Mainos / Advertisement:
Ero sivun ”Ssh” versioiden välillä
Siirry navigaatioon
Siirry hakuun
(Tämä versio merkittiin käännettäväksi) |
|||
| Rivi 1: | Rivi 1: | ||
<languages/> | <languages/> | ||
<translate> | <translate> | ||
| + | <!--T:1--> | ||
SSH on käytännöllinen etähallinta palvelu linuxille. <br /> | SSH on käytännöllinen etähallinta palvelu linuxille. <br /> | ||
| + | <!--T:2--> | ||
[http://en.wikipedia.org/wiki/Secure_Shell SSH (Secure Shell)] on myös protokolla, mutta tässä artikkelissa käsitellään apt pakettia ssh. | [http://en.wikipedia.org/wiki/Secure_Shell SSH (Secure Shell)] on myös protokolla, mutta tässä artikkelissa käsitellään apt pakettia ssh. | ||
| − | == Asennus == | + | == Asennus == <!--T:3--> |
| + | <!--T:4--> | ||
Asennetaan ssh -paketti aptitude:lla. | Asennetaan ssh -paketti aptitude:lla. | ||
| − | [[aptitude]] install ssh | + | <!--T:5--> |
| + | [[aptitude]] install ssh | ||
| − | == Konfigurointi == | + | == Konfigurointi == <!--T:6--> |
| − | === /etc/ssh/sshd_config === | + | === /etc/ssh/sshd_config === <!--T:7--> |
| + | <!--T:8--> | ||
Tiedostosta löytyy ssh serverin tärkeät konfiguraatiot. | Tiedostosta löytyy ssh serverin tärkeät konfiguraatiot. | ||
| + | <!--T:9--> | ||
Muokataan sitä nano:lla | Muokataan sitä nano:lla | ||
| − | [[nano]] /etc/ssh/sshd_config | + | <!--T:10--> |
| + | [[nano]] /etc/ssh/sshd_config | ||
| + | <!--T:11--> | ||
Portti (TCP, UDP), määritetään numerolla (oletus 22). | Portti (TCP, UDP), määritetään numerolla (oletus 22). | ||
Port 22 | Port 22 | ||
| + | <!--T:12--> | ||
Kirjautumisen yhteyden aikakatkaisu, määritetään sekunteina (oletus 120). | Kirjautumisen yhteyden aikakatkaisu, määritetään sekunteina (oletus 120). | ||
LoginGraceTime 120 | LoginGraceTime 120 | ||
| + | <!--T:13--> | ||
Sallitaan tai estetään root -käyttäjän kirjautuminen ssh:lla, määritetään ''yes'' tai ''no'' (oletus ''yes''). | Sallitaan tai estetään root -käyttäjän kirjautuminen ssh:lla, määritetään ''yes'' tai ''no'' (oletus ''yes''). | ||
'''Ehdottomasti suositeltavaa estää root käyttäjän kirjautuminen SSH yhteydellä.''' | '''Ehdottomasti suositeltavaa estää root käyttäjän kirjautuminen SSH yhteydellä.''' | ||
| − | PermitRootLogin yes | + | <!--T:14--> |
| + | PermitRootLogin yes | ||
| + | <!--T:15--> | ||
Autentikoimattomien yhteyksien sallittu määrä, määritetään [vähintään]:[todennäköisyys%]:[enintään] | Autentikoimattomien yhteyksien sallittu määrä, määritetään [vähintään]:[todennäköisyys%]:[enintään] | ||
(todennäköisyys% kasvaa lineaarisesti, kun lähestytään enimmäismäärää) | (todennäköisyys% kasvaa lineaarisesti, kun lähestytään enimmäismäärää) | ||
MaxStartups 10:30:60 | MaxStartups 10:30:60 | ||
| + | <!--T:16--> | ||
Kommentoimattomana (ilman '#' edessä) tulostaa viestin käyttäjän kirjautuessa (käyttäjänimen syöttämisen jälkeen). | Kommentoimattomana (ilman '#' edessä) tulostaa viestin käyttäjän kirjautuessa (käyttäjänimen syöttämisen jälkeen). | ||
Banner /etc/issue.net | Banner /etc/issue.net | ||
| Rivi 42: | Rivi 55: | ||
nano /etc/issue.net | nano /etc/issue.net | ||
| + | <!--T:17--> | ||
Kirjautumisen jälkeen nähtävä viesti: | Kirjautumisen jälkeen nähtävä viesti: | ||
| − | [[nano]] /etc/motd | + | <!--T:18--> |
| + | [[nano]] /etc/motd | ||
| + | <!--T:19--> | ||
Oletusviesti: | Oletusviesti: | ||
| − | The programs included with the Debian GNU/Linux system are free software; | + | <!--T:20--> |
| + | The programs included with the Debian GNU/Linux system are free software; | ||
the exact distribution terms for each program are described in the | the exact distribution terms for each program are described in the | ||
individual files in /usr/share/doc/*/copyright. | individual files in /usr/share/doc/*/copyright. | ||
| Rivi 57: | Rivi 74: | ||
| + | <!--T:21--> | ||
Lopuksi otetaan muokattu konfiguraatio käyttöön käynnistämällä ssh palvelu uudestaan. | Lopuksi otetaan muokattu konfiguraatio käyttöön käynnistämällä ssh palvelu uudestaan. | ||
| − | service ssh restart | + | <!--T:22--> |
| + | service ssh restart | ||
| + | <!--T:23--> | ||
Suositus on asentaa [[Fail2ban]] SSH-palvelimelle, sillä automaattisia botteja on olemssa ja yrittää hyökätä SSH palvelimiin. | Suositus on asentaa [[Fail2ban]] SSH-palvelimelle, sillä automaattisia botteja on olemssa ja yrittää hyökätä SSH palvelimiin. | ||
| − | == Lisäasetukset == | + | == Lisäasetukset == <!--T:24--> |
| + | <!--T:25--> | ||
Salli enintään istuntoja per käyttäjä | Salli enintään istuntoja per käyttäjä | ||
| − | MaxSessions 10 | + | <!--T:26--> |
| + | MaxSessions 10 | ||
| + | <!--T:27--> | ||
Salli vain käyttäjää matti kirjautumaan SSH yhteydellä. | Salli vain käyttäjää matti kirjautumaan SSH yhteydellä. | ||
| − | AllowUsers matti | + | <!--T:28--> |
| + | AllowUsers matti | ||
| + | <!--T:29--> | ||
Sallitaan tietyn käyttäjän tai käyttäjien kirjautuminen vain tietystä LANista | Sallitaan tietyn käyttäjän tai käyttäjien kirjautuminen vain tietystä LANista | ||
| − | AllowUsers root@''88.148.222.100'' | + | <!--T:30--> |
| + | AllowUsers root@''88.148.222.100'' | ||
AllowUsers root@''example.com'' | AllowUsers root@''example.com'' | ||
AllowUsers root@''192.168.*.*'' Tässä esimerkissä kaikki osoitteesta 192.168.0.0/16 pääsee sisälle | AllowUsers root@''192.168.*.*'' Tässä esimerkissä kaikki osoitteesta 192.168.0.0/16 pääsee sisälle | ||
| + | <!--T:31--> | ||
Estä käyttäjää paavo kirjautumaan SSH yhteydellä. | Estä käyttäjää paavo kirjautumaan SSH yhteydellä. | ||
| − | DenyUsers | + | <!--T:32--> |
| + | DenyUsers | ||
| + | <!--T:33--> | ||
Salli käyttäjäryhmässä olevien käyttäjien kirjautuminen SSH yhteydellä. | Salli käyttäjäryhmässä olevien käyttäjien kirjautuminen SSH yhteydellä. | ||
| − | AllowGroups Admins | + | <!--T:34--> |
| + | AllowGroups Admins | ||
| + | <!--T:35--> | ||
Estä käyttäjäryhmässä olevia käyttäjiä kirjautumasta SSH yhteydellä. | Estä käyttäjäryhmässä olevia käyttäjiä kirjautumasta SSH yhteydellä. | ||
| − | DenyGroups | + | <!--T:36--> |
| + | DenyGroups | ||
| − | == Autentikointi avainpareilla == | + | == Autentikointi avainpareilla == <!--T:37--> |
</translate> | </translate> | ||
Versio 21. tammikuuta 2015 kello 12.05
SSH on käytännöllinen etähallinta palvelu linuxille.
SSH (Secure Shell) on myös protokolla, mutta tässä artikkelissa käsitellään apt pakettia ssh.
Sisällysluettelo
Asennus
Asennetaan ssh -paketti aptitude:lla.
aptitude install ssh
Konfigurointi
/etc/ssh/sshd_config
Tiedostosta löytyy ssh serverin tärkeät konfiguraatiot.
Muokataan sitä nano:lla
nano /etc/ssh/sshd_config
Portti (TCP, UDP), määritetään numerolla (oletus 22).
Port 22
Kirjautumisen yhteyden aikakatkaisu, määritetään sekunteina (oletus 120).
LoginGraceTime 120
Sallitaan tai estetään root -käyttäjän kirjautuminen ssh:lla, määritetään yes tai no (oletus yes). Ehdottomasti suositeltavaa estää root käyttäjän kirjautuminen SSH yhteydellä.
PermitRootLogin yes
Autentikoimattomien yhteyksien sallittu määrä, määritetään [vähintään]:[todennäköisyys%]:[enintään] (todennäköisyys% kasvaa lineaarisesti, kun lähestytään enimmäismäärää)
MaxStartups 10:30:60
Kommentoimattomana (ilman '#' edessä) tulostaa viestin käyttäjän kirjautuessa (käyttäjänimen syöttämisen jälkeen).
Banner /etc/issue.net
Viestiä voi muokata nano:lla
nano /etc/issue.net
Kirjautumisen jälkeen nähtävä viesti:
nano /etc/motd
Oletusviesti:
The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law.
Lopuksi otetaan muokattu konfiguraatio käyttöön käynnistämällä ssh palvelu uudestaan.
service ssh restart
Suositus on asentaa Fail2ban SSH-palvelimelle, sillä automaattisia botteja on olemssa ja yrittää hyökätä SSH palvelimiin.
Lisäasetukset
Salli enintään istuntoja per käyttäjä
MaxSessions 10
Salli vain käyttäjää matti kirjautumaan SSH yhteydellä.
AllowUsers matti
Sallitaan tietyn käyttäjän tai käyttäjien kirjautuminen vain tietystä LANista
AllowUsers root@88.148.222.100 AllowUsers root@example.com AllowUsers root@192.168.*.* Tässä esimerkissä kaikki osoitteesta 192.168.0.0/16 pääsee sisälle
Estä käyttäjää paavo kirjautumaan SSH yhteydellä.
DenyUsers
Salli käyttäjäryhmässä olevien käyttäjien kirjautuminen SSH yhteydellä.
AllowGroups Admins
Estä käyttäjäryhmässä olevia käyttäjiä kirjautumasta SSH yhteydellä.
DenyGroups
Autentikointi avainpareilla
Mainos / Advertisement:
