Доступ по SSH: различия между версиями

Текущая версия от 00:00, 27 ноября 2024

Примечание: Обратите внимение, что это не официальная документация, а попытка начинающего админа объяснить материал начинающим админам. Официальная и более подробная документация здесь.

Примечание: Проверено на Starterkit P10 Mate (весенний) 25.07.2022

С помощью SSH-сервера можно удаленно управлять сервером через консоль (ssh://-соединение) и передавать файлы (sftp-сервер).

В данной статье будут рассмотрены настройка доступа к терминалу (TODO: надо описать. В данный момент настройка терминального доступа не описана) и файлам через SSH.

Предварительный бэкап

На сервере переключаемся в режим суперпользователя:

$ su -

Делаем на всякий случай бэкап конфига:

# cd /etc/openssh
# cp -a sshd_config sshd_config.bak

И правим конфиг файл:

# cd /etc/openssh
# mcedit sshd_config

Потом, если что-то пошло не так, удаляем измененный и восстанавливаем исходный:

# cd /etc/openssh
# rm sshd_config
# cp -a sshd_config.bak sshd_config
# service sshd reload

В любом случае при изменениях этого файла стоит обязательно:

держать уже открытую рутовую сессию через достаточно надёжное соединение;
перезапустить sshd;
попытаться подключиться ещё одной рутовой сессией по ключу (либо пользовательской с поднятием привилегий, что несколько менее предпочтительно),

чтобы убедиться в том, что удалённый доступ к системе всё ещё функционирует.

Доступ по SSH через сеть

Редактируем следующие значения:

Сетевой порт соединения. Раскомментируем эту строчку и, если нужно, можем изменить значение.

Port 22

Максимальное количество открытых сеансов, разрешённых для одного сетевого подключения. (раскомментируем строчку)

MaxSessions 3

Параметр PubkeyAuthentication определяет, разрешена ли аутентификация на основе публичного ключа. (раскомментируем строчку)

PubkeyAuthentication yes

Параметр PubkeyAcceptedKeyTypes определяет типы ключей, которые будут использоваться для аутентификации по открытому ключу (раскомментируем строчку)

PubkeyAcceptedKeyTypes ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa-cert-v01@openssh.com,ssh-rsa,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256

Параметр PasswordAuthentication разрешает доступ по паролю. Чтобы выключить и разрешить доступ только по ключу, поставьте no.

PasswordAuthentication yes

Параметр PermitEmptyPasswords позволяет использовать пустые пароли. Это не безопасно!

PermitEmptyPasswords no

Параметр ChallengeResponseAuthentication определяет, разрешается ли безпарольная аутентификация «вызов-ответ».

ChallengeResponseAuthentication yes

Параметр ClientAliveInterval задает интервал (в секундах), с которым сервер отправляет клиенту сообщение keepalive. Keepalive — это сигнал, отправляемый для проверки активности клиента и его возможности отвечать. Если клиент не отвечает на сообщение keepalive в течение заданного интервала, сервер считает, что клиент больше недоступен.

ClientAliveInterval 300

Параметр ClientAliveCountMax определяет количество keepalive-сообщений, которые могут быть отправлены клиенту без получения ответа, прежде чем сервер завершит соединение.

ClientAliveCountMax 3

Параметр Subsystem определяет и настраивает внешнюю подсистему. В данном примере sftp.

Subsystem	sftp /usr/lib/openssh/sftp-server

Опция Match позволяет контролировать, кто и при каких обстоятельствах может входить в систему, определяя шаблон критериев, согласно которому будут применяться или не применяться остальные параметры

Match User petr

Опция X11Forwarding определяет, разрешено ли туннелирование X11.

X11Forwarding yes

Опция AllowTcpForwarding включает или выключает переадресацию портов

AllowTcpForwarding yes

Опция PermitTTY указывает, разрешено ли выделение pty - pseudo-tty - устройство которое имеет функции физического терминала, фактически не будучи им. Например Xterm.

PermitTTY yes

Сохраняем файл и перезапускаем сервис:

# systemctl restart sshd

Подключение:

Вводим в консоли ssh user@ip:

$ ssh petr@10.0.2.6

Система запросит разрешение на принятие SSH-ключа и ввод пароля. После этого у Вас будет консоль подключенного сервера.

Обмен файлами

Обмен файлами с сервером будет происходить по протоколу SSH.

Создаем каталог:

# mkdir /home/files

Этот же каталог прописываем в ChrootDirectory.

ChrootDirectory /home/files

Даем себе полные права:

# chown petr:petr /home/files
# chmod -R u+rwx /home/files

Подключаем его на Workstation:

Открываем Caja
Файл > Соединиться с сервером:
- IP
- Тип: SSH
- Папка: /home/files
- Имя пользователя: petr (учетка на сервере, которой мы дали права)
- Пароль: (соответствующий)
- Можно поставить галочку "Добавить закладку"

Примечания

Начинающему системному администратору

Alterator-ahttpd-server • Alterator-dhcp • Alterator-updates • Autofs start • Autoinstall start • Backupservers start • Cockpit • CreateRAID • DHCP сервер • Disable gui • Etcnet start • Fileserver start • Firewall start • Grep start • LDAP-domain • Libvirt (Qemu+KVM+Virt-manager) • MiniDLNA • MySQL start • NetInstall start • NetLimit • NetworkTest • NFS start • Plop • PVE start • SambaAD start • SysInstall start • Веб-сервер • Доступ по SSH • Консольные команды • Сетевой мост • Сетевые команды • Создание самоподписанных сертификатов • Управление правами • Файл hosts

