Découvrez sshd_config et allowed_keys (pour Amazon Linux 2)
Contenu
Découvrez sshd_config en modifiant les paramètres / etc / ssh / sshd_config des premiers Amazon Linux 2. Egalement autorisé_keys.
Apprenez un peu sshd_config
Paramètres susceptibles d'être utilisés pour le moment
| sens | Partie correspondante |
|---|---|
| Authentification par mot de passe | PasswordAuthentication |
| Authentification par défi-réponse | ChallengeResponseAuthentication |
| Authentification par clé publique | PubkeyAuthentication |
| connexion root | PermitRootLogin |
| Port de connexion | Port XX(Basique 22) |
| Version de la connexion SSH | Protocol |
Paramètres initiaux d'Amazon Linux 2
Réglage
#Port 22
#PubkeyAuthentication yes
# the setting of "PermitRootLogin without-password".
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
#PermitRootLogin yes
Quel genre de cadre est bon
Lorsque j'ai vérifié, les paramètres suivants sont apparus en commun.
・ Interdiction de connexion root ・ Interdiction d'authentification par mot de passe ・ Authentification par clé publique ・ Seule la connexion SSH Verison 2 est autorisée ・ Désactiver l'authentification par défi-réponse
| Valeur recommandée | Définir la valeur | Comparaison avec la valeur recommandée |
|---|---|---|
| Interdiction de connexion root | #PermitRootLogin yes | × |
| Authentification par défi-réponse | ChallengeResponseAuthentication no | 〇 |
| Autoriser l'authentification par clé publique | #PubkeyAuthentication yes | 〇 |
| Seule la connexion SSH Verison 2 est autorisée | Je n'ai pas trouvé les paramètres | ? |
| Interdiction de l'authentification par mot de passe | PasswordAuthentication no | 〇 |
Où est x? Vérifiez ce qui se passe lorsque vous essayez la connexion pour ce qui était.
Interdiction de connexion root
Les paramètres de connexion root dans / etc / ssh / sshd_config étaient:
#PermitRootLogin yes
Cependant, le site officiel indique ce qui suit. Amazon Linux 2
** Sûr par défaut ** Dans Amazon Linux 2, l'accès à distance est restreint en utilisant des paires de clés SSH et en désactivant la connexion root à distance. Amazon Linux 2 réduit également le risque de vulnérabilités de sécurité en réduisant le nombre de packages installés sur une instance, bien que cela ne soit pas obligatoire. Les mises à jour de sécurité avec une gravité «Critique» ou «Critique» sont automatiquement appliquées au premier démarrage.
Je ne suis pas sûr à moins de l'essayer, alors je vais l'essayer.
Essayez de vous connecter avec l'utilisateur ** root ** en utilisant Tera Term. ...... ....... ........ .........
Please login as the user "ec2-user" rather than the user "root".
Les gens, les gens, les gens, les gens > Nanikore <  ̄Y^Y^Y^Y^Y^Y^ ̄
En conséquence, je n'ai pas pu me connecter en tant que root officiellement, mais la sortie de l'instruction ci-dessus lors de la connexion root est Je voulais savoir où il était placé, alors je l'ai recherché et j'ai trouvé qu'il était placé ci-dessous.
/root/.ssh/authorized_keys
no-port-forwarding,no-agent-forwarding,no-X11-forwarding,command="echo 'Please login as the user \"ec2-user\" rather than the user \"root\".';echo;sleep 10" ssh-rsa <Chaîne> <Nom de la paire de clés>
Ce qui précède est l'option de authorised_keys, et il semble que vous puissiez définir divers paramètres. Je ne savais pas ça. Dans ce cas, il est répertorié avant ssh-rsa.
| option | sens |
|---|---|
| no-port-forwarding | Paramètre d'interdiction de redirection de port |
| no-agent-forwarding | Paramètre d'interdiction de transfert de l'agent d'authentification |
| no-X11-forwarding | X11(écran)Paramètre d'interdiction de transfert |
| command="command" | Définition des commandes exécutables |
Si vous supprimez l'option, vous pouvez vous connecter en tant que root ...? Donc, après avoir effectué une sauvegarde, essayez de supprimer avant ssh-rsa.
# cp -p /root/.ssh/authorized_keys /root/.ssh/authorized_keys_yyyymmdd
# ls -a /root/.ssh/
# vi /root/.ssh/authorized_keys
# cat /root/.ssh/authorized_keys
# systemctl restart sshd.service
Maintenant que les paramètres autorisés_keys ont été reflétés, essayez une nouvelle connexion SSH.
- Je ne pense pas que ce soit là, mais si quelque chose ne va pas et que vous ne pouvez pas y entrer, vous aurez des problèmes, alors gardez la connexion actuelle.
C'est fait.
Je vérifierai l'utilisateur au cas où.
# whoami
root
J'ai pu me connecter. Voyons ce qui se passe si nous changeons ** # PermitRootLogin yes ** dans sshd_config comme suit sans l'option allowed_keys. (Changer avant) #PermitRootLogin yes
(Après changement) PermitRootLogin no
Faites une sauvegarde de sshd_config et voyez si vous en avez une. Après cela, modifiez les paramètres pour refléter les paramètres.
# cp -p sshd_config sshd_config_yyyymmdd
# ls -l
# vi /etc/ssh/sshd_config
# systemctl restart sshd.service
Maintenant, essayez la connexion root avec une nouvelle connexion.
** échec de la certification. Je ne peux pas me connecter à root avec le message Veuillez réessayer **. Ainsi, par défaut, l'option allowed_keys vous empêche de vous connecter, Si vous supprimez cette option, sshd_config ne dit pas Permit root login no. J'ai trouvé que je pouvais me connecter en tant que root.
résultat
| sshd_config | authorized_keys | Disponibilité de la connexion |
|---|---|---|
| #PermitRootLogin yes | Avec options | × |
| #PermitRootLogin yes | Aucune option | 〇 |
| PermitRootLogin no | Avec options | × |
| PermitRootLogin no | Aucune option | × |
Il s'avère qu'il est préférable de définir PermitRootLogin no dans sshd_config.
Seule la connexion SSH Verison 2 est autorisée
Sélectionnez [** SSH1 **] pour la version SSH (V) dans Tera Term et cliquez sur [OK].
... .... .....
Les gens, les gens, les gens, les gens > Je ne peux pas <  ̄Y^Y^Y^Y^Y^Y^ ̄
Il n'y avait pas de paramètre de protocole dans / etc / ssh / sshd_config, mais je me suis demandé pourquoi On dit que SSH v1 a été aboli dans OpenSSH 7.4. En d'autres termes, il devient SSH v2 sans rien faire. OpenSSH 7.4/7.4p1 (2016-12-19)
- This release removes server support for the SSH v.1 protocol.
Vérifiez la version d'Amazon Linux 2.
# ssh -V
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
C'était OpenSSH 7.4p1.
résultat
Depuis que SSH v1 a été aboli d'OpenSSH_7.4, il est devenu SSH v2 sans rien faire de spécial.
la fin
Enfin, je voudrais comparer à nouveau.
| Valeur recommandée | Définir la valeur | Comparaison avec la valeur recommandée |
|---|---|---|
| Interdiction de connexion root | #PermitRootLogin yes | 〇 |
| Authentification par défi-réponse | ChallengeResponseAuthentication no | 〇 |
| Autoriser l'authentification par clé publique | #PubkeyAuthentication yes | 〇 |
| Seule la connexion SSH Verison 2 est autorisée | Je n'ai pas trouvé les paramètres | 〇 |
| Interdiction de l'authentification par mot de passe | PasswordAuthentication no | 〇 |
Il s'avère que les paramètres initiaux d'Amazon Linux 2 conviennent aux recommandations ci-dessus sans aucun paramètre. J'ai beaucoup appris parce qu'il y avait tellement de choses que je ne savais pas.
Recommended Posts