Ինչպես տեղադրել Enable OpenSSH-ը CentOS 7-ում


Եթե ցանկանում եք միացնել OpenSSH-ը CentOS 7-ում, ապա ճիշտ տեղում եք: Այս հոդվածում մենք կանդրադառնանք այն քայլերին, որոնք դուք պետք է հետևեք՝ ձեր CentOS 7 սարքում OpenSSH-ը տեղադրելու և միացնելու համար: Մենք նաև կանդրադառնանք OpenSSH-ի օգտագործման որոշ առավելություններին և ինչպես կարգավորել այն ձեր կարիքներին համապատասխան:

Ինչ է OpenSSH-ը:

OpenSSH-ը անվտանգ shell արձանագրություն է, որն օգտագործվում է ցանցի միջոցով երկու համակարգիչների միջև անվտանգ կապ հաստատելու համար: Սա Secure Shell (SSH) արձանագրության բաց կոդով տարբերակն է, որը լայնորեն օգտագործվում է սերվերներին և այլ ցանցային սարքերին անվտանգ հեռավոր մուտք ապահովելու համար:

OpenSSH-ն ապահովում է հեռավոր համակարգիչ մուտք գործելու անվտանգ միջոց՝ գաղտնագրելով բոլոր տվյալները, որոնք փոխանցվում են հաճախորդի և սերվերի միջև: Սա նշանակում է, որ հաճախորդի և սերվերի միջև բոլոր հաղորդակցությունները մասնավոր են և չեն կարող գաղտնալսվել երրորդ կողմի կողմից:

Ինչու՞ օգտագործել OpenSSH:

OpenSSH-ի օգտագործումն ունի մի քանի առավելություններ, այդ թվում՝ −

  • Անվտանգություն − OpenSSH-ն օգտագործում է գաղտնագրման ուժեղ ալգորիթմներ՝ ձեր տվյալները պաշտպանելու համար:

  • Հեռակա մուտք - OpenSSH-ը թույլ է տալիս ապահով մուտք գործել ձեր հեռավոր սերվերներ:

  • Տեղափոխելիություն - OpenSSH-ը հասանելի է օպերացիոն համակարգերի լայն տեսականիով, ինչը այն դարձնում է բազմակողմանի գործիք:

  • Նույնականացում − OpenSSH-ն ապահովում է նույնականացման բազմաթիվ մեթոդներ՝ ձեր հեռավոր սերվերների անվտանգ մուտքն ապահովելու համար:

OpenSSH-ի տեղադրում CentOS 7-ում

Նախքան մենք կարողանանք միացնել OpenSSH-ը CentOS 7-ում, մենք պետք է այն տեղադրենք: Ահա թե ինչպես −

Քայլ 1. Թարմացրեք համակարգը

Նախքան OpenSSH-ը տեղադրելը, մենք պետք է թարմացնենք մեր համակարգը՝ համոզվելու համար, որ ունենք վերջին փաթեթներն ու անվտանգության թարմացումները: Դա անելու համար բացեք տերմինալ և մուտքագրեք հետևյալ հրամանը −

sudo yum update

Այս հրամանը կթարմացնի ձեր համակարգի բոլոր փաթեթները իրենց վերջին տարբերակին:

Քայլ 2. Տեղադրեք OpenSSH

Համակարգը թարմացնելուց հետո մենք կարող ենք շարունակել OpenSSH-ի տեղադրումը: OpenSSH-ը տեղադրելու համար մուտքագրեք հետևյալ հրամանը −

sudo yum install openssh-server

Այս հրամանը կտեղադրի OpenSSH սերվերը ձեր համակարգում:

Քայլ 3. Սկսեք OpenSSH ծառայությունը

Այժմ, երբ OpenSSH-ը տեղադրված է, մենք պետք է գործարկենք OpenSSH ծառայությունը, որպեսզի այն կարողանա ընդունել մուտքային կապերը: OpenSSH ծառայությունը սկսելու համար մուտքագրեք հետևյալ հրամանը −

sudo systemctl start sshd

Այս հրամանը կսկսի OpenSSH ծառայությունը ձեր համակարգում:

Քայլ 4. Միացնել OpenSSH-ը

Վերջապես, մենք պետք է միացնենք OpenSSH-ը, որպեսզի այն ավտոմատ կերպով սկսվի ամեն անգամ, երբ մենք բեռնում ենք մեր համակարգը: Դա անելու համար մուտքագրեք հետևյալ հրամանը −

sudo systemctl enable sshd

Այս հրամանը թույլ կտա OpenSSH ծառայությունը ձեր համակարգում:

OpenSSH-ի կարգավորում

Այժմ, երբ OpenSSH-ը տեղադրվել և միացված է, մենք կարող ենք այն կարգավորել մեր կարիքներին համապատասխան: Ահա մի քանի կազմաձևման տարբերակներ, որոնք ձեզ կարող են օգտակար լինել −

