បច្ចេកវិទ្យា SSH (Secure Shell) អនុញ្ញាតឱ្យមានការត្រួតពិនិត្យពីកុំព្យូទ័រដោយសុវត្ថិភាពតាមរយៈការតភ្ជាប់សុវត្ថិភាព។ SSH អ៊ិនគ្រីបឯកសារដែលបានផ្ទេរទាំងអស់រួមទាំងពាក្យសម្ងាត់ហើយក៏បញ្ជូនរាល់ពិធីការបណ្តាញផងដែរ។ ដើម្បីឱ្យឧបករណ៍ដំណើរការបានត្រឹមត្រូវវាចាំបាច់មិនត្រឹមតែដំឡើងវាទេប៉ុន្តែវាក៏ត្រូវកំណត់វាផងដែរ។ យើងចង់និយាយអំពីផលិតផលនៃការកំណត់រចនាសម្ព័ន្ធសំខាន់នៅក្នុងអត្ថបទនេះដោយយកឧទាហរណ៍នូវកំណែចុងក្រោយបំផុតនៃប្រព័ន្ធប្រតិបត្តិការអ៊ូប៊ុនទូដែលនៅលើម៉ាស៊ីនមេ។
កំណត់រចនាសម្ព័ន្ធ SSH នៅក្នុងអ៊ូប៊ុនទូ
ប្រសិនបើអ្នកមិនបានបញ្ចប់ការតំឡើងនៅលើម៉ាស៊ីនមេនិងកុំព្យួទ័រទេអ្នកគួរតែធ្វើវាជាដំបូងពីព្រោះនីតិវិធីទាំងមូលគឺសាមញ្ញណាស់ហើយមិនត្រូវការពេលវេលាច្រើនទេ។ សម្រាប់ការណែនាំលំអិតលើប្រធានបទនេះសូមមើលអត្ថបទផ្សេងទៀតរបស់យើងនៅតំណខាងក្រោម។ វាក៏បង្ហាញពីនីតិវិធីសម្រាប់ការកែសម្រួលឯកសារកំណត់រចនាសម្ព័ន្ធនិងការសាកល្បង SSH ដូច្នេះថ្ងៃនេះយើងនឹងបន្តធ្វើការងារផ្សេងទៀត។
អានបន្ថែម: ការដំឡើង SSH-server នៅក្នុង Ubuntu
បង្កើតកូនសោរ RSA
SSH ដែលបានតំឡើងថ្មីៗនេះមិនមានកូនសោដែលបានបញ្ជាក់ដើម្បីភ្ជាប់ពីម៉ាស៊ីនមេទៅម៉ាស៊ីនភ្ញៀវទេនិងផ្ទុយមកវិញ។ ប៉ារ៉ាម៉ែត្រទាំងអស់នេះត្រូវតែកំណត់ដោយដៃភ្លាមៗបន្ទាប់ពីបន្ថែមសមាសធាតុទាំងអស់នៃពិធីការ។ គូគន្លឹះធ្វើការដោយប្រើក្បួនដោះស្រាយ RSA (ខ្លីសម្រាប់ឈ្មោះអ្នកអភិវឌ្ឍន៍ Rivest, Shamir និង Adleman) ។ អរគុណចំពោះប្រព័ន្ធគ្រីបនេះកូនសោពិសេសត្រូវបានអ៊ិនគ្រីបដោយប្រើប្រាស់ក្បួនដោះស្រាយពិសេស។ ដើម្បីបង្កើតកូនសោសាធារណៈមួយគូអ្នកត្រូវបញ្ចូលពាក្យបញ្ជាដែលសមរម្យនៅក្នុងកុងសូលហើយអនុវត្តតាមការណែនាំដែលបង្ហាញ។
- ទៅធ្វើការជាមួយ "ស្ថានីយ" វិធីសាស្រ្តងាយស្រួលណាមួយឧទាហរណ៍ដោយបើកវាតាមរយៈម៉ឺនុយឬការបញ្ចូលគ្នានៃគ្រាប់ចុច បញ្ជា (Ctrl) + ជំនួស (Alt) + T.
- បញ្ចូលពាក្យបញ្ជា
ssh-keygen
ហើយបន្ទាប់មកចុចគ្រាប់ចុច បញ្ចូល. - អ្នកនឹងត្រូវបានជូនដំណឹងដើម្បីបង្កើតឯកសារដែលគ្រាប់ចុចត្រូវបានរក្សាទុក។ ប្រសិនបើអ្នកចង់រក្សាទុកពួកវាក្នុងទីតាំងលំនាំដើមគ្រាន់តែចុចលើ បញ្ចូល.
- កូនសោសាធារណៈអាចត្រូវបានការពារដោយឃ្លាលេខកូដ។ ប្រសិនបើអ្នកចង់ប្រើជម្រើសនេះក្នុងបន្ទាត់ដែលបានបង្ហាញសូមសរសេរពាក្យសម្ងាត់។ តួអក្សរដែលបានបញ្ចូលនឹងមិនត្រូវបានបង្ហាញទេ។ បន្ទាត់ថ្មីនឹងត្រូវការធ្វើម្តងទៀត។
- លើសពីនេះទៅទៀតអ្នកនឹងឃើញការជូនដំណឹងថាសោត្រូវបានរក្សាទុកហើយអ្នកក៏នឹងអាចស្គាល់រូបភាពក្រាហ្វិកតាមចង្វាក់ដែរ។
ឥឡូវនេះមានកូនសោពីរគូដែលបានបង្កើតឡើង - សម្ងាត់និងបើកដែលនឹងត្រូវបានប្រើសម្រាប់ការតភ្ជាប់បន្ថែមទៀតរវាងកុំព្យូទ័រ។ អ្នកគ្រាន់តែដាក់លេខសំងាត់នៅលើម៉ាស៊ីនមេដើម្បីឱ្យការសម្គាល់អត្តសញ្ញាណ SSH ទទួលបានជោគជ័យ។
ចម្លងកូនសោសាធារណៈទៅម៉ាស៊ីនមេ
មានវិធីបីសម្រាប់ចម្លងកូនសោ។ ពួកគេម្នាក់ៗនឹងមានសុទិដ្ឋិនិយមនៅក្នុងស្ថានភាពផ្សេងៗដែលឧទាហរណ៍វិធីសាស្ត្រមួយមិនដំណើរការឬមិនសមរម្យសម្រាប់អ្នកប្រើជាក់លាក់។ យើងស្នើឱ្យពិចារណាជម្រើសទាំងបីនេះដោយចាប់ផ្តើមដោយសាមញ្ញនិងប្រសិទ្ធភាពបំផុត។
ជម្រើសទី 1: ពាក្យបញ្ជា ssh-copy-id
ក្រុមssh-copy-id
បានបង្កើតឡើងនៅក្នុងប្រព័ន្ធប្រតិបត្តិការដូច្នេះការអនុវត្តរបស់វាមិនចាំបាច់ដំឡើងសមាសធាតុបន្ថែមទេ។ អនុវត្តតាមវាក្យសម្ព័ន្ធសាមញ្ញដើម្បីចម្លងកូនសោ។ ចូល "ស្ថានីយ" ត្រូវតែបញ្ចូលssh-copy-id username @ remote_host
ដែលជាកន្លែង ឈ្មោះអ្នកប្រើ @ remote_host - ឈ្មោះកុំព្យូទ័រពីចម្ងាយ។
នៅពេលអ្នកភ្ជាប់ដំបូងអ្នកនឹងទទួលបានអត្ថបទជូនដំណឹង:
ភាពត្រឹមត្រូវនៃម៉ាស៊ីន '203.0.113.1 (203.0.113.1)' មិនអាចបង្កើតបានទេ។
ស្នាមម្រាមដៃកូនសោ ECDSA គឺ fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe ។
តើអ្នកប្រាកដថាអ្នកចង់បន្តភ្ជាប់ (បាទ / ចាសទេ)? បាទ
អ្នកត្រូវបញ្ជាក់ជម្រើស បាទ ដើម្បីបន្តការតភ្ជាប់។ បន្ទាប់ពីនេះឧបករណ៍នេះនឹងស្វែងរកដោយខ្លួនឯងនូវកូនសោនៅក្នុងសំណុំបែបបទនៃឯកសារមួយ។id_rsa.pub
ដែលត្រូវបានបង្កើតមុន។ នៅពេលរកឃើញជោគជ័យលទ្ធផលខាងក្រោមត្រូវបានបង្ហាញ:
/ usr / bin / ssh-copy-id: INFO: ខ្ញុំបានដំឡើងរួចហើយ
/ usr / bin / ssh-copy-id: INFO: កូនសោចំនួន 1 ត្រូវបានដំឡើង
ពាក្យសម្ងាត់ [email protected]:
បញ្ជាក់ពាក្យសម្ងាត់ពីម៉ាស៊ីនពីចម្ងាយដូច្នេះឧបករណ៍អាចបញ្ចូលវាបាន។ ឧបករណ៍នឹងចម្លងទិន្នន័យពីឯកសារកូនសោសាធារណៈ។ ~ / .ssh / id_rsa.pubហើយបន្ទាប់មកសារនឹងលេចឡើងនៅលើអេក្រង់:
ឥឡូវព្យាយាមចូលក្នុងម៉ាស៊ីនដោយ: "ssh '[email protected]'"ចំនួនកូនសោដែលបានបន្ថែម: 1
ពិនិត្យមើលវា។
រូបរាងនៃអត្ថបទបែបនេះមានន័យថាកូនសោត្រូវបានទាញយកដោយជោគជ័យទៅកុំព្យូទ័រពីចម្ងាយហើយឥឡូវនេះវានឹងមិនមានបញ្ហាអ្វីជាមួយនឹងការតភ្ជាប់ទេ។
ជម្រើសទី 2: ចម្លងកូនសោសាធារណៈតាមរយៈ SSH
ប្រសិនបើអ្នកមិនអាចប្រើប្រាស់ឧបករណ៍ដែលបានរៀបរាប់ខាងលើបានទេប៉ុន្តែមានពាក្យសម្ងាត់ដើម្បីចូលទៅម៉ាស៊ីនបម្រើ SSH ពីចម្ងាយអ្នកអាចផ្ទុកកូនសោអ្នកប្រើរបស់អ្នកដោយដៃដូច្នេះធានាការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវបន្ថែមទៀតនៅពេលភ្ជាប់។ ប្រើសម្រាប់ពាក្យបញ្ជានេះ ឆ្មាដែលនឹងអានទិន្នន័យពីឯកសារហើយបន្ទាប់មកពួកគេនឹងត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេ។ នៅក្នុងកុងសូលអ្នកនឹងត្រូវចូលបន្ទាត់
ឆ្មា ~ / .ssh / id_rsa.pub | ssh ឈ្មោះអ្នកប្រើប្រាស់ @ remote_host "mkdir -p ~ / .ssh && ប៉ះ ~ / .ssh / authorized_keys && chmod -R go = ~ / .ssh && ឆ្មា >> ~ / .ssh / authorized_keys"
.
ពេលសារមួយលេចឡើង
ភាពត្រឹមត្រូវនៃម៉ាស៊ីន '203.0.113.1 (203.0.113.1)' មិនអាចបង្កើតបានទេ។
ស្នាមម្រាមដៃកូនសោ ECDSA គឺ fd: fd: d4: f9: 77: fe: 73: 84: e1: 55: 00: ad: d6: 6d: 22: fe ។
តើអ្នកប្រាកដថាអ្នកចង់បន្តភ្ជាប់ (បាទ / ចាសទេ)? បាទ
បន្តការភ្ជាប់និងបញ្ចូលពាក្យសម្ងាត់ដើម្បីចូលទៅម៉ាស៊ីនមេ។ បន្ទាប់មកកូនសោសាធារណៈនឹងត្រូវបានចំលងដោយស្វ័យប្រវត្តិទៅចុងបញ្ចប់នៃឯកសារកំណត់រចនាសម្ព័ន្ធ។ បានអនុញ្ញាត _keys.
