecta prin ssh,
fișierul id_rsa este o cheie privată, nu-i spuneți nimănui, vă veți conecta la el.
În timpul sistemului de generare de chei vă va cere parola, dar apoi trebuie să-l introduceți de fiecare dată când vă conectați la server, astfel creste nivelul de securitate, dar scade confortul, este de până la tine pentru a testa, nu specificați presa parola intra de 2 ori
Configurarea mașinii țintă
Configurăm mașina pe care vom efectua intrarea pe cheie, aici este necesar să efectuăm 3 acțiuni:
1) Configurați serverul SSH
2) Creați un director pentru chei în directorul de domiciliu al utilizatorului
3) Puneți cheia publică pe mașină
1 - Configurarea serverului SSH
În ultimul rând, îi spunem sistemului unde să caute cheile de utilizator, ele pot fi plasate oriunde, însă va fi mai ușor să le căutați în directorul de domiciliu al utilizatorului din directorul .ssh
Trebuie să aplicăm setările prin restartarea serverului ssh
2 - Creați un director pentru chei
în directorul de domiciliu al utilizatorului creează directorul .ssh
3 - Adăugarea cheii publice la mașina țintă
În directorul .ssh creat trebuie să creați un fișier cu o cheie deschisă
Verificați lucrarea
Pe o mașină de lucru, dacă lucrăm ca utilizator. încercăm să ne conectăm la mașina țintă introducând comanda din consola:
Ar trebui să existe o legătură
Dacă într-un sistem de lucru lucrați sub un utilizator al cărui nume pe mașina țintă este diferit de numele de utilizator de pe mașina de lucru, de exemplu:
Lucrați sub superuserul utilizatorului. dar pe mașina țintă care lucrează sub utilizatorul utilizatorului. atunci comanda de conectare va arata ca:
Ei bine și dacă pe mașina țintă ssh serverul nu funcționează pe portul standard 22 și, de exemplu, 9999, comanda de conectare arată ca:
Nu înțelegeți destul de bine fișierele
id_rsa
id_rsa.pub Acestea sunt fișiere cu chei private și publice. Bine. Există o singură cheie? Aceasta este pentru chei diferite este necesar să creați fișiere diferite? Sau pot fi stocate toate cheile în același fișier?
Da, cel care-cheie în fișierul id_rsa.pub conține un certificat, dacă doriți, pentru a permite utilizatorului să se conecteze la mai multe chei, cum ar fi o contribuție esențială la lucrările celei de a doua pentru a intra în casă, conținutul fișierelor cu extensia * .pub pentru a adăuga la dosar :
copiați exact în același mod, pornind conținutul fiecărui fișier cu o linie nouă
Vă mulțumim pentru răspuns.
Cu toate acestea, voi explica că, inclusiv, am avut în vedere protecția cheii cu drepturile corespunzătoare. Să presupunem că cineva care are, de asemenea, acces la server prin cheia sa, în orice mod aleatoriu (din prostie sau pentru că cheia sa privată a fost compromisă), sau în mod intenționat (aka răutate) șterge sau modifica cheia publică, astfel încât să nu mai nu se poate conecta la server. Mai ales este periculos și posibil, când nu aveți acces fizic la server, iar accesul prin login / parolă este dezactivat. Exemple pot fi adăugate, este doar primul care a venit în minte.
În ceea ce privește fail2ban, aceasta este soluția de protecție cea mai simplă și cea mai cunoscută, dar dezavantajul său este că funcționează pe baza de jurnale care reflectă încercările de acces. Ie le citește pur și simplu, și pe baza apariției notificărilor necesare în ele și a regulilor din config itself fail2ban, efectuează acțiunea de interdicție / blocare corespunzătoare.
Și vreau să clarific, nu mă cert acum, dar tocmai am explicat motivul întrebărilor mele.
Sunt de acord cu tine.
Voi corecta articolul!
Articole similare
Trimiteți-le prietenilor: