Linux SSH kalitini olib tashlash: barcha usullar va maslahatlar

Kirish

Linux SSH kalitini olib tashlash jarayon, ayniqsa SSH kaliti o'chirilmoqda Biz biror narsani o'zgartirmoqchi bo'lganimizda, bu juda muhim qadamdir. SSH ulanishlarimizning xavfsizligini oshirish yoki yangisini yaratish uchun SSH xavfsizlik konfiguratsiyasi Jarayonni davom ettirish uchun kalitlarni bekor qilishni xohlashimiz mumkin. Ushbu maqolada biz SSH kalitini o'chirish jarayonini amalga oshirish usullarini, uning qanday afzalliklari va kamchiliklariga ega ekanligini va mumkin bo'lgan muqobil echimlarni muhokama qilamiz. Shuningdek, biz jarayonlarni namunaviy ilovalar bilan mustahkamlaymiz va oxirgi qismda tez-tez beriladigan savollarga javob beramiz.

1. SSH kaliti nima va nima uchun olib tashlash kerak bo'lishi mumkin?

SSH (Secure Shell) uzoq serverlarga xavfsiz ulanish imkonini beruvchi protokol va asboblar to'plamidir. "Kalitga asoslangan autentifikatsiya" usuli xavfsiz va amaliy foydalanishni taklif qiladi. Linux SSH kalitini olib tashlash quyidagi hollarda talab qilinishi mumkin:

• Xavfsizlik: Agar kalitingiz sizib ketgan yoki eskirgan algoritmlar bilan yaratilgan deb xavotirda bo'lsangiz.
• Foydalanuvchi o'zgarishi: Serverni o'tkazish, jamoangizning yangi a'zosiga qo'shilish yoki loyihani tark etgan ekspertning kirishini bekor qilish kabi holatlar.
• Yangi konfiguratsiya: Yana kuchli algoritmlar (masalan, Ed25519) yoki boshqacha SSH xavfsizlik konfiguratsiyasi uchun kalitlarni qayta tiklash.

SSH kalitini olib tashlash nafaqat xavfli vaziyatlarda, balki muntazam xavfsizlik siyosatining bir qismi sifatida ham tanlanishi mumkin. Ishlatilmagan yoki keraksiz kalitlarni o'chirish potentsial kiberhujum vektorlarini kamaytiradi.

2. SSH kalitini o'chirish uchun asosiy qadamlar

SSH kaliti o'chirilmoqda yoki bekor qilish uchun odatda ikki xil nuqtaga qarash kerak:

1. Mahalliy mashinada kalitlarni o'chirish: Ko'pincha ~/.ssh/ katalogdagi maxsus (xususiy) va umumiy (ommaviy) kalitlarni olib tashlash.
2. Masofaviy serverda ro'yxatdan o'tgan kalitlarni o'chirish: Server tomonida ~/.ssh/authorized_keys Fayldagi chiziqlarni tozalash.

Ushbu ikki jarayon sinxron ravishda amalga oshirilishi kerak. Mahalliy kalitingizni o'chirib tashlagan bo'lsangiz ham, agar serverdagi ma'lumotlar saqlanib qolsa, tajovuzkor server tomonidagi kalitni qo'lga kiritsa, bu xavf tug'dirishi mumkin.

2.1 Mahalliy kalitni o'chirish

Linux yoki macOS tizimlarida, odatda, SSH kalit juftlari ~/.ssh papkada joylashgan. Misollar:

• ~/.ssh/id_rsa (Shaxsiy kalit)
• ~/.ssh/id_rsa.pub (Ochiq kalit)
• ~/.ssh/id_ed25519 (Shaxsiy kalit)
• ~/.ssh/id_ed25519.pub (Ochiq kalit)

Yo'q qilishda ehtiyot bo'lishingiz kerak. Agar nomlash maxsus nom bilan amalga oshirilsa (mycustomkey va hokazo), siz to'g'ri fayllarni aniqlashingiz kerak. Buyruqning misoli quyidagicha:

cd ~/.ssh/ rm id_rsa id_rsa.pub # yoki rm id_ed25519 id_ed25519.pub

Agar siz yangi loyihada yoki boshqa foydalanuvchi bilan ishlamoqchi bo'lsangiz, bu fayllarni o'chirib tashlang. Biroq, agar siz bitta serverda bir nechta kalitlar bilan ishlayotgan bo'lsangiz, noto'g'ri faylni o'chirishdan ehtiyot bo'lishingiz kerak.

2.2 Masofaviy serverdagi kalitni olib tashlash

Server orqali Linux SSH kalitini olib tashlash bosqichiga o'tayotganda, siz masofaviy kompyuterda ulanayotgan foydalanuvchi ~/.ssh/authorized_keys Faylda saqlangan qatorni o'chirishingiz kerak. Siz shunday amalni bajarishingiz mumkin:

# Serverga kiring. ssh [email protected] # Keyin uy katalogingizga o'ting va avtorizatsiyalangan_kalitlar faylini oching nano ~/.ssh/authorized_keys # O'chirmoqchi bo'lgan qatorni toping va uni olib tashlang.

Masalan, id_rsa.pub mazmuni bitta uzun qator sifatida avtorlangan_kalitlar da paydo bo'ladi. Ushbu qator yoki qatorlarni aniqlang va ularni butunlay o'chirib tashlang. Saqlash va chiqishda ushbu kalitning serverga kirish ruxsati bekor qilinadi.

2.3 Maxsus usul: ssh-nusxa identifikatori Bilan teskari jarayon

ssh-nusxa identifikatori, ko'pincha kalitlarni qo'shish uchun ishlatiladi. Biroq, o'rnatilgan "o'chirish" opsiyasi mavjud emas. Yana ssh-nusxa identifikatori bilan qo'shilgan kalitlar, avtorlangan_kalitlar Ushbu qatorlarni qo'lda o'chirish kerak, chunki ular fayldagi ma'lum qatorlarga mos keladi. Shunday qilib, to'g'ridan-to'g'ri ssh-copy-id -r O'xshash buyruq bilan o'chirish qo'llab-quvvatlanmaydi. Shuning uchun siz avtorlangan_kalitlarni muharrir yordamida yoki skript tayyorlash orqali tozalashingiz mumkin.

3. Linux SSH kalitlarini olib tashlashning afzalliklari va kamchiliklari

Jarayonni amalga oshirishdan oldin ijobiy va salbiy tomonlarini tortish mumkin bo'lgan muammolarni oldini olishga yordam beradi. Kalitni o'chirish jarayonining afzalliklari va kamchiliklari:

3.1 Afzalliklar

• Xavfsizlikni oshirish: Ishlatilmagan yoki buzilgan eski kalitlarni bekor qilish orqali mumkin bo'lgan hujum maydonini kamaytirasiz.
• Toza boshqaruv: Jamoa ichida ketgan odamlarning kirishini osongina to'xtatishingiz mumkin. Bu boshqarish qobiliyatini oshiradi.
• Doimiy yangilash: Muntazam oʻchirish va qayta yaratish sizni doimiy ravishda zamonaviy shifrlash algoritmlaridan foydalanishingizni taʼminlaydi.

3.2 Kamchiliklari

• Kalitni noto'g'ri o'chirish: Noto'g'ri fayl yoki qatorni o'chirish tizimlarga kirish huquqini yo'qotishingizga olib kelishi mumkin.
• Vaqtinchalik kirishni yo'qotish: Ishlash vaqtida tajribasiz foydalanuvchilar qayta ulanishda qiynalishi mumkin.
• Ish haqi: Ko'p sonli serverlar yoki foydalanuvchilar uchun bu jarayonni boshqarish ko'p vaqt talab qilishi mumkin.

Shuning uchun siz kutilmagan xavflarni ham, afzalliklarni ham hisobga olishingiz va tranzaktsiyalarni rejali va ehtiyotkorlik bilan bajarishingiz kerak.

4. Muqobil yoki qo'shimcha usullar

SSH kalitlarini olib tashlashdan tashqari, boshqa yondashuvlar ham mavjud. Ushbu bo'limni ko'rib chiqish ba'zi bir stsenariylarda foydali bo'lishi mumkin:

4.1 Parollarni yangilash

Agar SSH xavfsizlik konfiguratsiyasi Agar siz shunchaki kalit parolni o'zgartirmoqchi bo'lsangiz, ssh-keygen -p Parol iborasi buyruq bilan yangilanishi mumkin. Bu kalitni to'liq o'chirmasdan xavfsizlik darajasini oshiradi.

