SSH-overzicht – SSH-servers, clients en sleutels

Als het gaat om computergebruik op afstand, SSH is een van de meest populaire en veilige protocollen. SSH is een cryptografisch netwerkprotocol dat een veilige verbinding tot stand brengt met apparaten op afstand. Na verbinding met een apparaat op afstand kan een gebruiker commando's uitvoeren op de remote shell. SSH is het meest gebruikelijk onder netwerk- en systeembeheerders.

Deze gids in spiekbriefstijl toont een overzicht van SSH, enkele veelvoorkomende manieren om verbinding te maken met SSH en verschillende SSH-configuraties.

SSH-overzicht

SSH is een acroniem voor Secure Shell. Sommigen verwijzen naar SSH ook als Secure Socket Shell. SSH is de meest gebruikelijke manier om toegang te krijgen tot een server op afstand. Wanneer u verbinding maakt met een systeem op afstand via SSH, maakt u verbinding met een bestaand account. Eenmaal verbonden, hebt u toegang tot een shell-sessie. Alle uitgevoerde commando's worden uitgevoerd op de machine op afstand en de uitvoer wordt weergegeven op uw lokale terminal.

Een SSH-verbinding volgt een client-servermodel. Het systeem op afstand moet de SSH-daemon draaien om SSH-verbindingen op afstand te accepteren. De SSH-daemon luistert naar specifieke poorten, authenticeert verbindingsverzoeken en genereert de juiste omgeving wanneer aan de voorwaarden is voldaan.

Voor deze gids hebben we twee Ubuntu-servers geconfigureerd. De primaire server zal worden geconfigureerd om verbinding te maken met de secundaire server. De secundaire server zal worden geconfigureerd om SSH-verbindingen van de primaire server te accepteren. Deze IP-adressen van de servers zullen in de hele gids worden gebruikt:

• Primair: 31.171.250.121

• Secundair: 31.171.250.130

Om te beginnen kunt u een kijkje nemen in onze gedetailleerde gidsen over hoe u SSH gebruikt om verbinding te maken met een server op afstand in Ubuntu en hoe u uw Linux-server configureert om op SSH-sleutels gebaseerde authenticatie te gebruiken. Laten we nu beginnen!

SSH-authenticatie

Er zijn twee hoofdvormen van SSH-authenticatie. De traditionele methode is door gebruik te maken van een wachtwoord. Dit is minder veilig en wordt ten zeerste afgeraden. De tweede methode is SSH-sleutels. SSH-sleutels bieden een zeer sterke beveiliging en worden ten zeerste aanbevolen.

Hoewel wachtwoordauthenticatie eenvoudiger te begrijpen en te configureren is, is het gemakkelijk te misbruiken. Geautomatiseerde bots kunnen bijvoorbeeld brute force gebruiken om in te breken in een systeem. SSH-sleutels zijn cryptografische sleutels. Elke sleutel bestaat uit twee delen – een privésleutel en een openbare sleutel. De openbare sleutel kan zonder zorgen overal worden gedeeld. De privésleutel moet echter goed beveiligd blijven.

Om de SSH-sleutels als authenticatiemethode te gebruiken, moet op het systeem op afstand een kopie van de openbare sleutel zijn geïnstalleerd. Kopieën van de privé- en openbare sleutels moeten ook op het lokale systeem worden geïnstalleerd. Standaard staan de openbare sleutels in het volgende bestand. Elke unieke gebruiker heeft een unieke kopie van dit bestand:

Dit is hoe het authenticatieproces werkt:

• Het clientsysteem stuurt een verbindingsverzoek naar het systeem op afstand. Het stuurt ook mee welke SSH-sleutel moet worden gebruikt.

• Het systeem op afstand controleert of de openbare sleutel in authorized_keys staat.

• Als de sleutel bestaat, wordt er een willekeurige tekenreeks gegenereerd en versleuteld met de openbare sleutel. Het versleutelde bericht kan alleen worden ontsleuteld met de privésleutel.

• Na ontvangst van de tekenreeks zal de client de tekenreeks ontsleutelen.

• Door de tekenreeks en de eerder overeengekomen sessie-ID te combineren, wordt een MD5-hash gegenereerd. De client stuurt de MD5-hash naar het systeem op afstand.

• Het systeem op afstand kent de willekeurige tekenreeks en de sessie-ID. Als de MD5-hash overeenkomt, is de verbinding toegestaan.

SSH-sleutels

In deze gids zal de SSH-sleutel de primaire focus van authenticatie zijn. Dit gedeelte zal zich dus richten op het werken met SSH-sleutels.

• Een SSH-sleutelpaar genereren

Standaard is er op een Linux-systeem geen SSH-sleutel geïnstalleerd. Het systeem kan echter wel SSH-sleutels bevatten die eerder zijn gegenereerd/geïnstalleerd. Ervan uitgaande dat er geen eerdere SSH-sleutel is, moeten we een nieuw openbaar en privé SSH-sleutelpaar genereren. SSH ondersteunt vele cryptografische algoritmen voor het genereren van SSH-sleutels, bijvoorbeeld RSA, DSA, ECDSA en EdDSA. RSA is het standaard en geprefereerde algoritme.

• Een normaal RSA-sleutelpaar genereren

Om een SSH-sleutelpaar te genereren, voert u het volgende commando uit:

De prompt zal u vragen waar u het sleutelpaar wilt opslaan. Zoals vermeld, zal het een RSA-sleutelpaar zijn. Als er geen waarde wordt ingevoerd, zal SSH het opslaan op de standaardlocatie /home/demo/.ssh/id_rsa.

De volgende stap is het invoeren van een wachtwoordzin. Het wordt aanbevolen om een wachtwoordzin te gebruiken. De lengte van de wachtwoordzin is willekeurig. Het voegt een extra beveiligingslaag toe. SSH staat echter toe om sleutels te genereren zonder wachtwoordzin. Druk gewoon op Enter als u sleutels zonder wachtwoordzin wilt.

De uiteindelijke uitvoer biedt de volgende sleutelinformatie:

1. De locatie van de privésleutel ( /root/.ssh/id_rsa). Deze mag nooit worden gedeeld.

2. De locatie van de openbare sleutel ( /root/.ssh/id_rsa.pub). Deze kan veilig met iedereen worden gedeeld.

3. De vingerafdruk van de sleutel.

4. Een willekeurige afbeelding van de sleutel. Het idee is dat als er een inbreuk is op de sleutels, u dit waarschijnlijk kunt zien aan een verandering in de afbeelding van de sleutel.

• Een RSA-sleutelpaar genereren met een ander aantal bits

Standaard zijn SSH-sleutels 2048 bits. Voor de veiligheid wordt dit als voldoende beschouwd. We kunnen echter handmatig opgeven om een ander aantal bits te gebruiken. Hoe hoger de bitwaarde, hoe sterker de sleutel is.

Voer de volgende opdracht uit om een SSH-sleutelpaar van 4096 bits te genereren. De meeste servers ondersteunen 4096-bits SSH-sleutels. Als de sleutel te groot is, wordt deze mogelijk niet geaccepteerd vanwege DDoS-beveiligingsdoeleinden:

Omdat we al een sleutelpaar hadden gegenereerd, zal SSH vragen of het vorige moet worden overschreven. De rest van het proces is hetzelfde als het genereren van een normaal sleutelpaar.

• De wachtwoordzin van de privésleutel wijzigen

We kunnen de wachtwoordzin van de privésleutel wijzigen. Hiervoor moet u de huidige wachtwoordzin kennen. Voer de volgende opdracht uit om de wachtwoordzin te wijzigen:

De opdracht zal u vragen om de locatie van de privésleutel in te voeren. Druk op Enter als de sleutel op de standaardlocatie is opgeslagen. Voer de huidige wachtwoordzin in. Indien geaccepteerd, kunt u een nieuwe opgeven.

• Een SSH-sleutelvingerafdruk weergeven

Elk SSH-sleutelpaar deelt een cryptografische vingerafdruk. Deze vingerafdruk kan worden gebruikt om unieke sleutels te identificeren. Dit kan in tal van situaties nuttig zijn. Voer de volgende opdracht uit om de vingerafdruk van een SSH-sleutel te controleren:

Voer de locatie van de sleutel in. Druk op Enter als de sleutel op de standaardlocatie is opgeslagen.

