Kasutage SSH-d, et turvaliselt kasutada kaugtöölaua ühendust Windowsiga

Töökeskkond

Kaugühendus Windowsiga

• Windows 11

Kaugühendus Windowsist

• Windows 10

OpenSSH

• OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2

Eeltingimused

Kaugühendus Windowsiga

• Windows 10 või uuem (nõutav on Pro või muu väljaanne). See ei kehti siiski, kui OpenSSH-d saab eraldi valmistada.
• Windows Server 2019 või uuem. See ei kehti siiski, kui OpenSSH-d saab eraldi valmistada.

Kaugühendus Windowsist

• Windows (enamik versioone on võimalikud)
• Windows Server (enamik versioone on võimalikud)

Alguses

Pärast Windowsi keskkonna loomist Internetis pilves või VPS-is kasutate Windowsi kaugsihtkoha käitamiseks sageli kaugtöölauaühendust.

Kaugtöölaua ühenduses on side sisu krüpteeritud ja kui kasutajanimi ja parool ei leki, ei logi teised ilma loata sisse. Alati on mure, et inimesed proovivad kõikjalt sisse logida.

Mõnel suuremal pilvel on tulemüürid virtuaalsetest masinatest eraldi ja ühendusallika piiramiseks on funktsioon. Need funktsioonid ei pruugi kõigis teenustes saadaval olla. Eriti madala eelarvega keskkondades on palju juhtumeid, kus sellised funktsioonid pole saadaval.

Seetõttu tahaksin seekord piirata ühenduse allikat nii palju kui võimalik, lisades SSH-funktsiooni . Kuna kasutatakse privaatvõtit ja avalikku võtit, siis seni, kuni privaatvõti ei leki, saab teisest keskkonnast kauglogimise võimalust võimalikult palju minimeerida.

Sel juhul kasutame SSH-keskkonna loomiseks OpenSSH-d .

Kaugsihtkoha Windowsi keskkonna loomine

Ehitage Windowsi keskkond, mis võimaldab teil Interneti kaudu kaugühenduse luua. Pole tähtis, kus see on ehitatud, kui see läheb üle Interneti, kuid selle kontrollimise jaoks ehitatakse see Microsoft Azure'is virtuaalse masinana. Azure'ile tuginemise sammud pole selle näpunäite puhul asjakohased, seega jätan need välja. Kuna porti 22 kasutatakse seekord, kui kasutate Azure'i, veenduge, et pordi 22 side läbib Azure'i virtuaalarvuti sätteid.

Kui loote muus keskkonnas kui Azure, veenduge, et oleksite olukorras, kus saate oma keskkonna jaoks luua kaugtöölauaühenduse Windowsiga.

Lisaks on Windowsi versioon suunatud Windows 10 või uuemale versioonile või Windows Server 2019 või uuemale, mis muudab OpenSSH keskkonna loomise lihtsaks. Seda saab rakendada varasemas keskkonnas, kuid see võtab veidi rohkem aega ja vaeva, sest peate OpenSSH eraldi alla laadima ja seadistama.

Sellisel juhul on menetlus sama, mis SFTP puhul, seega vaadake palun järgmisi näpunäiteid.

• SFTP-serveri häälestamine Windowsis OpenSSH abil

OpenSSH seadistamine

Siit edasi töötame Windowsi kaugkeskkonnas. Esmalt looge kaugtöölauaühenduse abil ühendus kaugsihtkohaga. Kui teie pilv või VPS pakub konsooli, saate seda kasutada. Kuna tegutseme seekord Windows 11 keskkonnas, võivad sammud teistes versioonides olla veidi erinevad.

Avage menüü Start ja valige Seaded.

Valige rakendus.

Valige Valikulised funktsioonid.

Valige Kuva funktsioonid.

Loendis on "OpenSSH Server" veidi madalam, nii et kontrollige seda ja klõpsake "Next".

Klõpsake nuppu Installi.

Kui installimine on lõppenud ja allolevasse loendisse lisatakse "OpenSSH Server", olete valmis.

Teenuse konfiguratsioon OpenSSH jaoks

Paremklõpsake menüüd Start ja valige Computer Management (Arvutihaldus).

Valige vasakul olevast loendist Teenused.

Leidke keskmisest loendist "OpenSSH SSH Server", paremklõpsake ja valige "Properties".

Kaugühenduse loomisel tahame, et OpenSSH-server töötaks, seega seadke "Startup type" väärtuseks "Automatic".

Kuna see hetkel ei tööta, alustan seda siin, sealhulgas seadistan selle.

Pärast käivitamist klõpsake selle sulgemiseks nuppu OK. See peaks loendis töötama.

OpenSSH seadistamine

Algses olekus on privaatvõtmega autentimine keelatud, nii et seadistage see. Avage Exploreris järgmine kaust.

• C:\ProgramData\ssh

Kuid ülaltoodud kaust võib olla peidetud kaust, nii et palun tehke see nähtavaks, seades Exploreri valikud.

Kaustas sshd_config on fail, mida nimetatakse failiks, nii et avage see tekstiredaktoriga, näiteks Notepadiga. Kuna teeme seekord muudatusi, kopeerige ja dubleerige enne muudatust varukoopiana sshd_config_old .

PubkeyAuthentication yes Otsi: See üksus on säte selle kohta, kas lubada salajase võtme autentimine. Vaikimisi on see keelatud ja see ütleb, kuid see on kommenteeritud, yes nii et eemaldage see.

Enne muudatust

#PubkeyAuthentication yes

Pärast muudatust

PubkeyAuthentication yes

PasswordAuthentication yes Otsi: See üksus on säte selle kohta, kas lubada parooliga autentimine. See on vaikimisi lubatud ja isegi kui lubate privaatvõtme autentimise, on see turvalisuse seisukohast mõttetu, kui see jääb lubatuks, nii et eemaldage see ja no seadistage .

Enne muudatust

#PasswordAuthentication yes

Pärast muudatust

PasswordAuthentication no

Kommenteerige lõppu järgmist rida: See on administraatorite rühma põhisäte ja me keelame selle, kuna toetame sel juhul kasutajapõhist sisselogimist.

Enne muudatust

Match Group administrators
       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

Pärast muudatust

#Match Group administrators
#       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

Pärast faili OpenSSH SSH Server salvestamist pärast muudatust taaskäivitage seadete kajastamiseks teenus.

Kui soovite porti muuta

Kui soovite SSH-porti muuta, muutke järgmist.

Enne muudatust

#Port 22

Pärast muudatust

#Port <任意の番号>

Pordi numbri muutmisega ei rünnata vaikeporti, mis toob kaasa suurema turvalisuse. Teisest küljest suurendab see operatsiooni keerukust, seega peate olema ettevaatlik.

Kui muudate pordi numbrit, peate ühendamisel määrama muu pordi kui 22.

Privaatsete ja avalike võtmete loomine

See on kliendipoolne ülesanne. Kuid see ei ole tegelikult oluline, kus te töötate. Kuid olge ettevaatlik, et mitte lekkida teie loodud privaatvõtit.

Kui teil on Windows 10 või uuem, Windows Server 2019 või uuem, installitakse OpenSSH klient vaikimisi, nii et saate selle hõlpsalt käsuga luua. Teistes keskkondades peate installima eraldi OpenSSH kliendi või kasutama eraldi tööriista.

Järgmised näpunäited on SFTP jaoks, kuid OpenSSH kliendi seadistamiseks vaadake neid.

• SFTP-kliendi seadistamine Windowsis OpenSSH abil

Käivitage kliendikeskkonnas käsurea, PowerShell, terminal või mõni muu tööriist, mis suudab käske täita.

Kuna loote faili, liikuge cd käsuga mis tahes kataloogi.

Käivitage järgmine käsk:

ssh-keygen -t rsa -f id_rsa

Võtmele saate määrata parooli (parooli), nii et vajadusel sisestage see. Kui määrate parooli, suureneb turvalisus, kuid see suurendab paroolifraasi hilisemas protsessis sisestamise aega ja vaeva.

Loodud on avalik võti (id_rsa.pubi) ja privaatvõti (id_rsa).

Avalik võti (id_rsa.pubi) paigutatakse kaugemasse sihtkohta hiljem. Privaatvõti võib asuda kaugkliendi mis tahes kohas, kuid see peab asuma kaustas, millele pääseb juurde ainult kontol, mida kasutatakse turvalisuse huvides. Põhimõtteliselt arvan, et pole probleemi, kui asetate selle kliendi poolel järgmisse kausta. Kui kasutate OpenSSH klienti, sirvib see vaikimisi sellesse kausta.

• C:\Users\<ユーザー名>\.ssh

Kui te ei saa ülaltoodud kausta Exploreris luua, saate selle luua järgmise käsuga.

cd C:\Users\<ユーザー名>
mkdir .ssh

Avalike võtmete paigutamine

See on kaugoperatsioon. Asetage loodud avalik võti (id_rsa.pubi) kaugemasse sihtkohta. Teisaldage see fail järgmisse kausta: <ユーザー名> on selle kasutajakonto nimi, kuhu logite sisse, kui tegelikult kaugühenduse loote.

• C:\Users\<ユーザー名>\.ssh

Kui teil pole kausta ja te ei saa kausta Exploreris luua, saate luua kausta järgmise käsuga.

cd C:\Users\<ユーザー名>
mkdir .ssh

Juurutatud avaliku võtme faili authorized_keys muutmine väärtuseks . Ongi kõik.

Sõltuvalt teie keskkonnast võib teil fail juba authorized_keys olemas olla. See võib juhtuda, kui olete seadistanud SSH-ühenduse muudel eesmärkidel. Sellisel juhul authorized_keys olete faili registreerinud, avades faili ja faili Notepadis jne ning id_rsa.pub loetledes id_rsa.pubi sisu authorized_keys järgmisele reale. Saate authorized_keys registreerida mitu avalikku võtit.

Ühendage SSH-ga

OpenSSH käsuga ühendamisel

SSH-ga ühenduse loomiseks on mitmeid viise, kuid alustame käsupõhisest ühendusest. Tegelikult on ühendus kõige vähem samme käsuga. Eeltingimusena peab teil olema installitud OpenSSH klient.

Käivitage oma valitud käsutööriist (käsuviip, PowerShell, terminal).

Sisestage järgmine käsk:

Käsu vorming

ssh -i <秘密鍵ファイルパス> -L <ローカルの空いているポート>:127.0.0.1:3389 <接続先のユーザーアカウント名>@<接続先サーバーIPアドレス、またはホスト名>

Järgnevalt selgitatakse parameetreid. Seadke see vastavalt oma keskkonnale.

Sisendi näide

ssh -i id_rsa -L 13389:127.0.0.1:3389 TestUser@52.140.221.194

Esimest korda küsitakse teilt võtit, nii et yes tippige ja vajutage Enter.

Kui teie privaatvõtmele on määratud parool, peate selle sisestama.

Järgmine on ühendatud olekus. Näete, et kuvatakse serveri poolel olev kasutaja, mitte klient. Kui see aken kuvatakse, on see ühendatud, nii et palun ärge sulgege seda. Kui sulgete selle, katkeb ühendus.

PuTTY-ga ühendamisel

Siin proovime ühendada SSH-ga tööriista nimega PuTTY.

Privaatvõtme teisendamine

Esiteks, kui kasutate PuTTY-d, peate privaatvõtme teisendama. Ma arvan, et lisatud tööriistas on "puttygen .exe", nii et palun alustage seda.

Valige menüüst "Konversioonid -> Impordi võti".

Valige loodud privaatvõti, antud juhul "id_rsa".

Kui olete parooli määranud, sisestage see.

Valige menüüst "File -> Save private key".

「. .ppk" fail.

Kui olete loonud, olete valmis.

PuTTY seadistamine

Käivitage kitt.exe.

Sisestage selle keskkonna IP-aadress, millega soovite ühenduse luua. Kui teil on domeen, saate domeeninimega ühenduse luua.

Valige vasakul asuvast menüüst Ühendus -> Andmed. Sisestage väljale Automaatse sisselogimise kasutajanimi selle keskkonna konto nimi, millega soovite ühenduse luua.

Valige vasakpoolsest menüüst ühendus -> SSH -> tunnelid. Sisestage igaüks neist allolevale sisestusväljale ja klõpsake nuppu "Lisa".

Lisades peaks see välja nägema järgmine:

Järgmisena valige vasakpoolsest menüüst "Ühendus -> SSH -> Auth -> Cledentioals" ja klõpsake nuppu Sirvi nuppu "Privaatvõtmefail autentimiseks".

Valige salvestatud privaatvõti.

Valige vasakpoolsest menüüst "Seanss", sisestage salvesta seansid jaoks oma valitud nimi ja klõpsake nuppu Salvesta. Alates järgmisest korrast on selle sätte laadimine OK.

Pärast salvestamise kinnitamist klõpsake nuppu "Ava".

Esmakordsel ühendamisel kuvatakse järgmine ekraan. Klõpsake nuppu Nõustu.

Näete ekraani, mis näeb välja nagu käsurea. Kui teil on privaatvõtme jaoks parool, sisestage see.

Kui kuvatav sisu muutub allpool näidatud viisil, ühendatakse see. Näete, et kuvatakse serveri poolel olev kasutaja, mitte klient. Kui see aken kuvatakse, on see ühendatud, nii et palun ärge sulgege seda. Kui sulgete selle, katkeb ühendus.

Looge kaugtöölaua ühendus SSH-ga

Nüüd teeme SSH-ga ühendamisel kaugtöölauaühenduse.

Ühendamisel ei ole arvuti osa tegelik kaugaadress, vaid "localhost:< > SSH-ühenduses määratud pordi nimi". Näites täpsustati 13389, nii et siin ühendame "localhost:13389".

Kui kuvatakse autentimisekraan, saate otsustada, et ühendus on lõppenud. Sisestage ühendamiseks oma kasutajanimi ja parool.

Kui saate niimoodi ühenduse luua, on teil see õnnestunud.

Keelake tulemüüri seadetes tavalised kaugtöölauaühendused

Eelmise elemendi ajal saate nüüd SSH abil kaugtöölauaga ühenduse luua. Kuid selles olekus on "Remote Desktop Connection by SSH" lisatud ainult "Tavalisele kaugtöölaua ühendusele". Turvalisuse osas ei lisa see midagi. Nii et järgmine asi, mida teha, on vältida "tavalist kaugtöölaua ühendust".

Kui teete selle sätte, ei saa te ühendust luua, välja arvatud "kaugtöölaua ühendus SSH-ga", nii et kui te segate seadetega, ei pruugi teil olla vahendeid kaugühenduse loomiseks. Seetõttu kontrollige kindlasti eelnevalt, et "kaugtöölaua ühendus SSH-ga" on võimalik, ja olge võimeline kaugkeskkonda muul viisil kasutama, isegi kui klient, kellega proovite ühendust luua, kaob.

Siin konfigureerige tulemüüri seaded jaotises "Kaugtöölaua ühendus SSH kaudu". Seda seetõttu, et kui teete toimingu "tavalise kaugtöölauaühendusega", katkestatakse see tulemüüri seadistamise hetkel.

Vaadake täiustatud turbega Windows Defenderi tulemüüri. Sõltuvalt Windowsi versioonist on ekraani asukoht erinev, seega kuvage see vastavalt sellele versioonile.

Valige vasakpoolsest menüüst Sissetulevad reeglid.

Keskmises loendis leidke "Remote Desktop - User Mode (TCP In)" ja avage selle omadused.

Valige vahekaart Ulatus, muutke kohalikuks IP-aadressiks Need IP-aadressid ja klõpsake nuppu Lisa.

Sisestage 127.0.0.1 ja klõpsake nuppu OK. See takistab kaugtöölaua ühendusi mujalt kui 127.0.0.1. 127.0.0.1 on IP-aadress, mis osutab teie masinale. Kui sisestate vale väärtuse, ei pruugi te kuskilt ühendust luua, seega olge ettevaatlik.

Kinnitamiseks klõpsake nuppu OK.

Praegu on see üksi vastumeede, kuid määrame ka "Remote Desktop - User Mode (UDP Receive)".

Veenduge, et te ei saa kaugühendust luua millegi muu kui SSH-ga

Nüüd proovige luua kaugtöölauaühendus teisest arvutist, mis ei kasuta SSH-d.

Kui saate ühenduse luua, kuvatakse autentimise ekraan. See on OK, kui saate kinnitada, et ühendust ei saa luua allpool näidatud viisil.

Kokkuvõte

Uusima Windowsiga on nüüd lihtne tutvustada SSH-serverit. Seadete lisamisega saate nüüd hõlpsalt suurendada oma kaugtöölaua ühenduse turvalisust. Kuid kuna ta vastutab ainult Windowsi enda turvameetmete eest, Kui soovite seda turvalisemaks muuta, arvan, et enne Windowsiga ühenduse loomist on soovitatav seadistada eraldi SSH-server või tulemüür.

Samuti saate SSH abil turvalisust tihedalt seadistada, kuid kui see on liiga raske, ei saa keegi operatsioonivea tõttu ühendust luua. Olge ettevaatlik, et mitte sellega lõppeda.