Меню сайта
   Главная   
   Обо мне   
   Статьи   
   Дневник   
   Картинки   
   Файлы   
   Форум   
   Гостевая книга   

Категории раздела
Куклы и игрушки [60]
Личное [117]
Музыка [19]
Общее [305]
Японский язык [12]
ZX Spectrum [70]
Субмарины [98]
Настольные игры [34]
Го (碁) [11]
Книги [16]
Япония [26]
Таро [4]
Запертый шкаф [17]
CSA (КША) [15]
GNU/Linux [134]
Ubuntu [103]
Manjaro Linux [40]
Python [3]
Магнитольное [44]
Commodore64 [15]
Игровые приставки [2]
ПЭВМ КУВТ [5]


 
Дневник (2016 » Декабрь » 20 в 22:55)
Ubuntu Беспарольная аутентификация по ssh

Установка и настройка SSH сервера для беспарольной аутентификации, и запрет входа по паролю.

Установка сервера:
sudo apt-get install openssh-server

генерация ключей:
ssh-keygen -t rsa -b 2048 
или так:
ssh-keygen -t dsa -b 1024

Секретный ключ id_rsa остаётся у клиента:
~/.ssh/id_rsa

Публичный ключ id_rsa.pub копируется на сервер и вносится в список разрешённых ключей
cat id_rsa.pub >> ~/.ssh/authorized_keys

Сам файл id_rsa.pub после этого с сервера можно удалить.

Теперь настраивается конфиг ssh:
sudo gedit  /etc/ssh/sshd_config

По умолчанию работает аутентификация и по паролю, и по ключам на выбор входящего. Но в целях безопасности, чего ради и настраиваются ключи, парольная аутентификация отключается параметром:
PasswordAuthentication no

Ничего больше настраивать не надо.

Для применения настроек в силу перезапускается демон:
# Debian:
sudo /etc/init.d/ssh restart

# manjaro:
sudo systemctl enable sshd
sudo systemctl start sshd

Парольная аутентификация должна быть недоступна, вход только по ключу, и по парольной фразе к нему, если она задавалась.

Для входа на сервер из консоли с подробной информацией на экран:
ssh username@ip -v

Поскольку у меня возникли большие сложности с настройкой ssh, и начитавшись всяких мануалов я испортил конфиг (полагаю именно из-за UsePAM no у меня клиенты не видели на сервере русские буквы), привожу на всякий случай свой дефолтный работающий из ubuntu 14.04:

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin without-password
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
Banner /etc/issue.net
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

Полезные команды:

Вывести конфиг без комментариев:
egrep -v '^#|^$' /etc/ssh/sshd_config
Вывести только значения yes или no:
cat /etc/ssh/sshd_config | grep ' yes'
cat /etc/ssh/sshd_config | grep ' no'

Права на rw только владельцу
chmod 600 id_rsa 
Дополнительное кодирование ключей ssl
openssl pkcs8 -topk8 -v2 des3 -in id_rsa_old -out id_rsa 

Отредактировать выводимый при логине баннер
sudo gedit /etc/issue.net 

Посмотреть список известных агенту секретных ключей. Команда сообщит и отпечаток для каждого ключа. (link)
ssh-add -l


Использованные ссылки:

Видео:



Категория: Ubuntu | Просмотров: 1409 | Добавил: harushima | Рейтинг: 0.0/0 |
Всего комментариев: 12.

27.01.2017 22:57
1 harushima
0  
Пример применения SSH.
Смонтировать домашнюю папку удалённого пользователя для чтения и записи файлов, как если бы они были на локальной машине:
$ sshfs username@12.34.56.78 : ~/net

Демонтировать:
fusermount -u ~/4net

https://wiki.archlinux.org/index.php/SSHFS_(Русский)


03.06.2017 17:44
2 harushima
0  
Как тоже самое сделать в Manjaro Linux
How to Enable SSH Service in Manjaro Linux
http://www.tuxfixer.com/configure-ssh-service-in-manjaro-linux/

https://wiki.archlinux.org/index.php/Secure_Shell_(Русский)


06.06.2017 00:06
3 harushima


09.06.2017 23:21
4 harushima
0  
в "etc/ssh/ssh_config" и "/etc/ssh/sshd_config" указать "ForwardX11 yes"


19.11.2017 23:15
5 harushima
0  
Просмотр лога ssh в манжаро:

journalctl _COMM=sshd
journalctl -fu sshd
journalctl -u sshd -n 100


03.02.2018 21:28
6 harushima
0  
https://habrahabr.ru/post/122445/
Памятка пользователям ssh


16.04.2019 19:18
7 harushima
0  
https://wiki.archlinux.org/index.php/Secure_Shell_(Русский)

Если вы не совершаете каких-либо действий, будет выполнен автоматический выход из сессии ssh. Для поддержания подключения в активном состоянии добавьте следующую строку в ~/.ssh/config или /etc/ssh/ssh_config клиента:
ServerAliveInterval 120

В этом случае на сервер будет посылаться сигнал "keep alive" каждые 120 секунд.

С другой стороны, для поддержания в активном состоянии входящих подключений, вы можете прописать (или любое другое число больше 0) в /etc/ssh/sshd_config на сервере.
ClientAliveInterval 120


09.07.2020 02:12
8 harushima
0  
РЕШЕНИЕ ОШИБКИ - неправильные права:

Permissions 0755 for '../id_rsa' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.

Слишком открытый ключ. НАДО изменить права!
chmod 700 ~/.ssh/id_rsa


19.12.2020 21:12
9 harushima
0  
При ошибке: WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

Надо на ПК, который подключается к удалённому хосту, удалить запись о нём в ~/.ssh/known_hosts на локальном ПК.


27.03.2022 15:51
10 harushima
0  
Монтирование FS по SSH
sshfs user@remotehost:/c/Path/to/Pictures /home/localuser/mountpoint/

Демонтаж:
sudo umount --verbose --all-targets /home/localuser/mountpoint/

!!! С sudo не использовать!!!
https://wiki.archlinux.org/title/SSHFS


05.11.2023 21:36
11 harushima
0  
про флаги маунта для ssh
https://www.digitalocean.com/communi....ver-ssh


05.11.2023 21:42
12 harushima
0  
Пакет manjaro для маунта самбы: extra/smbnetfs
https://www.digitalocean.com/communi....u-16-04

В целях защиты от спама, добавлять комментарии могут только зарегистрированные пользователи. Если Вы не хотите регистрироваться под своим именем, войдите под логином: anonymous, паролем: anonymous.   ( Регистрация,   Вход).
Авторизация
Анонимный вход:
anonymous / anonymous

Календарь
«  Декабрь 2016  »
ПнВтСрЧтПтСбВс
   1234
567891011
12131415161718
19202122232425
262728293031

Поиск

Облако тэгов
JGSDF игрушки Брюнетки Кладбище сайты Ярость Дракулы Древний Египет девушки кошки Cthulhu Вампиры Kitsune Ужас Аркхема инструмент комиксы Lovecraft готика Submarine submarine rc toy Hosting игротека Ужас Аркхэма book uboat мобильная связь го Edgar Poe swf Mansions of Madness Nightmares персоны Synergy linux-hardware bash youtube Storages Python Мастер-рукожоп Магнитофоны Entropy Grub2 loglevel WiFi Beeline ОПСОСЫ sharp939 Аудиокассеты Windows linuxwork Хочуны ImageMagick топБарыг C64c Commodore

Статистика
Яндекс.Метрика
Онлайн всего: 2
Гостей: 2
Пользователей: 0

Page QR code


Перепечатка материалов сайта без активной ссылки запрещена. Следить за RSS
(c) hermitlair.ucoz.com 2009-2024
Лучший браузер!
Блокировка рекламы