it:server:ssh

SSH

SSH tunel

Skrz tento příkaz vytvořím SSH tunel na připojovaný server. Pokud tedy ve svém prohlížeči zadám adresu: localhost:1999 je to jako bych to provedl na koncovém počítači, na kterém jsem připojený skrze ssh. Místo tedy dat ze svého počítače čerpám data ze služby ze vzdáleného počítače. 

ssh -L 19999:localhost:19999 uzivate@server

Je to užitečné zejména, kdy se chci dostat ke službám, které běží na localhost daného počítače. Protože je SSH šifrováno, tak nevadí, že služby běží skrze nešifrovaný HTTP.

Omezení přihlašování

První varianta uzamčení přihlašování je na úrovni terminálu. Příkaz 

passwd uzivatel -l

v Linuxu zamkne účet uživatele „uzivatel“ tak, že se nebude moct přihlásit.

-l znamená „lock“ tedy zamknout. Zamknutí účtu se provádí tak, že se heslo uživatele nastaví na speciální hodnotu, která se nedá zadat.

Tento příkaz mění heslo uživatele na speciální hodnotu, která se nedá zadat, což znemožní přihlášení k účtu. Uživatel bude stále existovat v systému, ale nebude se moci přihlásit.

Takto uzamčený uživatel se ale může ještě přihlásit přes SSH, pokud má nataveno přihlašování pomocí klíče. Pomocí hesla a jména se nepřihlásí.

Zamezení přihlašování heslem jenom přes SSH

Další variantou je zabránit přihlašování jménem a heslem pouze přes SSH. To lze udělat editací souboru /etc/ssh/sshd_config: 

Match User jmeno_uzivatele
PasswordAuthentication no

Poté je nutné restartovat SSH server.

Přihlašování k SSH pomocí certifikátů

Přihlášení k SSH serveru bez hesla pomocí SSH klíčů je pohodlný a bezpečný způsob, jak spravovat připojení. Postup je následující:

Vytvoření SSH klíče

Na lokálním počítači (klient) spustit následující příkaz pro vytvoření nového SSH klíče (pokud již SSH klíč nemáte): 

ssh-keygen -t rsa -b 4096

Tento příkaz vytvoří nový RSA klíč s délkou 4096 bitů. Během procesu budete vyzváni k zadání místa pro uložení klíče a volitelného hesla (passphrase) pro dodatečnou ochranu klíče.

Doporučuji pak zkontrolovat soukromý klíč id_rsa, zda má práva 600 - tedy jenom pro čtení a zápis vlastníka.

Kopírování Veřejného Klíče na Server

Nyní potřebujete zkopírovat váš veřejný SSH klíč (id_rsa.pub) na server, ke kterému se chcete připojovat. To lze udělat jednoduše pomocí příkazu ssh-copy-id: 

ssh-copy-id uzivatelske_jmeno@server_adresa

Nahraďte uzivatelske_jmeno vaším uživatelským jménem na serveru a server_adresa IP adresou nebo hostname serveru. Příkaz vás vyzve k zadání hesla k vašemu účtu na serveru.

  • it/server/ssh.txt
  • Poslední úprava: 2024/01/06 11:13
  • autor: Petr Nosek