Аллен Питер В.
Шрифт:
KeyRegenerationInterval 1h
# Запрещаем регистрацию пользователя root по ssh.
# Это не исключает возможности удаленного
# администрирования: просто руту придется зайти под
# обычным пользователем, а затем выполнить команду su.
# Зато злоумышленнику понадобится украсть
# не один, а два пароля: и root, и обычного пользователя.
PermitRootLogin no
# Протоколирование (раскомментируйте, если нужно
# вести журнал с помощью системы syslog)
#SyslogFacility AUTH
#LogLevel INFO
# Аутентификация
# Включает парольную аутентификацию
# и запрещает пустые пароли
PasswordAuthentication yes
PermitEmptyPasswords no
#StrictModes yes
# используем RSA-аутентификацию
RSAAuthentication yes
PubkeyAuthentication yes
# Аутентификация rhosts - обычно не используется,
# поэтому запрещаем ее:
# пользовательские файлы ~/.rhosts и ~/.shosts не
# будут использоваться
RhostsAuthentication no
IgnoreRhosts yes
# НЕ использовать РАМ аутентификацию
PAMAuthenticationViaKbdInt no
# Дополнительное время клиенту на то, чтобы
# аутентифицировать себя.
# Если за это время клиент не смог ввести пароль,
# соединение будет прекращено
LoginGraceTime 2m
# Следующие параметры нужны для того, чтобы заставить
# систему X Window работать по ssh. Подробнее вы
# сможете прочитать в документации по ssh
#X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#Compression yes
# Путь к баннеру
Banner /some/path
# подсистема sftp-сервера
Subsystem sftp /usr/libexec/openssh/sftp-server
Запуск демона sshd
Перед первым запуском sshd необходимо сгенерировать файлы, содержащие ключи кодирования. В сценариях, осуществляющих запуск сервера sshd, обычно предусмотрена проверка наличия этих файлов. В случае их отсутствия они генерируются автоматически.
Ключи, с которыми можно запускать sshd, перечислены в таблице 11.4.
Ключи сервера sshd Таблица 11.4
| Ключ | Назначение |
|---|---|
| – b биты | Определяет число битов для ключа сервера (по умолчанию 7681. Эту опцию можно использовать, только если вы используете протокол SSH версии 1 |
| – d | Режим отладки (DEBUG). В этом режиме сервер не переходит в фоновый режим, обрабатывает только одно соединение и подробно протоколирует свои действия в системном журнале. Ключ отладки особенно полезен для изучения работы сервера |
| – D | Так же, как и при использовании предыдущего ключа, сервер sshd не будет переходить в фоновый режим. Однако а отличие от -d ключ -D не переводит сервер в режим отладки |
| – e | Отправлять отладочные сообщения не в системный журнал, а на стандартный поток ошибок |
| – f файл | Задает альтернативный файл конфигурации вместо /etc/ssh/sshd_config |
| – g время | Предоставляет клиенту, не прошедшему аутентификацию, дополнительное время на ввод пароля. Значение 0 интерпретируется как бесконечное ожидание |
| – h файл_ключа | Задает альтернативным файл открытого ключи (ключ узла). По умолчанию используется файл /etc/ssh/ssh_host_key . Этот ключ может понадобиться, чтобы запускать sshd от имени непривилегированного пользователя. Также ключ – h часто применяется при запуске sshd из сценариев, задающих различные настройки в зависимости от времени суток (в рабочее и нерабочее время) |
| – i | Используется, если нужно запускать sshd через суперсервер xinetd. Обычно демон sshd запускается отдельно при загрузке системы. Связано это с тем, что демону sshd требуется некоторое время для генерирования ключа сервера, прежде чем он сможет ответить на запросы клиентов. При запуске через суперсервер при каждом соединении суперсервер будет заново вызывать sshd, а тот — заново генерировать ключ. Однако на современных компьютерах задержка практически не заметна. Поэтому вполне можно запускать sshd и через суперсервер |
| – k время | Задает время, спустя которое ключ сервера будет создан заново. По умолчанию время составляет 1 час. Эту опцию можно использовать только с протоколом SSH версии 1 |
| – p порт | Указывает альтернативный порт, который демон sshd будет прослушивать вместо порта 22 |
| – q | «Тихий ражим», не протоколировать сессию. Обычно протоколируется начало аутентификации. результат аутентификации и время окончания сессии |
| – t | Тестовый ражим. Применяется для проверки корректности файла конфигурации |
| – 4 | Разрешается использовать IP-адреса только в формате IPv4 |
| – 6 | Разрешается использовать IP-адреса только в формате IPv6 |
Использование SSH-клиента
Клиентская программа ssh находится в пакете
openssh-clients
вместе с типовым конфигурационным файлом /etc/ssh/ssh_config
. Настройки можно задавать и из командной строки, запуская ssh с соответствующими ключами. Основные ключи и аргументы перечислены в таблице 11.5. Ключи программы ssh Таблица 11.5
| Ключ | Назначение |
|---|---|
| – а | Отключает перенаправление аутентификации агента соединения |
| – А | Включает перенаправление аутентификации агента соединения |
| – с blowfish|3des|des | Позволяет выбрать алгоритм шифрования при использовании первой версии протокола SSH. Можно указать blowfish, 3des или des |
| – c | Задает использование сжатия всех данных во всех выходных потоках с использованием gzip. |
| – f | Данная опция переводит ssh в фоновый режим после аутентификации пользователя. Рекомендуется использовать для запуска программы X11. Например: ssh -f host xterm |
| – i идент_файл | Задает нестандартный идентификационный файл (для нестандартной RSA/DSA-аутентификации) |
| – l логин_имя | Указывает, от имени какого пользователя будет осуществляться регистрации на удаленной машине |
| – p порт | Определяет порт, к которому подключится программа ssh (по умолчанию используется порт 22) |
| – q | Переводит программу ssh в «тихий режим>>. При этом будут отображаться только сообщения о фатальных ошибках. Все прочив предупреждающие сообщения а стандартный выходной поток выводиться не будут |
| – V | Включает отображение всей отладочной информации |
| – x | Отключить перенаправление X11 |
| – X | Включить перенаправление X11 |
| – 1 | Использовать только первую версию протокола SSH (принудительно) |
| – 2 | Использовать только вторую версию протокола SSH (принудительно) |
| – 4 | Разрешается использовать IP-адреса только в формате IPv4 |
| – 6 | Разрешается использовать IP-адреса только в формате IPv6 |
Формат команды:
ssh [ключи] [ключи_с_аргументами] [логин_имя@]хост.домен [команда]
Если последним аргументом указана команда, то после успешного входа пользователя она выполняется на удаленной машине вместо командной оболочки по умолчанию. Таким образом можно работать не в командной строке, а запустить на удаленной машине графический сеанс.
Аутентификация средствами SSH
Аутентификация в SSH может производиться одним из следующих четырех способов: