Доступ по SSH: различия между версиями

Версия от 16:05, 25 июля 2022

С помощью SSH-сервера можно удаленно управлять сервером через консоль (ssh://-соединение) и передавать файлы (sftp-сервер).

В данной статье будут рассмотрены настройка доступа к терминалу (TODO: надо описать. В данный момент настройка терминального доступа не описана) и файлам через SSH.

На сервере переключаемся в режим суперпользователя:

$ su -

Делаем на всякий случай бэкап конфига:

# cd /etc/openssh
# cp -a sshd_config sshd_config.bak

И правим конфиг файл:

# cd /etc/openssh
# mcedit sshd_config

Потом, если что-то пошло не так, удаляем измененный и восстанавливаем исходный:

# cd /etc/openssh
# rm sshd config
# cp -a sshd_config.bak sshd_config
# service sshd reload

В любом случае при изменениях этого файла стоит обязательно:

держать уже открытую рутовую сессию через достаточно надёжное соединение;
перезапустить sshd;
попытаться подключиться ещё одной рутовой сессией по ключу (либо пользовательской с поднятием привилегий, что несколько менее предпочтительно),

чтобы убедиться в том, что удалённый доступ к системе всё ещё функционирует.

Добавляем в конец файла(!)^[1] конфигурацию, которая для заданного пользователя отключит интерактивный доступ и оставит только sftp до заданного каталога:

Match User petr #имя вашего пользователя на сервере
X11Forwarding no
AllowTcpForwarding no
PermitTTY no
ForceCommand internal-sftp
ChrootDirectory /home/files #корневой каталог при доступе через SSH

Обмен файлами

Обмен файлами с сервером будет происходить по протоколу SSH.

Создаем каталог:

# mkdir /home/files

Этот же каталог прописываем в ChrootDirectory.

Даем себе полные права:

# chown petr:petr /home/files
# chmod -R u+rwx /home/files

Подключаем его на Workstation:

Открываем Caja
Файл > Соединиться с сервером:
- IP
- Тип: SSH
- Папка: /home/files
- Имя пользователя: petr (учетка на сервере, которой мы дали права)
- Пароль: (соответствующий)
- Можно поставить галочку "Добавить закладку"

Примечания

↑ обратите внимание на описание ключевого слова Match в man sshd_config: после секции Match берутся строчки до следующей секции Match либо до конца файла

Начинающему системному администратору

Alterator-ahttpd-server • Alterator-dhcp • Alterator-updates • Autofs start • Autoinstall start • Backupservers start • Cockpit • CreateRAID • DHCP сервер • Disable gui • Etcnet start • Fileserver start • Firewall start • Grep start • LDAP-domain • Libvirt (Qemu+KVM+Virt-manager) • MiniDLNA • MySQL start • NetInstall start • NetLimit • NetworkTest • NFS start • PVE start • SambaAD start • SysInstall start • Веб-сервер • Доступ по SSH • Консольные команды • Сетевой мост • Сетевые команды • Создание самоподписанных сертификатов • Управление правами • Файл hosts

[1] обратите внимание на описание ключевого слова Match в man sshd_config: после секции Match берутся строчки до следующей секции Match либо до конца файла

[1]

@@ Строка 1: / Строка 1: @@
-{{d}}
+С помощью '''[[SSH]]-сервера''' можно удаленно управлять сервером через консоль (<nowiki>ssh://-соединение</nowiki>) и передавать файлы (sftp-сервер).
-к удалению
+В данной статье будут рассмотрены настройка доступа к терминалу (TODO: надо описать. В данный момент настройка терминального доступа не описана) и файлам через SSH.
+На сервере переключаемся в режим суперпользователя:
+ $ su -
+Делаем на всякий случай бэкап конфига:
+ # cd /etc/openssh
+ # cp -a sshd_config sshd_config.bak
+И правим конфиг файл:
+ # cd /etc/openssh
+ # mcedit sshd_config
+Потом, если что-то пошло не так, удаляем измененный и восстанавливаем исходный:
+ # cd /etc/openssh
+ # rm sshd config
+ # cp -a sshd_config.bak sshd_config
+ # service sshd reload
+В любом случае при изменениях этого файла стоит обязательно:
+# держать ''уже'' открытую рутовую сессию через достаточно надёжное соединение;
+# перезапустить sshd;
+# попытаться подключиться ещё одной рутовой сессией по ключу (либо пользовательской с поднятием привилегий, что несколько менее предпочтительно),
+чтобы убедиться в том, что удалённый доступ к системе всё ещё функционирует.
+Добавляем в конец файла(!)<ref>обратите внимание на описание ключевого слова Match в {{cmd|man sshd_config}}: после секции Match берутся строчки до следующей секции Match либо до конца файла</ref> конфигурацию, которая для заданного пользователя отключит интерактивный доступ и оставит только sftp до заданного каталога:
+ Match User ''petr'' #имя вашего пользователя на сервере
+ X11Forwarding no
+ AllowTcpForwarding no
+ PermitTTY no
+ ForceCommand internal-sftp
+ ChrootDirectory /home/files #корневой каталог при доступе через SSH
+===Обмен файлами===
+Обмен файлами с сервером будет происходить по протоколу SSH.
+Создаем каталог:
+ # mkdir /home/files
+Этот же каталог прописываем в ChrootDirectory.
+Даем себе полные права:
+ # chown ''petr'':''petr'' /home/files
+ # chmod -R u+rwx /home/files
+Подключаем его на [[Workstation]]:
+*Открываем Caja
+*Файл > Соединиться с сервером:
+**IP
+**Тип: SSH
+**Папка: /home/files
+**Имя пользователя: ''petr'' (учетка на сервере, которой мы дали права)
+**Пароль: (соответствующий)
+**Можно поставить галочку "Добавить закладку"
+== Примечания ==
+<references/>
+{{Category navigation|title=Начинающему системному администратору|category=Начинающему системному администратору|sortkey={{SUBPAGENAME}}}}