Giao thức SSH hoặc Secure Shell được sử dụng để đăng nhập từ xa vào máy và chạy các lệnh trên máy từ xa. Dữ liệu được truyền bằng giao thức SSH được mã hóa bằng các thuật toán đặc biệt giúp SSH an toàn hơn Telnet. Về cơ bản, OpenSSH là một công cụ thực hiện giao thức này.
Chúng tôi sẽ bảo hiểm những gì?
Trong hướng dẫn này, chúng ta sẽ khám phá các khía cạnh khác nhau của tệp cấu hình máy chủ OpenSSH. Hãy bắt đầu ngay bây giờ.
Tệp cấu hình OpenSSH
Có một số tệp cốt lõi cho cả máy khách và máy chủ OpenSSH. Nó có hai loại tập tin cấu hình:
1. Các tệp liên quan đến phía máy khách: Một trong các tệp là ssh_config. Nó là một tập tin cấu hình toàn hệ thống. Tập tin này được đặt tại /etc/ssh/ssh_config.
Tệp khác là config là tệp cấu hình dành riêng cho người dùng có tại $HOME/.ssh/config.
Chương trình SSH trên máy chủ lấy cấu hình từ các tệp này hoặc thông qua giao diện dòng lệnh. Trong trường hợp các tệp đã đề cập trước đó, tệp cấu hình toàn hệ thống, là ssh_config, được ưu tiên hơn tệp “config” dành riêng cho người dùng.
2. sshd_config: Nó liên quan đến phía máy chủ. Máy chủ OpenSSH đọc tệp này khi nó khởi động.
khám phá sshd Tập tin cấu hình
Tệp cấu hình sshd chứa nhiều lệnh cũng có thể được tùy chỉnh. Hãy xem bố cục mặc định của tệp này:
$ con mèo / vân vân / ssh / sshd_config
# Đây là tệp cấu hình toàn hệ thống của máy chủ sshd. Nhìn thấy
# sshd_config(5) để biết thêm thông tin.
Hải cảng 222ListenAddress 0.0.0.0
Địa chỉ nghe ::
Máy chủ lưu trữ / vân vân / ssh / ssh_host_key
Máy chủKeyBits 768
Đăng nhậpGraceTime 600
ChínhTái TạoKhoảng Thời Gian 3600
Giấy phépRootĐăng nhập Vâng
Bỏ quaRhosts Vâng
Chế độ nghiêm ngặt Vâng
X11Số chuyển tiếp
AllowTcpForwarding không
cho phép TTY không
X11Hiển thịBù đắp 10
InMotd Vâng
Cố sống đi Vâng
SyslogCơ sở AUTH
Thông tin logLevel
RhostsXác thực không
RhostsRSASố xác thực
RSAXác thực Vâng
Xác thực mật khẩu Vâng
AllowEmptyPasswords không
CheckMail không
Bất kỳ dòng nào bắt đầu bằng “#” đều được coi là nhận xét. Hãy cùng khám phá một số tham số đã cho:
1. Lệnh Port chỉ định số cổng. Đây là số cổng mà trên đó sshd lắng nghe các kết nối. Giá trị mặc định cho cổng này là 22, đây là giá trị tiêu chuẩn. Tuy nhiên, trong trường hợp của chúng tôi, chúng tôi đã thay đổi nó thành 222.
Ngoài ra, chúng ta có thể chỉ định nhiều hơn một lệnh Port. Bằng cách này, chúng ta có thể sử dụng nhiều cổng để nghe trên các kết nối sshd.
2. ListenAddress chứa địa chỉ IP để nghe. Hành động mặc định là lắng nghe tất cả địa chỉ IP được liên kết với máy chủ. Cũng lưu ý rằng chỉ thị Cổng phải thành công chỉ thị ListenAddress.
3. Đường dẫn đầy đủ của tệp khóa máy chủ RSA riêng tư được chỉ định bởi chỉ thị HostKey. Trong trường hợp trước, đường dẫn là /etc/ssh/ssh_host_key .
4. Chỉ thị PermitRootLogin cho phép đăng nhập root cho sshd khi nó được đặt thành có. Điều này nên được đặt thành không trừ khi các tệp hosts.allow và hosts.deny được sử dụng để hạn chế quyền truy cập sshd.