ជម្រើសទី 3: ចម្លងកូនសោសាធារណៈដោយដៃ
ក្នុងករណីមានកង្វះការចូលប្រើកុំព្យូទ័រពីចម្ងាយតាមរយៈម៉ាស៊ីនមេ SSH គ្រប់ជំហានខាងលើត្រូវបានអនុវត្តដោយដៃ។ ដើម្បីធ្វើដូចនេះដំបូងត្រូវរៀនអំពីកូនសោនៅលើម៉ាស៊ីនមេតាមរយៈពាក្យបញ្ជាឆ្មា ~ / .ssh / id_rsa.pub
.
អេក្រង់នឹងបង្ហាញដូចនេះ:ssh-rsa + ជាសំណុំតួអក្សរ == ការសាកល្បងសាកល្បង @
។ បន្ទាប់ពីនោះទៅធ្វើការនៅលើឧបករណ៍ពីចម្ងាយដែលជាកន្លែងបង្កើតថតថ្មីតាមរយៈmkdir -p ~ / .ssh
។ វាថែមទាំងបង្កើតឯកសារ។បានអនុញ្ញាត _keys
។ បន្ទាប់ដាក់បញ្ចូលកូនសោដែលអ្នកបានរៀនពីមុនខ្សែអក្សរអេក + ខ្សែអក្សរសាធារណៈ "/ / .ssh / authorized_keys
។ បន្ទាប់ពីនោះអ្នកអាចព្យាយាមផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយម៉ាស៊ីនមេដោយមិនចាំបាច់ប្រើពាក្យសម្ងាត់។
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅលើម៉ាស៊ីនបម្រើតាមរយៈគន្លឹះដែលបានបង្កើត
នៅក្នុងផ្នែកមុនអ្នកបានរៀនអំពីវិធីសាស្រ្តបីសម្រាប់ចម្លងសោនៃកុំព្យូទ័រពីចម្ងាយទៅម៉ាស៊ីនមេ។ សកម្មភាពបែបនេះនឹងអនុញ្ញាតឱ្យអ្នកតភ្ជាប់ដោយមិនប្រើពាក្យសម្ងាត់។ នីតិវិធីនេះត្រូវបានអនុវត្តពីបន្ទាត់ពាក្យបញ្ជាដោយវាយshh ssh ឈ្មោះអ្នកប្រើ @ remote_host
ដែលជាកន្លែង ឈ្មោះអ្នកប្រើ @ remote_host - ឈ្មោះអ្នកប្រើប្រាស់និងម៉ាស៊ីនកុំព្យូទ័រដែលចង់បាន។ នៅពេលអ្នកភ្ជាប់ដំបូងអ្នកនឹងត្រូវបានជូនដំណឹងអំពីការតភ្ជាប់ដែលអ្នកមិនស្គាល់ហើយអ្នកអាចបន្តដោយការជ្រើសរើសជម្រើស បាទ.
ការតភ្ជាប់នឹងកើតឡើងដោយស្វ័យប្រវត្តិបើសិនជាការបង្កើតគូរកូនសោឃ្លាសម្ងាត់មិនបានបញ្ជាក់។ បើមិនដូច្នោះទេអ្នកត្រូវតែបញ្ចូលវាដើម្បីបន្តធ្វើការជាមួយ SSH ។
បិទការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់
ការកំណត់នៃការថតចម្លងគន្លឹះដ៏ជោគជ័យត្រូវបានពិចារណានៅក្នុងស្ថានភាពនៅពេលអ្នកអាចចូលទៅក្នុងម៉ាស៊ីនមេដោយមិនចាំបាច់ប្រើពាក្យសម្ងាត់។ ទោះយ៉ាងណាក៏ដោយសមត្ថភាពក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវតាមរបៀបនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រើឧបករណ៍ដើម្បីស្វែងរកពាក្យសម្ងាត់និងបំបែកចូលក្នុងការតភ្ជាប់សុវត្ថិភាព។ ដើម្បីការពារខ្លួនអ្នកពីករណីបែបនេះនឹងអនុញ្ញាតឱ្យបិទទាំងស្រុងនៃពាក្យសម្ងាត់ចូលនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ SSH ។ វានឹងត្រូវការ:
- ចូល "ស្ថានីយ" បើកឯកសារកំណត់រចនាសម្ព័ន្ធតាមរយៈកម្មវិធីនិពន្ធដោយប្រើពាក្យបញ្ជា
sudo gedit / etc / ssh / sshd_config
. - រកបន្ទាត់ PasswordAuthentication និងដកសម្គាល់ # នៅដើមដើម្បីមិនផ្តល់យោបល់ប៉ារ៉ាម៉ែត្រ។
- ផ្លាស់ប្តូរតម្លៃទៅ ទេ និងរក្សាទុកការកំណត់រចនាសម្ព័ន្ធបច្ចុប្បន្ន។
- បិទកម្មវិធីនិពន្ធនិងចាប់ផ្ដើមម៉ាស៊ីនមេឡើងវិញ។
sudo systemctl restart ssh
.
ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់នឹងត្រូវបានបិទហើយអ្នកនឹងអាចចូលទៅកាន់ម៉ាស៊ីនមេដោយគ្រាន់តែប្រើគ្រាប់ចុចដែលបានបង្កើតជាពិសេសសម្រាប់នេះដោយក្បួនដោះស្រាយ RSA ។
ការបង្កើតជញ្ជាំងភ្លើងស្តង់ដារ
នៅក្នុងអ៊ូប៊ុនទូជញ្ជាំងភ្លើងលំនាំដើមគឺជញ្ជាំងភ្លើងមិនស្មុគ្រស្មាញ (UFW) ។ វាអនុញ្ញាតឱ្យអ្នកអនុញ្ញាតការតភ្ជាប់សម្រាប់សេវាកម្មដែលបានជ្រើសរើស។ កម្មវិធីនីមួយៗបង្កើតទម្រង់ផ្ទាល់ខ្លួននៅក្នុងឧបករណ៍នេះហើយ UFW គ្រប់គ្រងពួកគេដោយអនុញ្ញាតឬបដិសេធការភ្ជាប់។ ការកំណត់រចនាសម្ព័ន្ធទម្រង់ SSH ដោយបន្ថែមវាទៅក្នុងបញ្ជីត្រូវបានធ្វើដូចខាងក្រោម:
- បើកបញ្ជីនៃទម្រង់ជញ្ជាំងភ្លើងដោយប្រើពាក្យបញ្ជា
sudo ufw បញ្ជីកម្មវិធី
. - បញ្ចូលពាក្យសម្ងាត់គណនីរបស់អ្នកដើម្បីបង្ហាញព័ត៌មាន។
- អ្នកនឹងឃើញបញ្ជីកម្មវិធីដែលអាចប្រើបាន OpenSSH គួរតែស្ថិតនៅក្នុងចំណោមកម្មវិធីដែលមាន។
- ឥឡូវនេះអ្នកគួរអនុញ្ញាតការតភ្ជាប់តាមរយៈ SSH ។ ដើម្បីធ្វើដូចនេះត្រូវបន្ថែមវាទៅក្នុងបញ្ជីទម្រង់ដែលបានអនុញ្ញាតដោយប្រើ
sudo ufw អនុញ្ញាត OpenSSH
. - បើកជញ្ជាំងភ្លើងដោយធ្វើបច្ចុប្បន្នភាពច្បាប់
sudo ufw បើក
. - ដើម្បីប្រាកដថាការតភ្ជាប់ត្រូវបានអនុញ្ញាតអ្នកគួរតែសរសេរ
ស្ថានភាព sudo ufw
បន្ទាប់មកអ្នកនឹងឃើញស្ថានភាពបណ្តាញ។
នេះបញ្ចប់សេចក្តីណែនាំការកំណត់រចនាសម្ព័ន្ធ SSH របស់យើងសម្រាប់អ៊ូប៊ុនទូ។ ការកំណត់រចនាសម្ព័ន្ធបន្ថែមទៀតនៃឯកសារកំណត់រចនាសម្ព័ន្ធនិងប៉ារ៉ាម៉ែត្រផ្សេងទៀតត្រូវបានអនុវត្តផ្ទាល់ដោយអ្នកប្រើម្នាក់ៗនៅក្រោមសំណើរបស់គាត់។ អ្នកអាចយល់ឱ្យបានច្បាស់ដោយខ្លួនឯងជាមួយប្រតិបត្តិការនៃសមាសភាគទាំងអស់នៃ SSH នៅក្នុងឯកសារផ្លូវការនៃពិធីការ។