- Главная... arrow - Статьи... arrow | - Linux arrow SSH - настройки

#Записки о Unix/Linux/BSD/Solaris

SSH - настройки
Автор H@wk!   
11:03:2009 г.
Про SSH информации предостаточно и статью пишу скорее не как памятку, а как ответ на некоторые вопросы возникшие после размещения статьи Если Linux завис...

Что такое SSH:
(Википедия)
SSH (англ. Secure Shell — «безопасная оболочка») — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Сходен по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы имеются для большинства сетевых операционных систем.
SSH позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол, таким образом, можно не только удаленно работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удаленного запуска клиентов X Window System.

Думаю с определением все ястно, приступим к установе и настройке (для Debian, Ubuntu, Runtu и прочих deb систем).

Выполняем установку:

sudo aptitude install openssh-server


Настройки хранятся в файле /etc/ssh/sshd_config.
Открываем его на правку:

sudo nano /etc/ssh/sshd_config


перечислю параметры, которые желательно изменить:

Port 22 - номер порта по умолчанию. Желательно установить в другое значение, т.к. первым делом ломятся на этот порт Конечно, и другие сканируют, но лишняя защита не помешает.
PermitRootLogin no - обязательно установите значение в "no". Это запрещает логинится рутом через ssh.
AllowUsers name_user - этого параметра нет в конфиге, допишите его. name_user - это имя пользователя в системе, которому разрешен вход по ssh.
К имени можно добавить ip-адрес - name_user@IP Такой параметр разрешит логинится только пользователю name_user и только при условии, что он подключается с указанного IP.
 PermitEmptyPasswords no - Запретить пустые пароли.

После произведенных настроек, перезапускаем демон sshd:

sudo /etc/init.d/ssh restart


В качестве клиента, если подключаетесь в винды, используем программу Putty (описание, скачать). Для подключения из под *nix будет следующего вида команда:

ssh -l name_user IP -p №порта


-p ключ для указания порта, если он отличается от 22, если используется стандартный, то данный ключ не нужен.
Русский man по sshd с описанием всех ключей, можете посмотреть здесь...

В заключение скажу о неком тюненге , изменяем стандартное приветствие выводимое в консоль при подключении.
Первые три абзаца текста расположены в файле:
/etc/motd
Можете изменить текст и дописать что то свое.

Чтобы отключить сообщение о последнем входе (не рекомендовано), надо отредактировать:
/etc/ssh/sshd_config
параметр:

PrintLastLog no



//H@wk!

Добавить коментарий
Имя:
E-mail
Коментарий:



Код:* Code


Просмотров: 32958

  Коментарии (3)
RSS комментарии
 1 Написал(а) 1, в 15:22 10.02.2015
спасибо
 2 Написал(а) H@wk!, в 13:53 31.10.2010
Параметр звучит просто: AllowUsers. 
Поэтому строка будет выглядеть:  
AllowUsers Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script  
Формат следующий AllowUsers [user1] [user2], но надо проверить. 
Посмотрите man sshd_config, параметры: 
DenyUsers, AllowUsers, DenyGroups, AllowGroups. 
 3 Написал(а) Игорь, в 10:28 31.10.2010
Полезно закинул в заметки, только вот 1 не совсем понятно если я хочу сделать доступ только с 1 ипа то мне надо прописать так  
AllowUsers name_user@ip Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script  
иди же мне нужно писать так  
AllowUsers name_user Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script
 
и 2 а если вот мне надо чтоб логинилось 2 юзера с определёными ip или просо по имени то мне это надо их прописать через пробел ?
 
« Устанавливаем Debian 5 Lenny (Часть 1 - Графическая установка)   Если Linux завис... »

#COMMENT

Блокируем Ylmf-pc на Exim, Bru...
Благодарю за кучу уцелевших нервов:) постоянно приходилось б...
30/05/17 00:02 More...
By Mus

Установка даты и времени в кон...
Спасибо
12/05/17 17:49 More...
By dushka

Раскладка в rdesktop
Огромное спасибо!
28/04/17 14:01 More...
By Виктор

Аутентификация средствами Apac...
подскажите как писать пороль цифры ?пж! :sigh
28/03/17 13:06 More...
By Лиза

Logwatch - мониторинг журналов...
Отлично, очень не хватало. Автору большое спасибо, пиши еще.
25/01/17 02:44 More...
By Gregg

Сейчас на сайте находятся:
4 гостей