Փոխելով նավահանգիստը

Լռելյայնորեն, OpenSSH-ը լսում է 22-րդ նավահանգստում: Այնուամենայնիվ, լավ գաղափար է փոխել սա այլ նավահանգիստ՝ անվտանգությունը բարձրացնելու համար: Դա անելու համար բացեք SSH կազմաձևման ֆայլը −

sudo vi /etc/ssh/sshd_config

Գտեք տողը, որն ասում է #Port 22 և փոխեք այն ձեր ուզած պորտին: Օրինակ, եթե ցանկանում եք այն փոխել 2222 պորտի, մուտքագրեք −

Port 2222

Պահպանեք ֆայլը և վերագործարկեք SSH ծառայությունը

sudo systemctl restart sshd

Անջատում է գաղտնաբառի նույնականացումը

Անվտանգությունը բարձրացնելու մեկ այլ միջոց է անջատել գաղտնաբառի նույնականացումը և դրա փոխարեն օգտագործել հանրային բանալիների նույնականացումը: Դա անելու համար բացեք SSH կազմաձևման ֆայլը −

sudo vi /etc/ssh/sshd_config

Գտեք տողը, որն ասում է #PasswordAuthentication այո և փոխեք այն «PasswordAuthentication no»: Այնուհետև գտեք տողը, որն ասում է #PubkeyAuthentication այո և հանեք այն՝ հեռացնելով #` նշանը: Պահպանեք ֆայլը և վերագործարկեք SSH ծառայությունը

sudo systemctl restart sshd

Այժմ ձեզ հարկավոր է ստեղծել SSH բանալիների զույգ և ավելացնել հանրային բանալին ձեր սերվերին: Դա կարելի է անել՝ օգտագործելով ssh-keygen հրամանը ձեր տեղական մեքենայի վրա:

SSH մուտքի թույլտվություն կամ սահմանափակում

Դուք կարող եք սահմանափակել SSH մուտքը որոշակի օգտվողների կամ IP հասցեների համար: Դա անելու համար դուք կարող եք օգտագործել AllowUsers, DenyUsers, AllowGroups և DenyGroups տարբերակները SSH կազմաձևման ֆայլում: Օրինակ, միայն jdoe անունով օգտվողին մուտք գործելու համար, կոնֆիգուրացիայի ֆայլին ավելացրեք հետևյալ տողը −

AllowUsers jdoe

Jsmith անունով օգտատիրոջ մուտքը մերժելու համար ավելացրեք հետևյալ տողը −

DenyUsers jsmith

Կարող եք նաև թույլ տալ կամ մերժել մուտքը IP հասցեների հիման վրա: Օրինակ՝ մուտքը միայն որոշակի IP հասցեից թույլատրելու համար ավելացրեք հետևյալ տողը −

Match Address 192.168.1.100
    AllowUsers jdoe

Սա թույլ կտա jdoe օգտվողին մուտք գործել սերվեր միայն 192.168.1.100 IP հասցեից:

Օգտագործեք ուժեղ գաղտնաբառեր կամ հանրային բանալիների նույնականացում

OpenSSH-ը կարգավորելիս կարևոր է օգտագործել ուժեղ գաղտնաբառեր կամ հանրային բանալիների նույնականացում՝ ձեր համակարգ չթույլատրված մուտքը կանխելու համար: Խուսափեք հեշտությամբ կռահելի գաղտնաբառեր օգտագործելուց և օգտագործեք գաղտնաբառերի կառավարիչ՝ ուժեղ գաղտնաբառեր ստեղծելու և պահելու համար:

Մուտքը սահմանափակելու համար օգտագործեք Firewall-ի կանոնները

Անվտանգության հետագա բարձրացման համար դուք կարող եք օգտագործել firewall-ի կանոնները՝ ձեր համակարգ մուտքը սահմանափակելու համար: Օրինակ, դուք կարող եք օգտագործել firewalld ծառայությունը՝ արգելափակելու մուտքային կապերը ձեր SSH պորտին բոլոր IP հասցեներից, բացառությամբ նրանց, որոնք բացահայտորեն թույլ եք տալիս:

Անջատել արմատային մուտքը

Լռելյայնորեն, OpenSSH-ը թույլ է տալիս արմատային մուտք գործել SSH-ի միջոցով: Այնուամենայնիվ, լավագույն փորձն է անջատել սա և փոխարենը օգտագործել սովորական օգտվողի հաշիվ: Արմատային մուտքն անջատելու համար բացեք SSH կազմաձևման ֆայլը և գտեք այն տողը, որն ասում է PermitRootLogin այո: Փոխեք այն PermitRootLogin ոչ, ապա վերագործարկեք SSH ծառայությունը:

