Работа с клиентом и сервером SSH

2.6.1 Работа с клиентом и сервером SSH

Описание принципов работы и используемых приложений
Установка
Настройка сервера
Рекомендуемые параметры безопасности
Максимальное число попыток аутентификации
Время ожидания регистрации пользователя в системе
Списки пользователей sshd
Запрещение удаленного доступа для суперпользователя
Парольная аутентификация
Аутентификация на основе SSH2 RSA-ключей
Настройка SSH-клиента
Утилита screen
SSH aliases
SFTP
Монтирование удаленной директории с помощью sshfs
Запуск графических приложений через SSH
Копирование файлов SCP
Подключение через MC (Midnight Commander)
Диагностика проблем подключения

Данная статья посвящена клиенту и серверу защищенного терминала (secure shell) в РЕД ОС, их настройке и использованию. SSH — это специальный сетевой протокол, позволяющий получать удаленный доступ к компьютеру с большой степенью безопасности соединения.

Описание принципов работы и используемых приложений

В основном, SSH реализован в виде двух приложений — SSH-сервера и SSH-клиента. При подключении клиент проходит процедуру авторизации у сервера и между ними устанавливается зашифрованное соединение. OpenSSH-сервер может работать как с протоколом ssh1, так и с протоколом ssh2. В настоящее время протокол ssh1 считается небезопасным, поэтому его использование крайне не рекомендуется. В этой статье мы не будем останавливаться на технических деталях работы протокола, так как основная цель руководства — описание его настройки и использования.

Вы можете подробнее ознакомиться с информацией установке и настройке клиента и сервера SSH, просмотрев наши обучающие видео:

на RuTube — Работа с клиентом и сервером SSH;
в Яндекс.Дзен — Работа с клиентом и сервером SSH;
в VK Видео — Работа с клиентом и сервером SSH.

На наших каналах вы также сможете найти много другой полезной информации.

Установка

По умолчанию сервер и клиент OpenSSH уже установлен в РЕД ОС. Однако, при необходимости, его можно установить из терминала командой:

sudo dnf install openssh

Настройка сервера

Для его остановки и запуска используйте команды:

sudo systemctl stop sshd
sudo systemctl start sshd

Основной файл конфигурации SSH-сервера — файл /etc/ssh/sshd_config, доступный для чтения или редактирования только суперпользователю. После каждого изменения этого файла необходимо перезапустить ssh-сервер для применения таких изменений командой:

sudo systemctl restart sshd

Максимальное число попыток аутентификации

MaxAuthTries

Прописывается в файле /etc/ssh/sshd_config и указывает максимальное число попыток аутентификации, разрешенное для одного соединения. Как только число неудачных попыток превысит половину заданного значения, все последующие попытки будут заноситься в журнал. При достижении максимума сеанс аутентификации разрывается.

Время ожидания регистрации пользователя в системе

LoginGraceTime

Как и предыдущий параметр, указывается в файле настройки ssh-сервера. Он задаёт время ожидания регистрации пользователя в системе. Если пользователь не успел войти в систему в течение отведенного данной директивой времени, сеанс обрывается.

Списки пользователей sshd

AllowUsers user

В файле настроек /etc/ssh/sshd_config может быть прописан список пользователей, разделённых пробелом, которым можно пользоваться sshd. По умолчанию — не указан = разрешено всем. Т.е. если указан хотя бы один пользователь, ssh доступ к серверу доступен только для него.

AllowGroups users

Список шаблонов имён групп через пробел. Если параметр определён, регистрация в системе разрешается только пользователям, чья главная или вспомогательная группы соответствуют какому-либо из шаблонов. Допустимы только имена групп; числовой идентификатор группы не распознаётся. По умолчанию разрешена регистрация в системе для членов всех групп. Разрешающие/запрещающие (allow/deny) директивы обрабатываются в следующем порядке: DenyUsers AllowUsers DenyGroups AllowGroups. Подробнее см. "Конфигурационный файл SSHD_CONFIG"

Дополнительную информацию см. в статье "Служба sshd - OpenSSH, сервер протокола SSH, описание"

Запрещение удаленного доступа для суперпользователя

Учетная запись root часто является целью хакеров. Доступ к учетной записи через root по протоколу SSH на сервере Linux, который работает в сети или в Интернете, может представлять серьезную угрозу безопасности.
По умолчанию root-доступ по паролю разрешён. Если есть пользователь, который имеет возможность решать все административные задачи через sudo, то рекомендуется совсем отключить root-доступ по ssh. Отключить эту опцию можно так:

PermitRootLogin no

Парольная аутентификация

Разрешенная по умолчанию парольная аутентификация является практически самым примитивным способом авторизации в sshd. С одной стороны, это упрощает конфигурацию и подключение новых пользователей (пользователю достаточно знать свой системный логин/пароль), с другой стороны пароль всегда можно подобрать, а пользователи часто пренебрегают созданием сложных и длинных паролей. Специальные боты постоянно сканируют доступные из интернета ssh-сервера и пытаются авторизоваться на них путем перебора логинов/паролей из своей базы. Настоятельно не рекомендуется использовать парольную аутентификацию. Отключить ее можно так:

PasswordAuthentication no

Если по каким-либо причинам вам все-таки хочется использовать парольную аутентификацию — позаботьтесь о том, чтобы никто не мог авторизоваться с пустым паролем. Для этого задайте директиву PermitEmptyPasswords:

PermitEmptyPasswords no

Аутентификация на основе SSH2 RSA-ключей

Наиболее предпочтительным способом авторизации является аутентификация на основе SSH2 RSA-ключей. При таком способе пользователь генерирует на своей стороне пару ключей, из которой один ключ является приватным, а другой публичным. Публичный ключ копируется на сервер и служит для проверки идентичности пользователя. Подробную информацию о создании пары ключей и способах их размещения на сервере см. в нашей инструкции «Аутентификация по протоколу SSH с использованием RSA-ключа».

Для включения аутентификации по публичному ключу в файле конфигурации сервера /etc/ssh/sshd_config для параметра PubkeyAuthentication укажите значение yes:

PubkeyAuthentication yes

Сервер должен знать, где ему следует искать публичный ключ пользователя. Для этого применяется специальный файл authorized_keys.

Можно указать как один общий файл с ключами, так и по одному файлу на каждого пользователя. Последний способ является более удобным и безопасным, т. к. можно, во-первых, указывать разные комбинации ключей для каждого пользователя, а во-вторых, ограничить доступ к публичному ключу пользователя. Задать файл с ключами можно при помощи директивы AuthorizedKeysFile:

для схемы с общим файлом:

AuthorizedKeysFile /etc/ssh/authorized_keys

для схемы пользователь — файл:

AuthorizedKeysFile .ssh/authorized_keys

По умолчанию SSH-клиент ищет ключи в файле .ssh/authorized_keys, т. е. по схеме пользователь-файл.

Настройка SSH-клиента

Наиболее безопасным считается вход по ключу, и в большинстве случаев на стороне сервера такая возможность включена, так что для её использования никаких прав суперпользователя не требуется. На клиентской машине генерируем ключ:

ssh-keygen -t rsa

Получаем предложение ввести пароль для защиты файла ключа (оказывается полезным при попадании файла в чужие руки). Если мы собираемся по SSH выполнять скрипты, то оставляем пароль пустым. Передаём публичный ключ на сервер командой:

ssh-copy-id -i ~/.ssh/id_rsa.pub user@server

Всё, можно заходить:

ssh user@server

Когда ssh работает на нестандартном порту:

ssh-copy-id -i ~/.ssh/id_rsa.pub -p port user@server

Если возникает ошибка, попробуйте взять параметры в кавычки:

ssh-copy-id ’-i /home/user/.ssh/id_rsa.pub -p port user@server’

Завершающий этап настройки: отключение парольной аутентификации на сервере, см. «Парольная аутентификация».

Примечание.

В новых версиях systemd и OpenSSH поддержка tcp_wrappers будет прекращена.

tcp_wrapper выполняет управление доступом только для приложений, разработанных на основе протокола TCP и вызывающих библиотеку libwrap. После удаления зависимости libwrap из openssh перестанут действовать правила, определенные в файле /etc/hosts.deny. Для блокирования нежелательного трафика необходимо использовать брандмауэры iptables/nftables на сетевом уровне или использовать аналогичную фильтрацию на уровне приложений, поскольку они не имеют подобных ограничений.

Важно!

Мы НЕ РЕКОМЕНДУЕМ продолжать использовать инструмент tcp_wrappers. Для контроля трафика используйте брандмауэр firewall. Подробную информацию о настройке брандмауэра можно посмотреть по ссылке.

Если вы все же решите продолжить использовать инструмент tcp_wrappers для контроля сетевого трафика, функциональность данного инструмента для любой службы можно возобновить, выполнив ряд действий:

Примечание.

В случае, если используется РЕД ОС 8, необходимо предварительно установить пакет tcp_wrappers командой:

sudo dnf install tcp_wrappers

1. Отключите службу sshd:

systemctl disable sshd

2. Создайте каталог /etc/systemd/system/sshd@.service.d/ для переопределения конфигурации:

mkdir -p /etc/systemd/system/sshd@.service.d/

3. Создайте переопределяющий файл конфигурации для службы SSH /etc/systemd/system/sshd@.service.d/override.conf:

nano /etc/systemd/system/sshd@.service.d/override.conf

[Unit]
 ConditionFileIsExecutable=/usr/sbin/tcpd
 
 [Service]
 ExecStart=

4. В переопределяющий файл добавьте параметр ExecStart из файла конфигурации по умолчанию, добавив в значение @-/usr/sbin/tcpd:

grep '^ExecStart=' /usr/lib/systemd/system/sshd@.service | sed 's#[^\/]*\(.*\)#ExecStart=@-/usr/sbin/tcpd \1#' >>/etc/systemd/system/sshd@.service.d/override.conf

Пример содержимого переопределяющего файла конфигурации:

 cat /etc/systemd/system/sshd@.service.d/override.conf 

[Unit] 
ConditionFileIsExecutable=/usr/sbin/tcpd 

[Service] 
ExecStart= 
ExecStart=@-/usr/sbin/tcpd /usr/sbin/sshd -i $OPTIONS

5. Измените политику SELinux для отслеживания трафика по TCP:

setsebool -P ssh_use_tcpd=1

6. Перезапустите конфигурацию systemctl:

systemctl daemon-reload

7. Запустите и добавьте в автозагрузку сокет sshd:

systemctl enable --now sshd.socket

8. Проверьте подключение к новой службе:

ssh localhost

Подключение должно произойти вне зависимости от содержимого файлов /etc/hosts.allow и /etc/hosts.deny.

9. Внесите изменения в файл запрещенных соединений /etc/hosts.deny:

nano /etc/hosts.deny

sshd: 127.0.0.1 [::1]

10. Убедитесь, что содержимое файла /etc/hosts.deny зафиксировано:

 ssh localhost 

kex_exchange_identification: read: Connection reset by peer 
Connection reset by ::1 port 22

Соединение должно быть заблокировано.

11. Заблокированное соединение также должно быть зафиксировано в журнале:

 journalctl -t sshd | grep refused 

окт 17 16:19:44 localhost.localdomain sshd[4249]: refused connect from ::1 (::1)

Аналогичный подход можно использовать для других служб, у которых удалена зависимость tcp_wrappers.

Утилита screen

Screen – это приложение, позволяющее запускать несколько виртуальных терминалов в режиме сессий. После того как сессия создана, от неё можно отключиться, а позже — снова подключиться, причём с любого другого хоста, на котором установлен SSH-клиент. Процессы, запущенные в screen, продолжают выполняться и после того как пользователь отключается от сессии или вообще от хоста в целом.

Для установки программы screen на сервере выполните команду:

dnf install screen

Подключаемся к серверу:

ssh user@server

После подключения создаем новую сессию screen с названием session1:

screen -S session1

Затем выполняем на сервере необходимые действия и команды. Для примера запустим ping до ресурса ya.ru:

ping ya.ru

Для отключения от сессии нажмем сочетание «Ctrl+a d». При этом процесс ping продолжит выполнение, даже если разорвать ssh-подключение к серверу. Чтобы вернуться в нашу сессию выполним команду:

screen -r session1

Можно увидеть, что утилита ping все еще будет работать.

Более подробную информацию о работе с терминальными мультиплексорами описана в статье Терминальные мультиплексоры.

SSH aliases

При использовании нескольких серверов с различными параметрами доступа (нестандартный порт, длинное имя хоста, логин отличный от локального, и т.п.) приходится каждый раз вводить настройки подключения заново. Чтобы облегчить этот процесс, можно использовать псевдонимы — aliases.

Настройки хранятся в ~/.ssh/config для одного пользователя и в /etc/ssh/ssh_config глобально для всех пользователей.

Пример конфигурации.

