SSH je široce používaný protokol používaný většinou správci systému k bezpečnému přihlášení ke vzdáleným serverům. Umožňuje jim přístup z příkazového řádku pracovat na vzdáleném systému, jako by seděli přímo na serveru.
Zde v LinuxAPT jako součást našich služeb správy serveru pravidelně pomáháme našim zákazníkům provádět související dotazy SSH v systému Linux.
V této souvislosti se podíváme na to, jak můžete povolit SSH v systému CentOS a připojit se k němu pomocí klienta SSH. Také se dozvíte, jak nakonfigurovat SSH server.
Pokud používáte operační systém Ubuntu, můžete si snadno přečíst tento příspěvek a povolit SSH na Ubuntu.
Kroky pro povolení SSH na CentOS?
1. Nainstalujte OpenSSH Server
Chcete-li začít, budete muset nainstalovat server OpenSSH na počítač, ke kterému chcete vzdáleně přistupovat přes SSH. Pomocí níže uvedeného příkazu nainstalujte server OpenSSH na váš počítač CentOS:
$ sudo dnf install openssh-server
Pokud budete vyzváni, zadejte heslo sudo a poté uvidíte, že instalace byla zahájena. Pokud budete vyzváni k potvrzení, stiskněte y.
Nyní bude OpenSSH server nainstalován na vašem systému.
2. Spusťte SSH Daemon a ověřte stav
Nyní, když je SSH nainstalováno, můžete spustit jeho službu. Ke spuštění démona SSH použijte následující příkaz:
$ sudo systemctl start ssh
Poté k ověření, zda se spustil démon SSH, použijte příkaz níže:
$ sudo systemctl status sshd
3. Povolte SSH přes Firewall
Pokud je na vašem systému CentOS povolena brána firewall, bude blokovat příchozí provoz SSH. Chcete-li povolit příchozí provoz SSH, budete muset přidat pravidlo do brány firewall. Výchozí port používaný SSH je 22. Pravidlo by tedy mělo otevřít port 22.
Pomocí níže uvedeného příkazu povolte příchozí provoz SSH na portu 22:
$ sudo firewall-cmd --permanent --add-port=22/tcp
Tento příkaz přidá do vašeho firewallu pravidlo, které povolí provoz na portu 22. Pokud jste nakonfigurovali SSH pro jiný port než 22, ujistěte se, že tento port používáte v pravidle brány firewall.
4. Otestujte přístup SSH
Chcete-li otestovat, zda SSH funguje a můžete se k němu připojit, otevřete svůj klientský počítač. Tento počítač by měl mít klienta SSH. Pokud používáte klienta CentOS, můžete klienta SSH nainstalovat následovně:
$ sudo dnf install openssh-clients
Zde to otestujeme pomocí našeho klientského počítače Ubuntu.
Pro připojení k SSH serveru budete potřebovat IP adresu a uživatelské jméno vzdáleného systému:
$ ssh remote_username@remote_ip_address
Například v našem případě byla IP adresa vzdáleného počítače (kde je nainstalován SSH server) "192.168.72.100" a uživatelské jméno bylo "linuxapt", takže jsme spustili příkaz:
$ ssh [email protected]
Poznámka:Pokud nevíte, jak zjistit IP adresu počítače, navštivte tento příspěvek.
Po připojení k serveru SSH budete požádáni o zadání hesla. Zadejte heslo a poté budete přihlášeni ke vzdálenému systému. Nyní si také všimnete, že výzva terminálu byla změněna tak, aby odrážela uživatelské jméno vzdáleného systému a jméno systému.
Jak nakonfigurovat SSH na CentOS 8?
Konfigurační soubor SSH se nachází v /etc/ssh/sshd_config. Tento soubor obsahuje různé možnosti konfigurace, které můžete změnit podle svých potřeb. Zde se podíváme na několik běžných možností, které mohou vyžadovat úpravy, např. změna výchozího portu SSH a naslouchací adresy, deaktivace přihlášení uživatele root, konfigurace maximálního počtu relací a pokusů o heslo atd.
Chcete-li nakonfigurovat nebo změnit jakoukoli možnost, budete muset upravit soubor sshd_config:
$ sudo nano /etc/ssh/sshd_config
Pamatujte, že po změně jakýchkoli nastavení v souboru sshd_config nezapomeňte znovu načíst SSH server, aby byly změny implementovány:
$ sudo systemctl reload ssh
Jak změnit port SSH?
SSH standardně používá port 22 pro naslouchání příchozím připojením. Pokud z nějakého důvodu chcete změnit port SSH, můžete tak učinit úpravou souboru sshd_config a vyhledáním řádku, který říká:
# Port 22
Odkomentujte řádek odstraněním hash (#) a nahraďte 22 číslem portu, který chcete nastavit pro SSH.
Po dokončení uložte a zavřete soubor sshd_config.
Jak změnit adresu pro poslech?
Ve výchozím nastavení SSH naslouchá na všech lokálních rozhraních. Chcete-li nakonfigurovat SSH tak, aby naslouchalo pouze na konkrétním síťovém rozhraní, upravte soubor sshd_config:
$ sudo nano /etc/ssh/sshd_config
Vyhledejte řádek, který říká:
#ListenAddress 0.0.0.0
Odkomentujte výše uvedený řádek a nahraďte 0.0.0.0 místní adresou, na které má SSH naslouchat.
Po dokončení uložte a zavřete soubor sshd_config.
Jak zakázat přihlášení uživatele root?
Ve výchozím nastavení se uživatel root může přihlásit pomocí SSH. Toto je řízeno parametrem PermitRootLogin v souboru sshd_config, který je ve výchozím nastavení "yes", což znamená, že přihlášení root je povoleno.
Chcete-li zakázat přihlášení uživatele root, upravte soubor sshd_config:
$ sudo nano /etc/ssh/sshd_config
Hledejte řádek, který říká:
# PermitRootLogin no
Odkomentujte (pokud je zakomentován) výše uvedený řádek a nahraďte „no“ za „ano“, abyste zakázali přihlášení root pomocí SSH.
Po dokončení uložte a zavřete soubor sshd_config.
Jak změnit počet povolených relací a pokusů o ověření?
Ve výchozím nastavení je maximální povolený počet relací na síťové připojení 10. Lze jej změnit parametrem MaxSessions v souboru sshd_config. Podobně je maximální počet pokusů o ověření pro jednu relaci přihlášení 6, což lze změnit pomocí parametru MaxAuthTries.
Chcete-li změnit počet povolených relací na síťové připojení, vyhledejte řádek, který říká:
# MaxSessions 10
Odkomentujte výše uvedený řádek a nahraďte jeho hodnotu požadovanou hodnotou.
Chcete-li změnit počet povolených pokusů o ověření na relaci přihlášení, vyhledejte řádek, který říká:
# MaxAuthTries 6
Odkomentujte výše uvedený řádek a nahraďte jeho hodnotu požadovanou hodnotou.
Po dokončení uložte a zavřete soubor sshd_config.
Jak změnit dobu odkladu?
Když se připojíte k serveru SSH, máte 120 sekund (výchozí čas) na dokončení ověření pomocí uživatelského jména a hesla. Pokud se během této doby nepřihlásíte, server spojení přeruší a budete se muset přihlásit znovu. Tuto dobu můžete nastavit o něco déle, než trvá dokončení přihlášení, nebo ji nastavit nižší, abyste zabránili útokům DoS, kdy je několik relací ponecháno otevřených po dlouhou dobu.
Chcete-li tento čas změnit, vyhledejte řádek, který říká:
# LoginGraceTime 120
Odkomentujte výše uvedený řádek a nahraďte jeho hodnotu vámi požadovaným časem (v sekundách). Pokud nechcete nastavit žádný časový limit, nastavte jeho hodnotu na 0.
Po dokončení uložte a zavřete soubor sshd_config.