Настройка OpenSSH

Вы хотите установить связь между локальной рабочей станцией и удаленным компьютером. Подключение должно быть защищенным; информация не должна стать доступной для злоумышленников (их не видно, но они существуют — даже если вы не страдаете паранойей). Итак, требуется настроить OpenSSH.

Установите OpenSSH на обоих компьютерах. Чтобы удаленный хост принимал подключения, на нем должен работать демон sshd. Скопируйте открытый ключ удаленного хоста в файл ~/-ssh/knownghosts на локальном компьютере — и можете приступать к работе.

Запуск sshd в большинстве систем на базе rpm осуществляется следующим образом:

/etc/init.d/sshd start

/etc/init.d/sshd stop

В Debian демон запускается несколько иначе:

/etc/init.d/ssh start

/etc/init.d/ssh stop

Всегда проверяйте имена файлов init, они могут изменяться в зависимости от дистрибутива.

Копирование открытого ключа удаленного хоста в локальный файл ~/.$s\\/ known_hosts сводится к простой попытке подключения к удаленному хосту: carlawindbag carlaS ssh stinkpad

The authenticity of host stinkpad (192.168.1.100) cant be established. RSA key fingerprint is a2:c6:70:3e:73:00:b3:ed:90:bl:9a:bc:e7:d5:32:ba. Are you sure you want to continue connecting (yes/no)?

Ответьте yes, и на экране появится сообщение:

Warning: Permanently added stinkpad,192.168.1.100 (RSA) to the list of known hosts, carla&stinkpads password:

Linux stinkpad 2.4.21 1 Sun Aug 3 20:15:59 PDT 2003 1686 GNU/Linux Libranet GNU/Linux

Last Login: Sat June 3 22:16:24 2004 from :0.0 carla@stinkpad:

Подключившись к удаленному компьютеру, вы сможете работать с ним точно так же, как если бы вы сидели за ним. Чтобы закрыть сеанс удаленного подключения, введите команду exit.

Комментарий

Простая команда ssh "хост" создает подключение к другому хосту локальной сети с использованием данных текущей учетной записи. Чтобы подключиться с данными другого пользователя, укажите параметр -L carlewindbag ssh -1 wilmaf stinkpad. При подключении SSH по Интернету следует указывать полное доменное имя:

carlawindbag ssh stinkpad.test.net. Установление исходного подключения и копирование ключа RSA с хоста является самой рискованной частью создания SSH. Если злоумышленнику удастся вмешаться в работу сервера имен, он может перехватить сеанс SSH и похитить данные вашей учетной записи. Впрочем, риск относительно невелик, и перед первым подключением можно проверить IP-адрес удаленного хоста. Чтобы закрыть эту брешь в системе безопасности, заранее вручную скопируйте открытый ключ хоста в локальный файл ~/-ssh/known Jiosts. При этом файл придется слегка подредактировать; далее приводятся примеры.

Ключи хостов хранятся в каталоге /etc/ssh и используются для проверки «личности» удаленного хоста. Для подключения пользователю потребуется только копия открытого ключа в его файле ~/.ssh/known Jiosts и учетная запись, под которой осуществляется вход в систему. В некоторых дистрибутивах Linux при установке OpenSSH создаются две пары ключей, RSA и DSA:

Is /etc/ssh ssh_host_dsa_key ssh_host_dsa_key.pub

ssh_host_rsaJcey ssh_host_rsa _key. pub

Если система не создает ключи или вы захотите изменить их, обратитесь к рецепту — в нем рассказано, как сгенерировать новые ключи хостов. Открытый ключ RSA выглядит примерно так:

cat ssh__host_rsa_key.pub ssh rsa

AAAAB3NzaClyc2EAAAABIwAMIEA5pSqNmtqRzK2JaLr8qkIQ41nB0LI2JRJ6gBrawg9gwK3S8xX nMUHI su8wh5Sloe18hs47x2I9cpNpxHfjlvX)WwqP61 Vyel DfD+y+WIzOUgzUXN51 rqYZ70EdQ4Xn ++J1lkmFG6L16KySb0700Xon1C09rNx1sHL5QC0q11+qM- rootGwindbag

Сам ключ должен быть одной длинной, неразрывной строкой — он не должен содержать внутренних разрывов. Скопируйте его на съемный диск, перенесите в локальный файл ~/-ssli/lnownJiosts и измените следующим образом: wi ndbag.test.net.192.168.1.6 ssh-rsa

AAAAB3NzaClyc2EAAAABIwAAAIEA5pSqNnitqRzK2JaLr8qkICHlnBDLI2JRJ6gRBffMg9gwK3S8xX nMUHIsu8wh5Sloei 8hs47x219cpNpxHf jlwQWwqP61 Vyel DfD+y+WI zOUgzUXN5IrqYZ7QEdQ4Xn ++J1 lkmFG6Ll 6KySb07QGXonl C09rNxi sHLSGCOqi 1+qM-

Имя хоста и IP-адрес добавляются в начало строки, а завершающее имя хоста удаляется.

Открытые ключи доступны для всех, но закрытые ключи должны читаться только владельцем ключа.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок