Использование SSH для подключения к удаленному серверу

Что такое SSH и как он работает?

SSH, или Secure Shell, — это протокол, используемый для безопасного удаленного доступа к компьютерным системам через незащищенные сети. Он обеспечивает зашифрованное соединение между клиентом и сервером, что исключает возможность перехвата данных третьими лицами. Принцип работы SSH основан на асимметричном шифровании: при установлении соединения клиент создает пару ключей — открытый и закрытый. Открытый ключ передается на сервер, который использует его для шифрования данных, отправляемых клиенту. Закрытый ключ остается на стороне клиента и служит для расшифровки полученной информации. Это обеспечивает высокий уровень безопасности, так как даже в случае перехвата данных злоумышленники не смогут их расшифровать без закрытого ключа. SSH также поддерживает аутентификацию пользователей, что позволяет удостовериться в том, что доступ к системе получают только авторизованные лица. Протокол широко используется системными администраторами для удаленного управления серверами, а также для безопасной передачи файлов с помощью SCP и SFTP. Понимание работы SSH является важным шагом к обеспечению безопасности ваших данных и систем в современном цифровом мире.

Подключение к удаленному серверу с помощью SSH

Подключение к удаленному серверу с помощью SSH (Secure Shell) является важной частью работы для системных администраторов и разработчиков. SSH обеспечивает безопасный и зашифрованный канал связи между вашим локальным компьютером и удаленным сервером, что позволяет производить управление, передачу файлов и выполнение команд без риска перехвата данных. Чтобы установить соединение, вам понадобится SSH-клиент, такой как PuTTY для Windows или встроенный терминал в Linux и macOS. Процесс подключения начинается с ввода команды:
ssh hostnameгде hostname это IP-адрес или доменное имя сервера.

Эта команда предполагает, что ваше имя пользователя на удаленной системе то же самое, что и на локальной системе. Если ваше локальное имя пользователя отличается от удаленного, вы можете указать его, используя следующий формат команды:
ssh username@hostnameгде username это имя пользователя на удаленном сервере.

После этого система запросит ввод пароля, если аутентификация не настроена с использованием ключей SSH.

Для завершения сеанса SSH и верната в локальною оболочку на вашем устройстве, введите следующую команду:
exit

Настройка SSH-сервера

Настройка SSH-сервера — это ключевой процесс, обеспечивающий безопасность удаленного доступа к вашему серверу. Конфигурационный файл SSH сервера расположен по адресу /etc/ssh/sshd_config. Правильная настройка SSH-сервера не только защитит ваши данные, но и обеспечит надежное и удобное управление сервером.

Настоятельно рекомендуется перед началом каких-либо изменений сделать резервную копию конфигурационного файла:
cp /etc/ssh/sshd_config{,.orig}Эта команда скопирует файл /etc/ssh/sshd_config в /etc/ssh/sshd_config.orig, что позволит вам в любой момент вернуть исходник при возникновении проблем.

Открыть файл можно в редакторе nano:
nano /etc/ssh/sshd_config
В первую очередь советуем обратить внимание на порт, на котором работает SSH. По умолчанию это 22-й порт.

Port 22

В целях безопасности в некоторых случаях лучшим решением является именно смена порта.

SyslogFacility AUTH
LogLevel INFO

Данные строки в конфиге указывают на уровни логирования событий.

LoginGraceTime 120

Этот параметр указывает время в секундах, в течении которого сервер будет сохранять подключение при отсутствии успешных попыток входа в систему.

PermitRootLogin yes

Указывает, резрешена ли SSH-авторизация для пользователя root.

StrictModes yes

Активация строгого режима препятствует авторизациям в системе в случае, когда файлы аутентификации доступны для чтения всем.

Для внесения изменений нужно сохранить файл, введя CTRL+O, а затем CTRL+X. После этого необходимо, чтобы SSH-сервис перечитал новые параметры. Сделать это можно командой:
systemctl reload ssh

Использование ключей для SSH-аутентификации

Использование ключей для SSH-аутентификации является важным аспектом обеспечения безопасности при удалённом доступе к серверам. SSH позволяет пользователям безопасно подключаться к системам через незащищённые сети. Вместо традиционного метода аутентификации с паролем, который подвержен атакам, использование ключей SSH обеспечивает более высокий уровень защиты. Ключи состоят из двух частей: закрытого и открытого. Закрытый ключ хранится на локальном устройстве, а открытый ключ загружается на сервер. При подключении происходит проверка: сервер шифрует сообщение с помощью открытого ключа, и только владелец закрытого ключа может его расшифровать, что подтверждает его личность. Создание ключей SSH проще, чем кажется: с помощью команды ssh-keygen можно быстро сгенерировать пару ключей. Важно также настроить файл конфигурации SSH для повышения безопасности, отключив аутентификацию по паролю и разрешив доступ только с помощью ключей. Такой подход не только защищает ваши данные, но и упрощает процесс входа на серверы, что особенно полезно для администраторов и разработчиков. Внедрение SSH-аутентификации с ключами — это шаг к более безопасному и эффективному управлению системами.

Рекомендуем использовать создавать более длинные ключи:
ssh-keygen -b 4096Минимальный размер RSA ключа - 1024 бита, по умолчанию - 3072 бита.

По-умолчанию создается тип ключа RSA, но можно задать и другой тип, например ecdsa:
ssh-keygen -t ecdsaНо рекомендуем использовать именно RSA ключи.

Утилита ssh-keygen сохраняен ключи в директорию ~/.ssh. Проверьте, имеется ли в ней только что созданная пара ключей:
ls -l ~/.ssh

Передача публичного ключа на сервер

Передача публичного ключа на сервер является важным этапом в обеспечении безопасности данных и установлении надежного зашифрованного соединения. Этот процесс включает в себя генерацию пары ключей, где публичный ключ используется для шифрования информации, а приватный ключ – для ее расшифровки. Важно убедиться, что публичный ключ отправляется на сервер безопасным способом, например, через защищенные каналы или с использованием цифровых сертификатов, которые подтверждают подлинность ключа. После успешной передачи ключа сервер проверяет его целостность и корректность, что позволяет установить шифрованное соединение между клиентом и сервером. В результате, все данные, передаваемые через это соединение, защищены от несанкционированного доступа. Осуществляя передачу публичного ключа, вы существенно повышаете уровень безопасности вашего сервиса и защищаете конфиденциальную информацию пользователей. Использование современных методов шифрования и регулярное обновление ключей помогут вам поддерживать высокий уровень защиты и доверия со стороны клиентов.

Для передачи ключа на сервер требуется лишь одна команда:
ssh-copy-id username@hostnameПри открытии сеанса SSH потребуется ввести пароль пользователя.

Если на клиенте несколько SSH-ключей, нужно указать какой именно нужно передать:
ssh-copy-id -i ~/.ssh/id_rsa.pub username@hostnameгде ~/.ssh/id_rsa.pub путь к публичному сертификату. Допускается также и следующий формат команды:
ssh-copy-id -i ~/.ssh/id_rsa username@hostnameНе стоит бояться, что будет передан приватный ключ. Этого не произойдет, команда автоматически допишет .pub к имени файла.

Отключение аутентификации по паролю

Отключение аутентификации по паролю становится все более актуальной темой в мире кибербезопасности. Многие начинают осознавать, что традиционные пароли могут быть уязвимы для хакеров и фишинговых атак. Отключив аутентификацию по паролю, вы снижаете риск несанкционированного доступа к вашим аккаунтам.

Предупреждение: убедитесь, что публичный ключ установлен на сервере и аутентификация проходит без ошибок. Иначе можно заблокировать доступ к серверу.

Для отключения нам понадобится открыть конфигурационный файл:
nano /etc/ssh/sshd_config
Далее нужно задать значение PasswordAuthentication в no. Также стоит проверить следующие параметры и их значения:

• PubkeyAuthentication yes - включает аутентификацию с публичным ключем;
• ChallengeResponseAuthentication no (или более новое значение KbdInteractiveAuthentication no) - указывает, следует ли использовать клавиатурно-интерактивную аутентификацию.

После чего повторно следует выполнить релоад сервиса SSH.

Другие опции при подключении по SSH

При подключении к удаленным серверам по SSH стоит обратить внимание и на возможность создания конфигурационного файла ~/.ssh/config, который позволяет задать параметры подключения для различных хостов, такие как пользователь, порт и путь к ключу. Это особенно полезно, если вы работаете с несколькими серверами. А для мониторинга соединений и отладки проблем можно использовать такие инструменты, как ssh -v, чтобы получить детальную информацию о процессе подключения. Эти опции делают работу с SSH более эффективной и безопасной, что особенно важно для системных администраторов и разработчиков. Еще несколько примеров ниже.

Для подключения к порту, отличному от 22-го, используем параметр -p:
ssh -p12345 username@hostname
Чтобы выполнить команду на удаленном сервере в одну команду с открытием сеанса можно просто прописать:
ssh username@hostname commandгде command удаленная команда на сервере.