Malý levný domácí server: zálohování, aktualizace a souborové služby | Kapitola 2
Seznam kapitol
Dnes se podíváme, co se nám v našem domácím serveru nabízí za výběr zajímavých souborových služeb.
Základní standart pro dálkové ovládání systému přes terminál. Též obsahuje možnosti pro přístup k souborovému systému. Jedná se o univerzální a potřebnou službu. Protokol doporučuji instalovat již během instalace serveru. Pokud ještě není nainstalováno zajistí to příkaz pod uživatelem root. V Ubuntu povýšíme uživatele pomocí příkazu sudo su
. V Debianu slouží pro přepnutí do uživatele root příkaz su
.
apt install ssh
Máme nainstalováno a můžeme se připojit. V linuxu můžeme v terminálu ihned použít příkaz
ssh <uzivatel>@<adresa serveru>
Ve Windows můžeme použít podporu SSH v PowerShellu. V novějších sestaveních Windows 10 a všech 11 je již aktivována. Podrobnější popis jak se propojit najdete v předcházejícím článku.
Připojit se můžeme , ale co zabezpečení? Základní zabezpečení pouze heslem uživatele je vhodné maximálně pro použití ve vnitřní síti. Pokud pomocí firewallu ve vašem routeru otevřete port SSH do internetu je toto zabezpečení nedostatečné. Přístup se sice zabezpečit pomocí složitého hesla. Ovšem toto řešení není pohodlné. Naštěstí protokol SSH umožňuje na straně klienta vytvořit klíče a veřejný klíč předat serveru. Server tímto dostane na srozuměnou, že má tomuto počítači důvěřovat a může z něho právoplatného uživatele přihlásit i bez hesla. Ovšem co když je na počítači více uživatelů? Potom můžeme kombinovat klíč a heslo pomocí SSH passphrases. Více o tomto zabezpečení opět ve výše odkazovaném článku.
Nyní se podíváme na hlavní konfigurační soubor /etc/ssh/sshd-config
|
Projdeme si položky, kterým se vyplatí věnovat největší pozornost. Některé defaultní hodnoty jsou zde zakomentované. Prvním krokem při změně je tedy odmazáním znaku # položku odkomentovat. První se podíváme na určení portu na kterém SSH naslouchá. Standardně na portu 22.
#Port 22
Toto nastavení je důležité pro toho, kdo má SSH vyvedeno do vnější sítě. Pokud budeme chtít posílit zabezpečení, můžeme změnit defaultní port na kterém SSH běží. Lze zvolit jakýkoliv aktuálně nevyužívaný port nad 1023 do 65535. Nižší čísla jsou vyhrazeny pro systémové služby. I tak si ověřte, zda zvolený port není již používán. Ověření zda port není používán je možné pomocí příkazu netstat -ltnup | grep "<čislo-portu>
". Příkaz pro spojení pod jiným portem vypadá.
ssh -p <číslo portu> <uzivatel>@<adresa serveru>
Proč tohle řešit? Automatické útočné systémy hledají na serverech v internetu otevřený port 22. Potom se zkouší přihlásit a střídají hesla. I v případě použití klíče zbytečně zatěžují server.
#PermitRootLogin prohibit-password
Toto nastavení zajišťuje, že se uživatel root přihlásí akorát pomocí klíče. Přihlášení heslem nefunguje. Povolení přihlašování heslem pro tohoto uživatele doporučuji měnit pouze dočasně v případě potřeby konfigurací. Po skončení nastavování ihned vrátit do zabezpečeného stavu.
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
Zde nastavíme, zda se mohou uživatelé přihlašovat hesly. Při možnosti přihlášení z vnější sítě doporučuji zakázat a používat klíče. Na závěr nastavení ještě restartujeme službu. Provedeme pod uživatelem root.
service sshd restart
Operace se soubory přes SSH
SSH na sebe navazuje protokoly, které je možno použít pro operací se soubory. Tyto operace se dají dělat v grafickém rozhraní na vašem klientském počítači. Podrobný popis opět v tomto článku.
Potom dosáhne velmi pohodlné možnosti práce se soubory, včetně editace konfiguračních souborů v našem grafickém prostředí.