Настройка сервера OpenSSH #

Васильев Андрей Михайлович, 2025

Версии презентации

• Интерактивная презентация
• Текстовая версия
• Раздел курса

Аутентификация пользователей #

OpenSSH-сервер поддерживает множество вариантов по выполнению аутентификации:

• Аутентификация с помощью Kerberos
• Аутентификация по ключу хоста, расположенном на клиенте
• Аутентификация по нескольким текстовым факторам
• Аутентификация по паролю
• Аутентификация по ключу пользователя

Рассмотрим наиболее часто применяемые: по паролю и по ключу пользователя

Аутентификация по паролю #

• Пароль надо вводить при каждом подключении
• Проверка пароля делегирована стандартной подсистеме аутентификации, PAM, Pluggable Authentication Modules
• Возможности пользователя могут отличаться от тех, что доступны при локальном входе

Аутентификация по ключу #

• Обычно используются ключи по умолчанию, расположенные в каталоге ~/.ssh
• Пользователь при подключении может указать путь к любому ключу
• Ключ может быть защищён паролём, при его считывании будет запрошен пароль у пользователя

Создание ssh-ключей #

В протоколе SSH используется асимметричное шифрование, для которого применяется пара из:

• Публичного ключа, с помощью которого можно расшифровать данные
• Приватного ключа, с помощью которого можно зашифровать данные (или наоборот)

Для создания ключей используется приложение ssh-keygen:

ssh-keygen -t ed25519

Далее будут заданы вопросы о местоположении и пароля

• По умолчанию пара ключей создаются в каталоге ~/.ssh
• Пароль не является необходимостью, но его использование повышает безопасность

В результате работы команды будут созданы файлы:

• ~/.ssh/id_ed25519 — секретный ключ, который нельзя никому передавать
• ~/.ssh/id_ed25519.pub — публичный ключ, который передаётся на сервер

Передача ключа на сервер #

На сервере необходимо установить публичную часть ключа, чтобы выполнить аутентификацию пользователя

Это делается путём копирования содержимого публичного ключа в список авторизованных ключей. Обычно этот файл находится по пути ~/.ssh/authorized_keys

Файл можно передать путём копирования файла, использования текстового редактора и буфера обмена или с помощю приложения ssh-copy-id:

ssh-copy-id -i ~/.ssh/id_ed25519 user@192.168.122.9

Необходимо будет пройти настроенную аутентификацию (по паролю или другому ключу)

SSH-Агент #

Ключи, защищённые паролём, безопаснее, но требуют постоянного ввода пароля

Ключи можно загрузить в специальную службу ssh-agent, введя пароль от ключа, чтобы затем ssh-клиент считывал их из службы, а не с файловой системы

Для загрузки ключа в агент используется приложение ssh-add:

ssh-add [file ...]

• Можно передать список приватных файлов, которые необходимо открыть
• Если не передать список, то в агент будут добавлены все ключи из ~/.ssh

Для очистки списка открытых SSH-ключей необходимо запустить приложение с аргументом -D: ssh-add -D

Конфигурационный файл пользователя #

Если необходимо выполнять подключения к разным системам с разнородными параметрами, то их удобно единожды зафиксировать в конфигурационном файле

Рассмотрим пример файла ~/.ssh/config:

Host playground
     HostName 127.0.0.1
     Port 2022
     User user
     IdentityFile ~/.ssh/playground-key

Тогда для подключения к данному серверу достаточно будет выполнить:

ssh playground

Вместо:

ssh -i ~/.ssh/playground-key -p 2022 user@127.0.0.1

Настройка сервера OpenSSH #

Конфигурация сервера OpenSSH в ОС семейства Альт находится по пути /etc/openssh/sshd_config, а его описание находится в 5-м разделе руководства

Процесс редактирования сервера sshd надо выполнять аккуратно, т.к. некорректная конфигурация потребует наличия альтернативного способа подключения к серверу, что зачастую затруднено или дорого

Процесс редактирования:

1. Сделайте резервную копию файла конфигурации
2. Отредактируйте текущий файл конфигурации
3. Проверьте техническую корректность файла sshd -t
4. Проверьте логическую корректность файла
5. С помощью systemctl reload sshd перезагрузите конфигурационный файл

Ряд параметров сервера #

PermitRootLogin no

Запрещает аутентификацию пользователя root, рекомендуемая настройка

AllowUsers student

Разрешает доступ только пользователю student, все другие пользователи не смогут подключиться.

AllowGroups wheel ssh

Разрешает доступ только пользователей, входящих в одну из групп wheel или ssh

Использование инструмента control #

Альт предоставляет инструмент control с помощью которого можно выполнять настройку политик безопасности: разрешать или запрещать выполнять различные операции

Данный инструмент позволяет настраивать следующие политики:

• sshd-password-auth — разрешить или запретить аутентификацию по паролю
• sshd-allow-groups — включить список групп, которым разрешён доступ

Например для отключения аутентификации по паролю:

1. Нужно настроить политику: control sshd-password-auth disabled
2. Перезагрузить службу: systemctl restart sshd