SSH Linux як налаштувати і використовувати

SSH (Secure Shell) – це криптографічний мережевий протокол, що дозволяє встановлювати захищене зєд...

SSH (Secure Shell) – це криптографічний мережевий протокол, що дозволяє встановлювати захищене зєднання між двома компютерами через незахищену мережу, таку як Інтернет. Він надає можливість безпечно виконувати команди на віддаленому сервері, передавати файли та використовувати інші мережеві сервіси. У світі Linux, SSH є незамінним інструментом для адміністрування серверів, розробки та щоденної роботи.

У цій статті ми детально розглянемо, як налаштувати SSH на вашому Linux-сервері, забезпечити його безпеку та ефективно використовувати для різних задач. Ми розглянемо базову конфігурацію, автентифікацію за допомогою ключів, захист від атак та корисні поради для продуктивної роботи.

Чому SSH такий важливий?

SSH відіграє критичну роль у сучасній IT-інфраструктурі з кількох ключових причин:

  • Безпека: SSH шифрує всі дані, що передаються між клієнтом і сервером, захищаючи їх від перехоплення та прослуховування. Це особливо важливо при роботі з конфіденційною інформацією.
  • Віддалений доступ: SSH дозволяє безпечно керувати сервером з будь-якої точки світу, де є доступ до Інтернету. Це критично для системних адміністраторів, DevOps інженерів та розробників.
  • Автоматизація: SSH можна використовувати для автоматизації рутинних завдань, таких як розгортання додатків, оновлення системи та резервне копіювання.
  • Тунелювання: SSH дозволяє створювати захищені тунелі для перенаправлення трафіку через зашифроване зєднання, обходячи обмеження мережі або забезпечуючи доступ до сервісів, які не доступні ззовні.
  • Передача файлів: Інструменти, такі як `scp` та `sftp`, використовують SSH для безпечної передачі файлів між компютерами.

Встановлення SSH-сервера

Більшість Linux-дистрибутивів постачаються з встановленим SSH-клієнтом. Однак, для того, щоб сервер приймав SSH-зєднання, необхідно встановити SSH-сервер. Залежно від дистрибутиву, команда для встановлення може відрізнятися:

  • Debian/Ubuntu: sudo apt update && sudo apt install openssh-server
  • CentOS/RHEL/Fedora: sudo yum install openssh-server або sudo dnf install openssh-server
  • Arch Linux: sudo pacman -S openssh

Після встановлення, SSH-сервер потрібно запустити та налаштувати на автоматичний запуск при завантаженні системи:

  • sudo systemctl start ssh
  • sudo systemctl enable ssh

Щоб перевірити статус SSH-сервера, виконайте команду: sudo systemctl status ssh

Базова конфігурація SSH-сервера

Конфігураційний файл SSH-сервера знаходиться за шляхом `/etc/ssh/sshd_config`. Перед внесенням будь-яких змін, рекомендується зробити резервну копію оригінального файлу: sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup

Ось декілька важливих параметрів, які варто розглянути при налаштуванні:

  • Port: Цей параметр визначає порт, на якому SSH-сервер слухає вхідні зєднання. Зміна стандартного порту 22 на інший (наприклад, випадкове число в діапазоні 1024-65535) може зменшити кількість автоматизованих спроб злому.
  • ListenAddress: Визначає IP-адресу, на якій SSH-сервер слухає зєднання. За замовчуванням, він слухає на всіх доступних інтерфейсах (0.0.0.0). Ви можете обмежити його прослуховуванням лише на певній IP-адресі.
  • PermitRootLogin: Заборона входу під користувачем root безпосередньо через SSH значно підвищує безпеку. Рекомендується встановити значення `no`.
  • PasswordAuthentication: Відключення автентифікації за паролем і використання автентифікації за допомогою ключів є набагато безпечнішим методом. Рекомендується встановити значення `no`.
  • AllowUsers/DenyUsers: Ці параметри дозволяють контролювати, яким користувачам дозволено або заборонено входити через SSH. Ви можете вказати список імен користувачів, розділених пробілами.
  • AllowGroups/DenyGroups: Аналогічно до AllowUsers/DenyUsers, ці параметри контролюють доступ за групами користувачів.
  • MaxAuthTries: Обмежує кількість невдалих спроб автентифікації перед тим, як SSH-сервер розірве зєднання. Це допомагає запобігти brute-force атакам.
  • ClientAliveInterval/ClientAliveCountMax: Ці параметри використовуються для підтримки зєднання активним. ClientAliveInterval визначає, як часто сервер надсилає запит клієнту, а ClientAliveCountMax визначає, скільки невідповідей він очікує, перш ніж розірвати зєднання.

Після внесення змін до конфігураційного файлу, необхідно перезапустити SSH-сервер, щоб зміни вступили в силу: sudo systemctl restart ssh

Автентифікація за допомогою ключів SSH

Автентифікація за допомогою ключів SSH є набагато безпечнішим способом входу на сервер, ніж автентифікація за паролем. Вона базується на використанні пари криптографічних ключів: приватного (зберігається на клієнтському компютері) та публічного (розміщується на сервері). Коли клієнт намагається підключитися до сервера, сервер перевіряє, чи приватний ключ клієнта відповідає публічному ключу, збереженому на сервері. Якщо вони збігаються, користувач отримує доступ без введення пароля.