Դիտեք SSH տեղեկամատյանները կասկածելի գործունեության համար

SSH մատյանների մոնիտորինգը կարող է օգնել ձեզ հայտնաբերել կասկածելի գործունեությունը և անվտանգության հնարավոր խախտումները: Դուք կարող եք օգտագործել այնպիսի գործիքներ, ինչպիսիք են journalctl-ը կամ grep-ը՝ մուտքի անհաջող փորձեր, մուտքի անսովոր ձևեր և վնասակար գործունեության այլ ցուցիչներ փնտրելու համար:

Պահպանեք OpenSSH-ը արդիական

Վերջապես, կարևոր է պահպանել OpenSSH-ի արդիականությունը անվտանգության վերջին պատչերի և թարմացումների հետ: CentOS 7-ը կանոնավոր թարմացումներ է տրամադրում yum փաթեթների կառավարչի միջոցով, այնպես որ համոզվեք, որ պարբերաբար գործարկեք sudo yum թարմացումը՝ ձեր համակարգը անվտանգ պահելու համար:

Օգտագործեք երկու գործոն նույնականացում

Երկու գործոնով իսկությունը (2FA) անվտանգության հզոր միջոց է, որն ավելացնում է պաշտպանության լրացուցիչ շերտ ձեր OpenSSH սերվերին: Եթե 2FA-ն միացված է, օգտատերերից պահանջվում է համակարգ մուտք գործելու համար գաղտնաբառից բացի տրամադրել երկրորդ գործոն, օրինակ՝ նշան կամ կենսաչափական տվյալներ: Սա շատ ավելի դժվար է դարձնում հարձակվողների համար չթույլատրված մուտքը դեպի ձեր սերվեր, նույնիսկ եթե նրանք ստացել են օգտվողի գաղտնաբառը:

Օգտագործեք SSH ստեղները անցաբառերով

Եթե դուք որոշել եք օգտագործել SSH ստեղները նույնականացման համար, լավ գաղափար է ձեր բանալին ավելացնել անցաբառը: Անցաբառը գաղտնի արտահայտություն կամ նախադասություն է, որն օգտագործվում է ձեր SSH բանալին ծածկագրելու համար: Սա ավելացնում է անվտանգության լրացուցիչ շերտ ձեր բանալին և հարձակվողների համար շատ ավելի դժվար է դարձնում ձեր բանալին օգտագործել ձեր սերվերին չարտոնված մուտք ստանալու համար:

Սահմանափակեք մուտքի անհաջող փորձերի քանակը

OpenSSH-ը հնարավորություն է տալիս սահմանափակել մուտքի անհաջող փորձերի քանակը՝ նախքան IP հասցեն արգելափակելը: Սա օգնում է կանխել բիրտ ուժի հարձակումները և հարձակվողների համար դժվարացնում է գաղտնաբառերը գուշակելը: Սա կարգավորելու համար բացեք SSH կազմաձևման ֆայլը և ավելացրեք հետևյալ տողը −

MaxAuthTries 3

Սա կսահմանափակի մուտքի անհաջող փորձերի թիվը 3-ով, նախքան IP հասցեն արգելափակելը:

Մտածեք Բաստոնի հյուրընկալող օգտագործելու մասին

Եթե դուք կառավարում եք բազմաթիվ սերվերներ, լավ գաղափար է օգտագործել բաստիոն հոսթը՝ որպես ձեր մյուս համակարգերի դարպաս: Բաստոնի հոսթը նվիրված սերվեր է, որն ապահովում է անվտանգ մուտքի կետ ձեր ցանց: Օգտագործելով բաստիոն հոսթ, դուք կարող եք սահմանափակել ձեր ցանց մուտքի կետերի քանակը և նվազեցնել չարտոնված մուտքի վտանգը:

Պարբերաբար վերանայեք մուտքի մատյանները

Վերջապես, կարևոր է պարբերաբար վերանայել ձեր մուտքի մատյանները՝ հայտնաբերելու կասկածելի գործողությունները կամ անվտանգության խախտումները: Ձեր մատյանների վերանայումը կարող է օգնել ձեզ բացահայտել գործունեության օրինաչափությունները և բացահայտել անվտանգության հնարավոր ռիսկերը: Համոզվեք, որ ձեր տեղեկամատյանները պահեք անվտանգ վայրում և սահմանափակեք մուտքը միայն լիազորված անձնակազմին:

Եզրակացություն

OpenSSH-ի միացումը CentOS 7-ում պարզ գործընթաց է: Տեղադրվելուց հետո OpenSSH-ն ապահովում է ձեր հեռավոր սերվերներին մուտք գործելու անվտանգ և բազմակողմանի միջոց: Կարգավորելով OpenSSH-ը ձեր կարիքներին համապատասխան՝ դուք կարող եք էլ ավելի բարձրացնել անվտանգությունը և ապահովել, որ ձեր սերվեր մուտք գործեն միայն լիազորված օգտվողները:

Հիշեք, որ ձեր համակարգը միշտ թարմացված պահեք անվտանգության վերջին պատչերով և հետևեք լավագույն փորձին, երբ խոսքը վերաբերում է ձեր սերվերի անվտանգությանը: