Tartalomjegyzék
SSH szerver
- Szerző: Sallai András
- Copyright © Sallai András, 2011, 2012, 2013, 2015, 2016, 2017, 2018, 2019
- Web: https://szit.hu
SSH kliens telepítése
apt install openssh-server
Van egy meta csomag is, a neve ssh:
apt install ssh
Ezt is használhatjuk a fenti csomagok helyett.
Beállítások
Root tiltása
Szerkesszük sshd konfigurációs állományát:
mcedit /etc/ssh/sshd_config
Keressük meg a PermitRootLogin beállítást. Alapértelmezetten „yes” értéke van. Állítsuk „no” értékre:
PermitRootLogin no
Indítsuk újra az ssh szervert:
invoke-rc.d ssh reload
Bejelentkezés előtti üzenet
Szerkesszük a következő állományt:
# nano /etc/ssh/sshd_config
Keressük meg a következőt:
#Banner /etc/issue.net
Vegyük ki a sor elején a megjegyzés, „#” karakterét.
Banner /etc/issue.net
Mentsünk.
Ellenőrizzük, a konfigurációt:
sshd -t
Indítsuk újra:
# service ssh restart
Kliensek kapcsolatainak tartása
Keressük meg a következőt megjegyzésben lévő beállítást:
ClientAliveInterval 0
Javítsuk:
ClientAliveInterval 300
Így 300 másodpercenként a kliensek kapcsolatfenntartó csomagot küldenek a szervernek.
Újraindítás előtt ellenőrizzük a konfigurációs fájlt:
sshd -t
A beállítás után indítsuk újra a szervert:
systemctl restart ssh
Az SSH démon portja
Az SSH démont célszerű a 22 helyett valami más portra beállítani. A példa kedvéért állítsuk be a 8300-s portra. Ehhez szerkesszük a sshd_config állományt.
nano /etc/ssh/sshd_config
Keressük meg a következő sort:
#Port 22
Javítsuk így:
Port 8300
Indítsuk újra az SSH szervert:
systemctl restart ssh
SFTP szerver
SFTP és SSHFS bevezetés
A példában webmestereknek szeretnénk egy könyvtárat elérhetővé tenni, hogy oda feltölthessék állományaikat, mindezt valamilyen biztonságos protokollon keresztül. Nem szeretnénk, hogy a webmester betudjon lépni linuxos felhasználóként programindítás céljából.
Szerveroldalon
Egy csoport a webmseterk számára:
addgroup webmaster
Ez lesz a gyökérkönyvtára:
mkdir -p /home/www/zoldand
A zoldand felhasználó fog feltölteni:
useradd -d / -s /bin/false zoldand usermod -a -G webmaster zoldand
A gyökérkönyvtárat nem írhatja a felhasználó, csak a chroot kedvéért csináltuk. Egy újabb könyvtárat hozunk létre számára:
mkdir -p /home/www/zoldand/zoldand chgrp webmaster /home/web/zoldand/zoldand chmod 775 /home/www/zoldand/zoldand
Az apache webszerver egy htdocs könyvtárat fog kiszolgálni:
mkdir /home/www/zoldand/zoldand/htdocs
- /etc/ssh/sshd_config
[...] Subsystem sftp /usr/lib/openssh/sftp-server [...] Match Group webmester ChrootDirectory /home/www/zoldand AllowTCPForwarding no X11Forwarding no ForceCommand internal-sftp
systemctl restart sshd