Щоб згенерувати пару ключів SSH, використовуйте команду `ssh-keygen` на вашому клієнтському компютері:

ssh-keygen -t rsa -b 4096

Ця команда згенерує RSA-ключ довжиною 4096 біт. Вам буде запропоновано ввести імя файлу для збереження ключа (за замовчуванням `~/.ssh/id_rsa`) та парольну фразу (password). Рекомендується використовувати парольну фразу для додаткового захисту вашого приватного ключа.

Після генерації ключів, необхідно скопіювати публічний ключ на сервер. Це можна зробити декількома способами:

  1. Використання `ssh-copy-id`: Це найпростіший спосіб, якщо у вас вже є доступ до сервера за паролем.n

    ssh-copy-id user@server_ip_address

  2. Ручне копіювання: Ви можете скопіювати вміст файлу `~/.ssh/id_rsa.pub` на клієнтському компютері та додати його до файлу `~/.ssh/authorized_keys` на сервері. Якщо каталог `.ssh` або файл `authorized_keys` не існують, їх потрібно створити з відповідними правами доступу:n

    mkdir ~/.ssh

    chmod 700 ~/.ssh

    touch ~/.ssh/authorized_keys

    chmod 600 ~/.ssh/authorized_keys

Після копіювання публічного ключа на сервер, ви можете спробувати підключитися до сервера за допомогою SSH без введення пароля. Якщо все налаштовано правильно, вам буде надано доступ до сервера.

Після успішної автентифікації за допомогою ключів, рекомендується відключити автентифікацію за паролем у файлі `/etc/ssh/sshd_config`, як було описано вище.

Захист SSH від атак

SSH є популярною ціллю для атак, тому важливо вжити заходів для захисту вашого сервера. Ось декілька рекомендацій:

  • Зміна стандартного порту: Зміна порту 22 на інший зменшує кількість автоматизованих спроб злому.
  • Відключення автентифікації за паролем: Використання автентифікації за допомогою ключів робить brute-force атаки практично неможливими.
  • Використання Fail2ban: Fail2ban – це інструмент, який автоматично блокує IP-адреси, з яких надходить велика кількість невдалих спроб входу. Його можна налаштувати для моніторингу логів SSH та блокування зловмисних IP-адрес.
  • Обмеження доступу за IP-адресами: За допомогою брандмауера (наприклад, iptables або firewalld) ви можете обмежити доступ до SSH-сервера лише з певних IP-адрес або мереж.
  • Регулярне оновлення: Переконайтеся, що у вас встановлена остання версія SSH-сервера, щоб мати всі останні виправлення безпеки.
  • Використання двофакторної аутентифікації (2FA): 2FA додає додатковий рівень безпеки, вимагаючи від користувачів введення не лише пароля (або використовувати ключ), але й одноразового коду, згенерованого на їхньому мобільному пристрої.

Корисні поради та команди SSH

Ось декілька корисних порад та команд, які можуть допомогти вам у роботі з SSH:

  • SSH-тунелювання: SSH дозволяє створювати тунелі для перенаправлення трафіку через зашифроване зєднання. Це може бути корисно для доступу до сервісів, які не доступні ззовні, або для обходу обмежень мережі. Наприклад, щоб перенаправити трафік з локального порту 8080 на порт 80 на віддаленому сервері, використовуйте команду:n

    ssh -L 8080:localhost:80 user@server_ip_address

  • X11 Forwarding: SSH може перенаправляти графічний інтерфейс з віддаленого сервера на ваш локальний компютер. Це дозволяє запускати графічні програми на сервері та відображати їх на вашому робочому столі. Для цього використовуйте опцію `-X` або `-Y` при підключенні до сервера:n

    ssh -X user@server_ip_address

  • Screen/tmux: Screen та tmux – це інструменти, які дозволяють запускати сесії в терміналі, які продовжують працювати, навіть якщо ви відключитеся від сервера. Це корисно для тривалих завдань, таких як компіляція коду або запуск скриптів.
  • SCP (Secure Copy): SCP – це інструмент, який використовує SSH для безпечної передачі файлів між компютерами. Наприклад, щоб скопіювати файл `local_file.txt` з вашого локального компютера на сервер, використовуйте команду:n

    scp local_file.txt user@server_ip_address:/path/to/destination

  • SFTP (Secure FTP): SFTP – це протокол передачі файлів, який працює поверх SSH. Він надає більш інтерактивний інтерфейс, ніж SCP, і дозволяє переглядати каталоги та файли на віддаленому сервері. Ви можете використовувати SFTP через командний рядок або за допомогою графічних клієнтів, таких як FileZilla.
  • Використання конфігураційного файлу SSH (`~/.ssh/config`): Цей файл дозволяє зберігати налаштування для різних SSH-зєднань, такі як імя користувача, IP-адреса, порт, та ідентифікаційний файл. Це значно спрощує підключення до серверів, особливо якщо ви часто працюєте з багатьма серверами. Наприклад:n

    Host myserver

    HostName server_ip_address

    User myuser

    Port 2222

    IdentityFile ~/.ssh/id_rsa

    Після цього ви можете підключитися до сервера просто командою `ssh myserver`.

Висновок

SSH є потужним та необхідним інструментом для кожного, хто працює з Linux-серверами. Правильне налаштування та використання SSH може значно підвищити безпеку та продуктивність вашої роботи. У цій статті ми розглянули основні аспекти налаштування SSH, включаючи встановлення, конфігурацію, автентифікацію за допомогою ключів та захист від атак. Сподіваємося, що ця інформація буде корисною для вас у вашій щоденній роботі з Linux.