@@ Строка 1: / Строка 1: @@
-С помощью SSH-сервера можно удаленно управлять сервером через консоль (ssh://-соединение) и передавать файлы (sftp-сервер).
+{{Note|Обратите внимение, что это не официальная документация, а попытка начинающего админа объяснить материал начинающим админам. Официальная и более подробная [[SSH|'''документация здесь''']].}}
+{{note|Проверено на Starterkit P10 Mate (весенний) 25.07.2022}}
+С помощью '''[[SSH]]-сервера''' можно удаленно управлять сервером через консоль (<nowiki>ssh://-соединение</nowiki>) и передавать файлы (sftp-сервер).
+В данной статье будут рассмотрены настройка доступа к терминалу (TODO: надо описать. В данный момент настройка терминального доступа не описана) и файлам через SSH.
+==Предварительный бэкап==
 На сервере переключаемся в режим суперпользователя:
-  $su-
+  $ su -
-И правим следующий файл:
+Делаем на всякий случай бэкап конфига:
-  #cd /etc/openssh
+  # cd /etc/openssh
-  #mcedit sshd_config
+  # cp -a sshd_config sshd_config.bak
-Перед этим делаем на всякий случай бэкап конфига.
+И правим конфиг файл:
-  #cd /etc/openssh
+  # cd /etc/openssh
-  #cp sshd_config sshd_config.bak
+  # mcedit sshd_config
-Потом если что удаляем измененный и восстанавливаем исходный.
+Потом, если что-то пошло не так, удаляем измененный и восстанавливаем исходный:
-  #cd /etc/openssh
+  # cd /etc/openssh
-  #rm sshd config
+  # rm sshd_config
-  #cp sshd_config.bak sshd_config
+  # cp -a sshd_config.bak sshd_config
+ # service sshd reload
+В любом случае при изменениях этого файла стоит обязательно:
+# держать ''уже'' открытую рутовую сессию через достаточно надёжное соединение;
+# перезапустить sshd;
+# попытаться подключиться ещё одной рутовой сессией по ключу (либо пользовательской с поднятием привилегий, что несколько менее предпочтительно),
+чтобы убедиться в том, что удалённый доступ к системе всё ещё функционирует.
+==Доступ по SSH через сеть==
+Редактируем следующие значения:
+*Сетевой порт соединения. Раскомментируем эту строчку и, если нужно, можем изменить значение.
+ Port 22
+*Максимальное количество открытых сеансов, разрешённых для одного сетевого подключения. (раскомментируем строчку)
+ MaxSessions 3
+*Параметр PubkeyAuthentication определяет, разрешена ли аутентификация на основе публичного ключа. (раскомментируем строчку)
+ PubkeyAuthentication yes
+*Параметр PubkeyAcceptedKeyTypes определяет типы ключей, которые будут использоваться для аутентификации по открытому ключу (раскомментируем строчку)
+ PubkeyAcceptedKeyTypes ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa-cert-v01@openssh.com,ssh-rsa,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
+*Параметр PasswordAuthentication разрешает доступ по паролю. Чтобы выключить и разрешить доступ только по ключу, поставьте no.
+ PasswordAuthentication yes
+*Параметр PermitEmptyPasswords позволяет использовать пустые пароли. Это не безопасно!
+ PermitEmptyPasswords no
+*Параметр ChallengeResponseAuthentication определяет, разрешается ли безпарольная аутентификация «вызов-ответ».
+ ChallengeResponseAuthentication yes
+*Параметр ClientAliveInterval задает интервал (в секундах), с которым сервер отправляет клиенту сообщение keepalive. Keepalive — это сигнал, отправляемый для проверки активности клиента и его возможности отвечать. Если клиент не отвечает на сообщение keepalive в течение заданного интервала, сервер считает, что клиент больше недоступен.
+ ClientAliveInterval 300
+*Параметр ClientAliveCountMax определяет количество keepalive-сообщений, которые могут быть отправлены клиенту без получения ответа, прежде чем сервер завершит соединение.
+ ClientAliveCountMax 3
+*Параметр Subsystem определяет и настраивает внешнюю подсистему. В данном примере sftp.
+ Subsystem	sftp /usr/lib/openssh/sftp-server
+*Опция Match позволяет контролировать, кто и при каких обстоятельствах может входить в систему, определяя шаблон критериев, согласно которому будут применяться или не применяться остальные параметры
+ Match User petr
+*Опция X11Forwarding определяет, разрешено ли туннелирование X11.
+ X11Forwarding yes
+*Опция AllowTcpForwarding включает или выключает переадресацию портов
+ AllowTcpForwarding yes
+*Опция PermitTTY указывает, разрешено ли выделение pty - pseudo-tty - устройство которое имеет функции физического терминала, фактически не будучи им. Например Xterm.
+ PermitTTY yes
+Сохраняем файл и перезапускаем сервис:
+ # systemctl restart sshd
-Добавляем:
+Подключение:
- Match User petr #имя вашего пользователя на сервере
- X11Forwarding no
- AllowTcpForwarding no
- PermitTTY no
- ForceCommand internal-sftp
- ChrootDirectory /home/files #корневой каталог при доступе через SSH
+Вводим в консоли '''ssh user@ip''':
+ $ ssh petr@10.0.2.6
+Система запросит разрешение на принятие SSH-ключа и ввод пароля. После этого у Вас будет консоль подключенного сервера.
 ===Обмен файлами===
-Обмен файлами с сервером будет по SSH.
+Обмен файлами с сервером будет происходить по протоколу SSH.
 Создаем каталог:
-  #mkdir /home/files
+  # mkdir /home/files
 Этот же каталог прописываем в ChrootDirectory.
+ ChrootDirectory /home/files
 Даем себе полные права:
-  #chown petr:petr /home/files
+  # chown ''petr'':''petr'' /home/files
-  #chmod -R u+rwx /home/files
+  # chmod -R u+rwx /home/files
-Подключаем его на ALT WS:
+Подключаем его на [[Workstation]]:
 *Открываем Caja
-*Файл-соединиться с сервером:
+*Файл > Соединиться с сервером:
 **IP
-**Тип:SSH
+**Тип: SSH
-**Папка:/home/files
+**Папка: /home/files
-**Имя пользователя-пароль - учетка на сервере, которой мы дали права
+**Имя пользователя: ''petr'' (учетка на сервере, которой мы дали права)
+**Пароль: (соответствующий)
 **Можно поставить галочку "Добавить закладку"
-{{Category navigation|title=Начинающему сисадмину|category=Начинающему сисадмину|sortkey={{SUBPAGENAME}}}}
+== Примечания ==
+<references/>
+{{Category navigation|title=Начинающему системному администратору|category=Начинающему системному администратору|sortkey={{SUBPAGENAME}}}}