Turvaline SSH / SCP -ühendus Raspberry Pi -lt pilveserverile varundamiseks ja värskendamiseks: 3 sammu

2024 Autor: John Day | [email protected]. Viimati modifitseeritud: 2024-01-30 08:48

Selle juhendi eesmärk on näidata teile, kuidas Raspberry Pi -lt automaatselt ja turvaliselt ühenduse luua pilveserveriga (ja vastupidi), et teha varundusi ja värskendusi jne. Selleks kasutate SSH -võtmepaare, mis vältige paroolide meeldejätmise vajadust ja andke teile turvalisem ühendus.

(CAVEAT - Ärge proovige seda teha, kui te pole pädev Linuxi õigusi konfigureerima, muidu muudate oma süsteemid häkkerite rünnakute suhtes haavatavamaks.)

Nõuded

1. Raspberry Pi käsurealiidesega (CLI), nagu näeksite Puttyl.

2. Juurdepääs kaugpilveserverile, mida majutab näiteks OVH või DigitalOcean ja millel on CLI.

3. Windowsi sülearvuti või arvuti, kuhu on paigaldatud Putty ja PuttyGen.

Eeldused

1. Teil on mõningaid teadmisi Linuxi käskudest

2. Kaugserverile pääsete juurde tavapäraste käsitsi toimivate protsesside abil, nt. FTP.

3. PuttyGen on teie Windowsi arvutisse eelinstallitud

Sammud

Kokkuvõttes - vt joonis 1

a) Looge oma Windows PC -s PuttyGeni abil privaatne PPK -fail

b) Looge oma Windows PC -s avalik PPK -fail, kasutades PuttyGeni (seda tehakse automaatselt punktis a)

b) Kopeerige oma Windowsiga arvutis avalik võti oma Windowsi arvutist kaugpilveserverisse

d) Teisendage oma Windows PC -s privaatne PPK -fail PuttyGeni abil OpenSSH -võtmeks

e) Kopeerige OpenSSH -võti oma Windowsi arvutist Raspberry Pi -sse

f) Kontrollige juurdepääsu ja failiedastust Raspberry Pi -lt oma kaugserverile

Samm: A) looge privaatne PPK -fail, B) looge avalik võti ja C) kopeerige see kaugserverisse

Privaatse PPK -faili loomiseks avage oma Windows PC -s PuttyGen. PuttyGenile pääsete juurde, paremklõpsates Windowsi tegumiribal kittimise ikoonil. Valige PuttyGeni menüüst klahv, seejärel genereerige võtmepaar, valige suvand SSH2 -RSA. Privaatvõtme loomisel palutakse teil määrata parool ja kui määrate parooli, küsitakse seda tulevaste toimingute ajal. Salvestage privaatvõti kusagil turvaliselt oma Windowsi arvutis. Seejärel näete aknapaanil avalikku võtit, nagu on näidatud joonisel 2.

Edasi kanname avaliku võtme kaugpilveserverisse. Avage Putty seanss kaugpilveserverisse, kasutades Putty. Oletame, et olete sisse loginud kui remoteuser1, ja tehke järgmist pilveserveri CLI -s

cd /home /remoteuser1 (kui seda juba pole) mkdir.ssh

nano.ssh/Author_keys (näete tühja ekraani - kleepige joonisel 2 näidatud avalik võti, seejärel salvestage ja sulgege see fail)

chmod 0700.ssh

chmod 0600 /home/remoteuser1/.ssh/authorized_keys

Samm 2: D) Teisendage privaatne PPK -fail OpenSSH -võtmeks ja E) Kopeerige see Raspberry Pi -sse

Privaatvõtme teisendamiseks OpenSSH -ks avage PuttyGen ja avage varem loodud privaatvõti - avage menüü suvand Konversioonid, seejärel valige Ekspordi OpenSSH -võti - veenduge, et teie loodud failil oleks failitüüp.key. Salvestage see turvaliselt kuhugi, seejärel avage pahtlisessioon, et oma Raspberry Pi -sse sisse logida. Kopeerige võtmefail selle kasutajakonto Raspberry Pi kodukataloogi, mida kasutasite Raspberry Pi -le sisselogimiseks. Ütle, et võtit nimetatakse pitobot.key, ja järgige neid samme:

cd /kodu /pi

sudo mv pitobot.key/home/pi/

sudo chmod 600 pitobot.key

Nüüd olete valmis katsetama, kas teie installimine on edukas - jällegi tehakse seda Pi -st. Pidage meeles, et remoteuser1 on konto kaugpilveserveris, mille kodukataloogi avaliku võtme salvestasite, ja ipaddress on pilveserveri ipaddress.

Esiteks Raspberry Pi kaudu logime Putty abil sisse kaugpilveserverisse. Sisestage Raspberry PI CLI -le järgmised käsud. (Kui olete privaatvõtme loomisel määranud parooli, küsitakse seda nüüd.)

sudo ssh -i /home/pi/pitobot.key remoteuser1@ipaddress

See logib teid kaugkasutaja serveri CLI -sse kaugkasutaja 1 kodukataloogis. Sisestades 'exit; naasete oma Raspberry Pi CLI -sse.

Seejärel proovige faile kaugpilveserverist Raspberry Pi -sse üle kanda. Kasutage järgmisi käske: (Jällegi, kui olete privaatvõtme loomisel määranud parooli, küsitakse teilt seda kohe.)

sudo scp -i /home/pi/pitobot.key remoteuser1@ipaddress: //var/www/html/*.*/home/pi/

See teisaldab kõik failid kaugserveri kaustast/var/www/html/Raspberry Pi kausta/home/pi/. (Koolon on väga oluline) Loomulikult saate käskude järjekorda muuta ja faile Pi -lt kaugserverisse üle kanda.

3. samm. Turvakaalutlused

Kuigi SSH võtmepaaride lähenemisviis parandab turvalisust, arvestage järgmist.

1. Kui SSH võtmepaarid on lubatud, peaksite eemaldama kasutajate võimaluse otse kaugserverisse sisse logida (saate oma serveritele juurde pääseda ka võtmepaaride Putty abil Windowsis sama võtmepaari abil, samuti võiksite kaaluda keelamist logige sisse ka oma Pi -sse). Olge ettevaatlik, kui otsustate seda teha, ja ärge kasutage suurt pauku. Selleks peate ssh konfiguratsioonifailis keelama mõned konfiguratsioonid. Olge seda tehes väga ettevaatlik. Käsud on

nano/etc/ssh/sshd_config

Ja tehke failis järgmised muudatused

Parool Autentimine nr

Kasutage PAM nr

Salvestage, väljuge ja seejärel taaskäivitage SSH, kasutades systemctl restart ssh (see on Debiani jaoks. See võib erinevates Linuxi distributsioonides olla erinev)

2) Hoidke kõik oma võtmed kaitstud, vastasel juhul riskite andmete rikkumisega või teil pole juurdepääsu oma serveritele. Soovitan hoida neid turvalises hoidlas, näiteks bitwarden.com, ja piirata sellele juurdepääsu oma juurdepääsukontrolli eeskirjade kaudu.

3) Parooli kasutamine parandab turvalisust, kuid võib muuta croni tööde automatiseerimise jms raskemaks. Otsus selle ja teiste funktsioonide kasutamise kohta tuleks otsustada riskihindamise abil, näiteks kui töötlete isikuandmeid, vajate suuremat / proportsionaalset kontrolli.