5. Lệnh X11Forwarding cho phép chuyển tiếp Hệ thống X Window khi được đặt thành có.
6. Cơ sở Syslog nào mà sshd nên sử dụng được chỉ định bằng chỉ thị SyslogFacility. Giữ nguyên giá trị mặc định.
7. Mức ghi nhật ký cho Syslog được chỉ định bằng chỉ thị LogLevel.
thay đổi sshd Hải cảng
Theo mặc định, các sshd hoặc daemon máy chủ OpenSSH sử dụng cổng 22 của giao thức TCP. Bạn nên thay đổi số cổng này thành một số giá trị khác trong môi trường thử nghiệm. Điều này đảm bảo với chúng tôi rằng kết nối máy chủ luôn khả dụng.
Ngoài ra, nên kiểm tra cú pháp cấu hình của tệp sshd_config mới trước khi sử dụng, bất kể nó chạy trên cổng nào. Để kiểm tra cú pháp, chúng ta có thể sử dụng lệnh sau:
$ sshd -t
Cũng cần lưu ý rằng chỉ người dùng root mới có thể đọc và ghi vào tệp này. Điều này có nghĩa là nếu tệp cấu hình sshd_config được bảo mật đúng cách, thì việc chạy lệnh trước đó cần có quyền root.
Nếu không có đầu ra nào xuất hiện khi chạy lệnh xác minh cú pháp trước đó, điều đó có nghĩa là tệp vẫn ổn.
Sửa đổi tệp cấu hình mặc định và cổng
Trong một số trường hợp, chúng tôi muốn chạy một phiên bản mới của sshd trên một cổng khác. Điều này có thể là do cổng 22 đã được sử dụng hoặc có thể có một số khu vực rủi ro khi thay đổi cổng này trong môi trường sản xuất. Trong các loại tình huống như vậy, chúng tôi có thể tạo một tệp cấu hình thay thế cho máy chủ của mình.
Hãy tạo một tệp sshd_config mới dưới dạng sshd_config_new. Tệp này có thể được sử dụng cho một số tham số máy chủ khác nhau. Bây giờ, hãy chỉ định tệp này được coi là tệp cấu hình máy chủ mới trên cổng số 100:
$ sudo / sử dụng / sbin / sshd -f / vân vân / ssh / sshd_config_new -P 100
Daemon sshd hiện lắng nghe trên cổng 100. Chúng ta có thể sử dụng bất kỳ giá trị cổng nào nhưng không phải giá trị cổng đã được sử dụng.
Bây giờ, hãy kiểm tra xem cổng mới của chúng tôi có hoạt động như mong muốn không. Đối với điều này, chúng ta phải sử dụng chương trình máy khách ssh và chạy lệnh sau:
$ / sử dụng / thùng rác / ssh -P 100 < ip của máy chủ >
Tùy chọn “-p” chỉ định cổng 100 sẽ được sử dụng trên máy chủ từ xa. Trong trường hợp chúng tôi đang thử nghiệm cục bộ, chúng tôi có thể sử dụng IP máy chủ làm IP máy chủ cục bộ:
Khắc phục sự cố Cấu hình OpenSSH
Đôi khi, máy chủ của chúng tôi không hoạt động như mong muốn. Trong những trường hợp như vậy, chúng tôi có thể sử dụng cờ “-d” để khắc phục sự cố cấu hình máy chủ OpenSSH. Sử dụng cờ “-d”, máy chủ sẽ chuyển sang chế độ gỡ lỗi và chỉ xử lý một kết nối duy nhất.
Đầu ra được tạo trong chế độ gỡ lỗi là dài dòng. Chúng ta có thể sử dụng nhiều cờ “-d” hơn để nâng cao mức gỡ lỗi. Hãy chạy lệnh gỡ lỗi trên máy chủ của chúng tôi bằng tệp cấu hình mới:
$ / sử dụng / sbin / sshd -d -P 100 -f / vân vân / ssh / sshd_config_new
Đầu ra từ lệnh trước ghi vào thiết bị lỗi chuẩn thay vì sử dụng tiện ích AUTH của syslogd.
Sự kết luận
OpenSSH daemon hoặc sshd là một phần quan trọng của nhiều cơ sở hạ tầng quản trị. Như vậy, nó đòi hỏi chuyên môn để quản lý nó cho hoạt động tối ưu. Trong bài viết này, chúng ta đã tìm hiểu về tệp cấu hình máy chủ OpenSSH như sshd_config.