====== SSH ======


===== SSH tunel =====

Skrz tento příkaz vytvořím SSH tunel na připojovaný server. Pokud tedy ve svém prohlížeči zadám adresu: **localhost:1999** je to jako bych to provedl na koncovém počítači, na kterém jsem připojený skrze ssh. Místo tedy dat ze svého počítače čerpám data ze služby ze vzdáleného počítače. 

<code bash>
ssh -L 19999:localhost:19999 uzivate@server
</code>

Je to užitečné zejména, kdy se chci dostat ke službám, které běží na localhost daného počítače. Protože je SSH šifrováno, tak nevadí, že služby běží skrze nešifrovaný HTTP. 


===== Omezení přihlašování =====

První varianta uzamčení přihlašování je na úrovni terminálu. Příkaz

<code bash>
passwd uzivatel -l
</code> 

v Linuxu zamkne účet uživatele "uzivatel" tak, že se nebude moct přihlásit.

-l znamená "lock" tedy zamknout. Zamknutí účtu se provádí tak, že se heslo uživatele nastaví na speciální hodnotu, která se nedá zadat.

Tento příkaz mění heslo uživatele na speciální hodnotu, která se nedá zadat, což znemožní přihlášení k účtu. Uživatel bude stále existovat v systému, ale nebude se moci přihlásit.

Takto uzamčený uživatel se ale může ještě přihlásit přes SSH, pokud má nataveno přihlašování pomocí klíče. Pomocí hesla a jména se nepřihlásí.


===== Zamezení přihlašování heslem jenom přes SSH =====

Další variantou je zabránit přihlašování jménem a heslem **pouze přes SSH.** To lze udělat editací souboru **/etc/ssh/sshd_config**:

<code>
Match User jmeno_uzivatele
PasswordAuthentication no
</code>

Poté je nutné restartovat SSH server.


===== Přihlašování k SSH pomocí certifikátů =====

Přihlášení k SSH serveru bez hesla pomocí SSH klíčů je pohodlný a bezpečný způsob, jak spravovat připojení. Postup je následující:

**Vytvoření SSH klíče**

Na lokálním počítači (klient) spustit následující příkaz pro vytvoření nového SSH klíče (pokud již SSH klíč nemáte):

<code bash>
ssh-keygen -t rsa -b 4096
</code>

Tento příkaz vytvoří nový RSA klíč s délkou 4096 bitů. Během procesu budete vyzváni k zadání místa pro uložení klíče a volitelného hesla (passphrase) pro dodatečnou ochranu klíče.

Doporučuji pak zkontrolovat soukromý klíč **id_rsa**, zda má práva 600 - tedy jenom pro čtení a zápis vlastníka.


**Kopírování Veřejného Klíče na Server**

Nyní potřebujete zkopírovat váš veřejný SSH klíč (**id_rsa.pub**) na server, ke kterému se chcete připojovat. To lze udělat jednoduše pomocí příkazu **ssh-copy-id**:

<code bash>
ssh-copy-id uzivatelske_jmeno@server_adresa
</code>

Nahraďte **uzivatelske_jmeno** vaším uživatelským jménem na serveru a **server_adresa** IP adresou nebo hostname serveru. Příkaz vás vyzve k zadání hesla k vašemu účtu na serveru.