Открываем с помощью текстового редактора нужный нам файл настроек (для одного пользователя или глобальный) и добавляем следующие строки:

Host AliasName 
HostName 1.2.3.4 
User YourUserName 
Port YourSSHPort

Где:

Host — алиас (псевдоним) для удаленного сервера;
HostName — IP-адрес или доменное имя (если работает DNS) удаленного сервера;
User — имя пользователя для соединения по SSH;
Port — порт SSH на удаленном сервере.

Таким образом может быть описано множество серверов.

После этого можно подключаться к серверу командой

ssh AliasName

SFTP

В sshd по умолчанию встроен SFTP-сервер. Протокол SFTP (SSH File Transfer Protocol) — SSH-протокол для передачи файлов. Он предназначен для копирования и выполнения других операций с файлами поверх надёжного и безопасного соединения. Как правило, в качестве базового протокола, обеспечивающего соединение, и используется протокол SSH2. Для того чтобы включить поддержку SFTP, добавьте в sshd_config строку:

subsystem sftp /usr/libexec/openssh/sftp-server

По умолчанию поддержка SFTP включена.

Монтирование удаленной директории с помощью sshfs

При постоянном использовании ресурсов ssh-сервера, для удобства возможно монтирование удаленного каталога в локальную директорию.

Установка:

sudo dnf install sshfs

Монтирование:

sshfs user@server:/home/userdir ~/sshfsdir

Директория, в которую производится монтирование, должна быть предварительно создана:

mkdir ~/sshfsdir

Размонтирование:

fusermount -u ~/sshfsdir

Пример:

Запуск графических приложений через SSH (X11Forwarding)

Настройка сервера.

В файле конфигурации /etc/ssh/sshd_config прописываем:

…
X11Forwarding yes
…

Перезапускаем ssh-сервер:

systemctl restart sshd

Настройка клиента.

В файле конфигурации /etc/ssh/ssh_config прописываем:

…
ForwardX11 yes
…

После того, как настройка закончена, заходим на удаленный хост и потом запускаем приложение, например, текстовый редактор pluma:

ssh -XC user@server
pluma

Чтобы сразу запустить приложение pluma:

ssh -XC user@server "pluma"

Опции:

X : перенаправлять графический вывод
С : компрессия передаваемых данных

Пример.

Запуск:

Результат выполнения:

Создаваемый файл будет сохранён на удалённой машине.

Копирование файлов SCP

С помощью этой консольной утилиты можно перемещать файлы между удалённой и локальной системой.

Копирование файла на удалённую машину:

scp /srcfolder/file1 user@server:/destfolder/file1

Копирование файла на локальную машину с удалённой:

scp user@server:/srcfolder/file1 /destfolder/file1

При копировании файлов нужно учитывать, что если на удалённой машине уже существует файл с таким же именем, то после выполнения команды он будет перезаписан.

Доступные опции :

C : сжимать данные при их отправке на конечный компьютер.
r : рекурсивно копировать каталоги.

Пример.

Копирование на удалённую машину:

Копирование из удалённой системы в локальную:

Подключение через MC (Midnight Commander)

Midnight Commander (MC) — это визуальный файловый менеджер. Это программа, которая позволяет вам копировать, перемещать и удалять файлы и директории, производить поиск файлов и запускать на выполнение команды оболочки.

Также Midnight Commander позволяет подключиться к ssh-серверу.

Для запуска программы в консоли вводим:

mc

После чего, клавишей F9 активируем верхнее меню. В нём выбираем панель, левую или правую, в которой будет произведено подключение к ssh-серверу. В выпадающем меню выбираем пункт «SFTP-соединение».

После этого в появившейся строке вводим адрес сервера в формате user@server, и пароль, если аутентификация происходит не по ключу. В результате получим удобный и наглядный вариант для работы с файлами на сервере и возможностью производить копирование файлов как на сервер, так и с него на локальную систему.

Диагностика проблем подключения

Для анализа лога подключения используется команда:

ssh -vvv user@server

Для анализа конфигурационных файлов ssh-клиента и сервера, вам может понадобиться подробное описание параметров, значений и т. п. Для этого используйте команды вывода справки:

man ssh #
man sshd #

Эта информация оказалась полезной? ДА НЕТ

Дата последнего изменения: 10.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

Текст скопирован!

Сообщить об опечатке

Текст, который будет отправлен

Ваш комментарий (необязательно)

Защита от автоматического заполнения

Введите символы с картинки*