De openbare sleutel kopiëren

Het SSH-sleutelpaar is klaar om externe verbindingen te beveiligen. Om ervoor te zorgen dat het externe systeem de SSH-sleutel accepteert voor authenticatie, moet het een kopie van de openbare sleutel hebben. Er zijn meerdere manieren om een kopie van de openbare sleutel naar de externe server te maken.

• ssh-copy-id gebruiken

De ssh-copy-id maakt deel uit van het OpenSSH-pakket. Het is de standaardmanier om de openbare SSH-sleutel te kopiëren. Het is eenvoudig en gemakkelijk te gebruiken. Voer de volgende opdracht uit om een kopie van de openbare sleutel over te dragen:

U hebt het wachtwoord van de externe gebruikersaccount nodig om het proces te voltooien. Als dit lukt, verschijnt er een succesbericht.

• SSH-verbinding gebruiken

Als het gebruik van het hulpprogramma ssh-copy-id niet beschikbaar is, maar de primaire server wel verbinding kan maken met de secundaire server via SSH, dan kunnen we een andere truc gebruiken om de sleutel te kopiëren. Dit gebeurt door de inhoud van de openbare sleutel via de SSH-opdracht naar de externe zijde te sluizen. Let op: als de map ~/.ssh niet bestaat op het externe systeem, werkt het mogelijk niet:

• Handmatig kopiëren

Als een externe verbinding geen optie is, is het handmatig toevoegen van de openbare sleutel aan de externe server de enige overgebleven optie. Haal eerst de inhoud van de openbare sleutel op:

Plaats de sleutel op de externe server op de juiste locatie:

SSH gebruiken

Nu de openbare sleutel is ingesteld, zijn we klaar om SSH te gebruiken om op afstand verbinding te maken.

• Verbinding maken met een extern systeem

De eerste stap is leren hoe u verbinding maakt met het externe systeem via SSH. Er wordt van uitgegaan dat zowel het lokale als het externe systeem SSH-verkeer toestaat. Typ het volgende om verbinding te maken met het externe systeem:

Gebruik in plaats daarvan de volgende structuur om verbinding te maken met een specifieke gebruiker op de externe server:

Als dit de eerste keer is dat u verbinding maakt met de server, kan SSH een waarschuwing tonen. Voer yes in om de verbinding voort te zetten. Als het externe account met een wachtwoord is beveiligd, moet u het wachtwoord invoeren. Als de SSH-sleutel met een wachtwoordzin is beveiligd, moet u ook de wachtwoordzin invoeren.

• Verbinding maken met een andere poort

Standaard draait SSH op poort 22. De SSH-client gaat uit van de standaardpoortwaarde bij het verbinding maken met het externe systeem. Als het externe systeem echter naar een andere poort luistert voor SSH-verkeer, werkt dit niet. In zo'n situatie moeten we het poortnummer handmatig opgeven. Gebruik de -p vlag:

Het handmatig opgeven van de poort is op de lange termijn contraproductief. We kunnen de standaardpoortwaarde permanent wijzigen. Open hiervoor het SSH-configuratiebestand. Als het bestand niet bestaat, maakt de volgende opdracht het aan:

Voeg vervolgens de volgende regels toe:

• Opdrachten uitvoeren op de externe server

Nu de verbinding tot stand is gebracht, wordt elke opdracht die u op de lokale terminal uitvoert, naar de externe server verzonden. Alle gegenereerde uitvoer wordt naar de lokale terminal gestuurd.

Als het om een enkele opdracht gaat, kunnen we deze uitvoeren zonder een volledige SSH-inlog uit te voeren. We kunnen de opdracht eenvoudigweg opgeven na de SSH-verbindingsinstructie:

• Een sleutel toevoegen aan een SSH-agent

Als de SSH-sleutel een wachtwoordzin heeft, moet u telkens wanneer u verbinding maakt met het externe systeem de wachtwoordzin invoeren. Dit herhaaldelijk doen is contraproductief. We kunnen een SSH-agent dit laten regelen. Dit is een klein hulpprogramma dat de privésleutel opslaat nadat u de wachtwoordzin hebt ingevoerd. De privésleutel is beschikbaar tijdens de terminal-sessie. Voer de volgende opdracht uit om de SSH-agent te starten:

Het programma draait op de achtergrond. Het enige wat u hoeft te doen is uw privésleutel aan de agent toe te voegen. Voer de volgende opdracht uit:

Voer de wachtwoordzin in om de bewerking te voltooien.

• SSH-inloggegevens doorsturen

We kunnen SSH ook zo configureren dat er zonder wachtwoord verbinding wordt gemaakt van de ene server naar de andere. Dit kan erg efficiënt zijn, vooral bij het werken met talrijke externe servers. Om dit te bereiken, moeten we de SSH-inloggegevens doorsturen. Het doorsturen van SSH-inloggegevens vereist dat de externe server is geconfigureerd om een verbinding vanaf de lokale machine/server te accepteren. Vervolgens hoeft u alleen maar verbinding te maken met de eerste server met de -A vlag. Hiermee worden uw inloggegevens doorgestuurd naar de servers voor de huidige sessie:

Externe serverconfiguraties

Deze sectie bevat enkele van de meest voorkomende configuraties aan de serverzijde om u te helpen de serverrespons en de verbindingsbeveiliging te verbeteren.

• Wachtwoordauthenticatie uitschakelen

Als de SSH-sleutels zijn geconfigureerd en de SSH-verbinding naar verwachting werkt, is het veilig om wachtwoordauthenticatie uit te schuiven. De volgende configuratie zorgt ervoor dat er niet meer om een wachtwoord wordt gevraagd wanneer een gebruiker verbinding maakt via SSH. Open op de externe server het sshd_config-bestand met root/sudo-rechten:

Zoek vervolgens naar de vermelding PasswordAuthentication. Als de regel is uitgecommentarieerd, verwijder dan het commentaarteken. Wijzig de waarde in no:

Sla het bestand op en sluit de editor. Start de SSH-service opnieuw op om de wijzigingen door te voeren:

Als het systeem CentOS/Fedora is, gebruik dan in plaats daarvan de volgende opdracht:

• De SSH-poort wijzigen

Zoals eerder vermeld, gebruikt SSH poort 22 om SSH-verkeer uit te wisselen. Volgens sommige systeembeheerders is het echter beter om een andere poort aan SSH toe te wijzen. Dit kan helpen tegen geautomatiseerde bots die de poort overspoelen. Om de poort te wijzigen waarnaar SSH luistert, opent u het sshd_config-bestand:

Zoek naar de vermelding Port. Als deze is uitgecommentarieerd, verwijder dan het commentaarteken. Wijzig vervolgens de waarde in een andere waarde. De poortwaarde is een ongetekend 16-bits geheel getal (0-65535):

Sla het bestand op en sluit de editor. Start de SSH-daemon opnieuw op om de wijziging door te voeren:

Voer op CentOS/Fedora in plaats daarvan de volgende opdracht uit:

• Gebruikersbeperking

We kunnen configureren welke gebruikersaccounts verbinding kunnen maken via SSH. Dit houdt ook het aanpassen van het sshd_config -bestand in. Open het bestand met sudo/root-rechten:

Zoek naar de vermelding AllowUsers. Voeg de toegestane gebruikers toe:

Sla het bestand op en sluit de editor. Start de SSH-daemon opnieuw op om de wijzigingen door te voeren:

Voer op CentOS/Fedora in plaats daarvan de volgende opdracht uit:

• Groepsbeperking

Net als bij gebruikersbeperking kunnen we ook bepalen welke gebruikersgroep verbinding kan maken met het systeem via SSH. Open het sshd_config -bestand:

Gebruik de vermelding AllowGroups om een specifieke gebruikersgroep toe te voegen die SSH mag gebruiken:

Sla het bestand op en sluit de editor. Start de SSH-daemon opnieuw op om de wijzigingen door te voeren:

Voer voor CentOS/Fedora in plaats daarvan de volgende opdracht uit:

Houd er rekening mee dat als er een gebruiker wordt toegevoegd aan of verwijderd uit de gebruikersgroep, de SSH-daemon opnieuw moet worden opgestart. Anders worden de groepswijzigingen niet van kracht.

• Root-login uitschakelen

Als u toegang hebt tot een gebruiker met sudo-rechten, is het aanbevolen om root-login via SSH uit te schakelen. Open het sshd_config -bestand:

Wijzig de waarde van de vermelding PermitRootLogin in no:

Sla het bestand op en sluit de editor. Start de SSH-daemon opnieuw op om de wijziging door te voeren:

Voer op CentOS/Fedora in plaats daarvan de volgende opdracht uit:

• X-applicatieschermen doorsturen

De SSH-daemon kan ook de weergave van X-applicaties doorsturen van de server naar de client. Om dit te laten werken, moet het externe systeem echter een geconfigureerd X-windows-systeem hebben. De functie moet ook worden ingeschakeld in de SSH-configuratie. Open het SSH-configuratiebestand:

Wijzig de waarde van de richtlijn X11Forwarding in yes:

Sla het bestand op en sluit de editor. Herstart de SSH-daemon om de wijziging door te voeren:

Voer op CentOS/Fedora in plaats daarvan de volgende opdracht uit:

Clientconfiguraties

Bekijk in deze sectie enkele van de veelvoorkomende configuraties op de SSH-client.

• Serverspecifieke verbindingsinformatie

Op het lokale systeem kunnen we de details van een externe verbinding definiëren. Alle informatie wordt opgeslagen in het configuratiebestand op ~/.ssh/config:

Elk extern systeemblok wordt aangeduid met het trefwoord Host, gevolgd door een alias. Alle systeemspecifieke richtlijnen komen hier te staan. Bij verbinding met het externe systeem zal SSH deze automatisch toepassen. Voor een volledige, diepgaande uitleg van de configuratie, bekijk de man-pagina:

De invoer voor een externe verbinding heeft de volgende structuur:

• Verbindingstime-out

Het kan gebeuren dat de verbinding met SSH-sessies wordt verbroken voordat u klaar bent om een actie uit te voeren. Als de client geen pakketjes naar de externe server verzendt, treedt er na verloop van tijd een time-out op. Om dergelijke situaties te voorkomen, kunnen we de lokale client zo configureren dat deze af en toe een pakketje verzendt om de verbinding actief te houden.

Open het lokale configuratiebestand:

Voeg onder de invoer voor de externe verbinding de richtlijn toe ServerAliveInterval gevolgd door het pakketinterval in seconden:

Sla het bestand op en sluit de editor.

• Hostcontrole uitschakelen

Standaard zal de SSH-client, telkens wanneer wordt geprobeerd verbinding te maken met een nieuwe server, de vingerafdruk van de externe SSH-daemon rapporteren. Dit is een handige functie om de authenticiteit van de host te verifiëren. Als een kwaadwillende partij de externe host probeert te spoofen, zal deze verschijnen als een nieuwe server.

Het uitschakelen van deze functie kan een groot beveiligingsrisico vormen. Over het algemeen wordt aanbevolen om deze optie ingeschakeld te laten. In bepaalde situaties kan het uitschakelen van hostcontrole echter handig zijn. Open het configuratiebestand:

Voeg onder de sectie voor de externe host de volgende richtlijnen toe:

De eerste richtlijn voorkomt dat nieuwe hosts automatisch worden toegevoegd aan de lijst met bekende hosts, opgeslagen in het bestand known_hosts. De tweede richtlijn is om niet te waarschuwen voor eventuele wijzigingen. Sla het bestand op en sluit de editor.

• SSH multiplexen over een enkele TCP-verbinding

Soms kan het tot stand brengen van een TCP-verbinding behoorlijk wat tijd in beslag nemen. Als het nodig is om meerdere verbindingen met dezelfde machine te maken, dan is multiplexing een geweldige functie waar u uw voordeel mee kunt doen. SSH-multiplexing maakt het mogelijk om dezelfde TCP-verbinding te gebruiken voor meerdere SSH-sessies. Dit vermindert een deel van de werklast die nodig is om nieuwe sessies tot stand te brengen. Het beperken van het aantal verbindingen kan ook helpen.

