A felhasználói hozzáférés vezérlése ssh-n keresztül, mindent a számítógép javításáról és konfigurálásáról
Ha kifejezetten megadja, hogy mely felhasználók férhetnek hozzá az SSH-n keresztül, a többi felhasználó nem tudja ezt megtenni.
Például az AllowG roups paraméter korlátozza azon felhasználók számát, akiknek joguk van bejelentkezni a rendszerhez az SSH-n keresztül az / etc / group fájlban meghatározott csoportokkal (7. fejezet). Ha ez a paraméter meg van határozva, és a felhasználó nem tartozik az engedélyezett csoportok egyikébe, akkor nem tud bejelentkezni. A listán szereplő csoportokat szóközökkel kell elválasztani:
AllowGroups wheel webmester dnsadmln
Ha nem akar hozzáférést biztosítani egy teljes felhasználói csoporthoz az SSH-n keresztül, akkor az Allowllsers paraméterrel meghatározhatja az érvényes felhasználók listáját. Az Allowllsers paraméter használata esetén a listán nem szereplő összes többi felhasználó automatikusan megtagadja a hozzáférést.
A DenyGroups paraméter ellentétes az AllowGroups paraméterrel. Az itt felsorolt rendszercsoportokból származó felhasználók nem jelentkezhetnek be. A megadott csoportoknak a fő csoportjuknak kell lenniük, vagyis az /etc/master.passwd-ban kell szerepelniük, és nem csak az / etc / group-ben. Ez a korlátozás a DenyGroups paraméter kevésbé hasznos, mint amilyennek első pillantásra tűnhet; a kívánt hatás elérése érdekében nem lesz elegendő egy nossh univerzális csoport definiálása, és egyszerűen hozzá kell adni hozzá a felhasználókat, ez a csoport legyen a legfontosabb számukra. Az érvényes csoportok egyértelmű felsorolása hasznosabb biztonsági házirendet nyújt.
Hogyan befolyásolják ezek a beállítások egy olyan felhasználó hozzáférési jogát, aki egynél több csoportban van? A felhasználó például az AllowGroups listában megjelenő csoporthoz és a DenyGroups listához tartozó csoporthoz tartozik. Mi fog történni ebben az esetben? Az SSH démon ezeket a paramétereket az alábbi sorrendben ellenőrzi: Denyllsers, Allowllsers, DenyGroups and Allow-Groups. Az első mérkőzést figyelembe veszik. Tegyük fel, hogy a kerékcsoport tagja vagyok, és az alábbi fragment van jelen az sshd_config fájlban:
DenyUsers: mwlucas AllowGroups: kerék
Nem tudok bejutni ehhez a rendszerhez SSH-n keresztül, mert a DenyUsers paraméter értéke az AllowGroups paraméter értékére van bejelölve.
Az SSH ügyfél természetesen már jelen van a FreeBSD-ben, mint a legtöbb UNIX-szerű operációs rendszerben. Ha lehetséges, próbálja meg használni a beépített SSH klienst, mivel az az OpenBSD csapata által kifejlesztett OpenSSH csomag része, és nem csak a legnépszerűbb, hanem a legjobb megvalósítás is. Ha Ön kénytelen a Microsoft Windows operációs rendszert használni, javaslom a PuTTY programot, amelyet szabadon lehet felhasználni kereskedelmi és nem kereskedelmi célokra, és kiváló terminál emulátor.
Ezt a könyvet a FreeBSD-nek szenteljük, így minden érdeklődést az OpenSSH kliensre kell fordítani ebben az operációs rendszerben. Az ügyfelet számos módon konfigurálhatja, de a legtöbb esetben a beállítások korlátozzák a kiszolgáló által kínált szolgáltatások használatának tiltását. Ha valóban érdekli az ügyfél viselkedését, olvassa el az ssh_config (5) kézikönyvét.
Ahhoz, hogy SSH-n keresztül csatlakozzon egy másik gazdagéphez, meg kell adnia az ssh hostname parancsot. Válaszként valami ilyesmit kell látnia:
A "sardines.blackhelicopters.org (192.168.1.1)" hitelességét nem lehet megállapítani.
DSA ujjlenyomat értéke a4: df: 7c: 7e: Oe: 27: e5: 21: b4: f4: Oe: 2b: C9: 10: 5f: ea.
Biztosan folytatja a kapcsolatot (igen / nem) 9 igen
(Fordítás: A host 'sardines.blackhelicopters.org (192.168.1.1) hitelessége
nem telepíthető.
Impresszum DSA a4 kulcs: df: 7c: 7e: 0e: 27: e5: 21: b4: f4: 0e: 2b: C9: 10: 5f: ea. Tényleg szeretné folytatni a kapcsolatot (igen / nem) 9)
Az ügyfél azonnal megkapja a gazdagép nyilvános kulcsát, amelyhez a kapcsolat létrejön, és összeegyeztethető az SSH kulcsainak belső listájával. Ha a kiszolgálótól kapott kulcs jelen van az ügyféllistában, az ügyfél feltételezi, hogy a kapcsolat létrejön a hiteles gazdagépen. Ha a gazda kulcs nem szerepel az ügyféllistában, a kulcs ujjlenyomatát adja ki, így jóváhagyhatja vagy elutasíthatja.
Az ügyfél által benyújtott nyomtatásnak meg kell egyeznie a kiszolgálón létrehozott nyomtatással. Ha a nyomtatás nem egyezik meg, akkor a rossz házhoz csatlakozik, és azonnal húzza ki a kapcsolatot. Ha a nyomtatás megegyezik, akkor elfogadhatja a kulcsot és folytathatja a kapcsolatot. Miután megerősítette a folytatásra vonatkozó szándékát, a gazda kulcsot a ssh / known_hosts listában tárolja a saját könyvtárában.
Ha új kiszolgálót hoz létre a helyi hálózaton személyes használatra, előfordulhat, hogy nem szükséges összehasonlítani a billentyűzeteket manuálisan. Azonban meg kell még másolni a kulcsjegyet, mert előfordulhat, hogy esetleg más helyről kell csatlakozni, és ellenőrizni kell a kulcsot. Ha sok felhasználó csatlakozik a kiszolgálóhoz, akkor egyáltalán nem kell nyomtatni a weboldalra. Ön meghatározza, milyen biztonsági szintet igényel. Személy szerint én úgy gondolom, hogy nagyobb a felesleges óvatosság, mint annak hiánya.
Az SSH ügyfél jó a parancssor eléréséhez, de mi van a fájlok egyik rendszerről a másikra történő átvitelével? Az SSH két eszközt tartalmaz fájlok átvitelére a hálózaton keresztül - scp (l) és sftp (l).
Ha a fájlt ugyanarra a névre másolja, akkor a második argumentumban lévő fájlnév elhagyható:
# scp bookbackup.tgz [email protected]:
Ezenkívül az scp (l) lehetővé teszi fájlok másolását egy távoli rendszertől a helyihez:
Ha a helyi rendszeren lévő fájl másolatának ugyanaz a neve, a parancs másolatát helyettesítő ponttal helyettesítheti:
Végül, ha a távoli rendszerben és a helyi rendszerekben használt felhasználónevek egyeznek, elhagyhatja a felhasználónevet és a szimbólumot. Például a következő parancs segítségével másolhatom a fájlt a kiszolgálóra:
# scp bookbackup.tgz bewilderbeast.blackhelicopters.org:
A látszólagos összetettség ellenére ez a parancs nagyon kényelmes az egyes fájlok gyors átvitelére a hálózaton keresztül.
Ha interaktív rendszereket szeretne használni, vagy ha a távoli rendszerről másolni kívánt fájl pontos neve nem ismert előre, az sftp (l) mentésre kerül. Az sftp (l) parancs egyetlen argumentumot fogad el, amely a felhasználónévből és a kiszolgáló nevéből áll, az scp parancs által használt formátumban egy távoli kiszolgáló kijelöléséhez:
Csatlakozás a bewilderbeast ... Jelszó: sftp> Is
Az sftp (l) felület nagyon hasonló a hagyományos FTP klienshez; Támogatja az olyan tipikus FTP parancsokat, mint az Is (lista), a cd (change directory), a get (fájl letöltése) és a feltöltés (fájl feltöltése a kiszolgálóra). Az egyik jelentős különbség az, hogy az sftp (l) nem kell választani az átadandó fájlok típusát - ASCII vagy bináris; a fájlokat egyszerűen át kell adni a formában, amelyben vannak.
Az OpenSSH mindent megvéd
Számos hálózati program magában foglalja az SSH támogatását az interoperabilitás biztosításához. Ezenkívül az OpenSSH képes létrehozni a különböző gépek TCP portjainak alagútjait. Az OpenSSH segítségével biztosíthatja, hogy az adatok csak titkosított formában kerüljenek át a hálózaton keresztül.
Az scp és az sftp parancsok használatával teljesen kiküszöbölheti a jelszavakat a hálózaton nyílt szöveges formában.