We kunnen handmatig een multiplexverbinding instellen of SSH deze laten gebruiken wanneer deze beschikbaar is. Hier configureren we SSH om de tweede route te volgen. Open het SSH-configuratiebestand:

Voeg bovenaan het bestand een wildcard-hostdefinitie toe. Dit zorgt ervoor dat de volgende set richtlijnen wordt toegepast op alle externe verbindingen. Voeg de volgende richtlijnen toe:

De eerste richtlijn vertelt SSH om automatisch multiplexing te gebruiken wanneer dit beschikbaar is. De tweede richtlijn stelt het pad naar de control socket in. Deze socket wordt gemaakt wanneer de eerste sessie tot stand wordt gebracht. Volgende sessies zullen deze socket volgen.

De laatste richtlijn vertelt SSH om de initiële masterverbinding op de achtergrond te laten draaien. Het geeft ook aan dat TCP-verbindingen automatisch één seconde na de laatste SSH-sessie worden verbroken. Maak vervolgens de map aan die we in het configuratiebestand hebben gedeclareerd:

Ten slotte zou multiplexing actief moeten zijn.

SSH escape-codes

Na het tot stand brengen van een verbinding zijn er manieren om het verbindingsgedrag te regelen met behulp van escape-codes.

• Verbindingen verbreken forceren

Zit je vast in een SSH-sessie? SSH-sessies worden over het algemeen door de server beheerd. Als de server problemen ondervindt, kan het frustrerend zijn om vast te lopen in een dode SSH-sessie. Gelukkig biedt OpenSSH handige bedieningselementen om de verbindingsstatus vanaf de clientzijde te beheren.

Druk een paar keer op Enter. Voer vervolgens de volgende opdracht in:

Hier is ~ het besturingsteken. Na het uitvoeren van deze opdracht vanaf de client, zou de verbinding onmiddellijk moeten sluiten.

• SSH-achtergrondsessie

We kunnen een SSH-sessie ook naar de achtergrond verplaatsen. Wanneer deze naar de achtergrond is verplaatst, keert u terug naar de normale shell-sessie. Zodra uw werk is voltooid, kunt u weer terugkeren naar de SSH-shell. Let op dat u een juiste time-outconfiguratie moet hebben om een time-out te voorkomen terwijl de SSH-sessie op de achtergrond actief blijft. Om een SSH-sessie naar de achtergrond te verplaatsen, voert u het besturingsteken in, gevolgd door Ctrl + Z:

Als dit uw meest recente achtergrondtaak was, kunt u deze opnieuw activeren met de volgende opdracht:

Als er meerdere achtergrondtaken zijn, kunnen we dat bepalen aan de hand van de takenlijst:

Om de doeltaak naar de voorgrond te halen, noteert u de taakwaarde uit de eerste kolom. Voer vervolgens de volgende opdracht uit:

• Port forwarding-configuratie wijzigen

Met behulp van het besturingsmechanisme kunnen we port forwarding-regels direct wijzigen. Zodra de verbinding tot stand is gebracht, kunnen we port forwarding-regels maken of afbreken. Het is een onderdeel van de SSH-opdrachtregelinterface.

Om toegang te krijgen tot de SSH-opdrachtregelinterface, voert u de volgende opdracht uit:

Om de beschikbare opties op te sommen, voert u de volgende opdracht in:

Als de uitvoer te minimaal is, probeer dan het niveau van gedetailleerdheid te verhogen met de volgende besturingsopdracht:

Voer nu de opdracht -h opnieuw uit:

As de uitvoer uitlegt, is het vrij eenvoudig om een van de port forwardings te implementeren met een eenvoudige opdracht. Een tunnel kan bijvoorbeeld ook worden vernietigd met de kill-opdracht, aangeduid met K in de opdrachtenlijst.

Laatste gedachten

Het is heel gebruikelijk om SSH tegen te komen. Daarom is het leren van SSH erg nuttig. Ons uitgebreide SSH-overzicht behandelt de belangrijkste SSH-configuraties die gebruikers moeten kennen om SSH dagelijks te gebruiken. Eenmaal onder de knie, zou u met bijna alle SSH-serverconfiguraties moeten kunnen werken.

Veel computerplezier!