4.2 Kalitlarni bekor qilish roʻyxati (KRL)

OpenSSH 6.2 va undan yuqori versiyalarida, Kalitni bekor qilish ro'yxati (KRL) xususiyati mavjud. Shunday qilib, serverda siz qaysi kalitlar yaroqsiz yoki qaysi sertifikatlar qabul qilinmasligi ro'yxatini saqlashingiz mumkin. ssh-keygen -k -f bekor qilingan_kalitlar KRL kabi buyruqlar bilan yaratilishi mumkin va SSH mos ravishda sozlanishi mumkin.

4.3 SSH konfiguratsiya fayli bilan bloklash

Server tomonida, /etc/ssh/sshd_config Foydalanuvchilar yoki ayrim kalit turlari ba'zi parametrlar bilan bloklanishi mumkin. Masalan PasswordAutentifikatsiya raqami Agar xohlasangiz, DMZ yoki test tizimlari uchun turli xil siyosatlar yaratish kabi sozlamalar bilan faqat kalitga asoslangan kirishga ruxsat berishingiz mumkin. Biroq, bu "kalitni o'chirish" emas, balki umumiy kirish protokolini o'zgartiradigan usul.

5. Aniq misollar va maslahatlar

Keling, amalda qanday davom etishi haqida bir nechta misollarni ko'rib chiqaylik:

1. Rivojlanish guruhi misoli: Sizda 5 kishidan iborat jamoangiz bor. Ketgan odam uchun avtorlangan_kalitlar Uning qatorini fayldan o'chirish kifoya. Bundan tashqari, u kishining mahalliy mashinasida shaxsiy kalit ham yo'q qilinishi kerak.
2. Server uzatish: Infratuzilmani o'zgartirganda, siz eski serverdagi barcha SSH kalitlarini bekor qilasiz va faqat yangi serveringizdagi joriy kalitlardan foydalanasiz. Shunday qilib, o'chirilgan tizimlarning zaif tomonlari qayta tiklanmaydi.
3. Favqulodda vaziyat stsenariysi: Agar kalit sizib ketgan yoki o'g'irlangan degan shubha mavjud bo'lsa, Linux SSH kalitini olib tashlash Buning yordamida siz ruxsatsiz kirishning oldini olishingiz mumkin. Keyin yangi kalit yaratish va qo'shish orqali tizimingizga ulanishingiz mumkin.

Ushbu misollar kalitni olib tashlash qarori turli miqyosda va vaziyatlarda qanchalik muhim bo'lishi mumkinligini ko'rsatadi.

6. Tashqi va ichki havolalar

Agar sizga SSH haqida batafsil ma'lumot kerak bo'lsa OpenSSH rasmiy sayti Barcha hujjatlarga (DoFollow) orqali kirishingiz mumkin.

Bundan tashqari, bizning saytimizda Linux Shuningdek, bizning toifamiz ostida turli xil konfiguratsiya misollarini ko'rib chiqishingiz mumkin.

7. Xulosa va xulosa

Linux SSH kalitini olib tashlashxavfsizlik va boshqarish nuqtai nazaridan ajralmas qadamlardan biridir. Xavfsizlik buzilishi, jamoaning o'zgarishi yoki oddiygina tartibni saqlash kabi sabablarga ko'ra SSH kaliti o'chirilmoqda Siz xohlaysiz. Jarayon asosan ikki bosqichdan iborat: mahalliy kalitlarni tozalash va avtorlangan_kalitlar Fayldagi tegishli qatorlarni olib tashlang.

Bu bosqichda ehtiyot bo'lish kerak, SSH xavfsizlik konfiguratsiyasi Jarayonlaringizni yozma siyosat bilan boshqarishingiz va jamoa ichida muvofiqlashtirishni ta'minlashingiz tavsiya etiladi. Zamonaviy kriptografik usullardan foydalanish, davriy tekshiruvlarni amalga oshirish va foydalanilmagan kalitlarni o'chirish kiber hujumlarga qarshi muhim qalqon yaratadi. Esingizda bo'lsin, kichik e'tiborsizlik katta ma'lumotlar buzilishiga eshikni ochishi mumkin.

Tez-tez so'raladigan savollar (FAQ)

1. Linux SSH kalitini olib tashlash uchun tizimga kirish kerakmi?

Odatda ha. SSH kaliti o'chirilmoqda Serverga kirish huquqiga ega bo'lishingiz kerak. Agar tizimga kirgan bo'lsangiz avtorlangan_kalitlar Agar mahalliy bo'lsa, faylni tahrirlashingiz mumkin ~/.ssh Siz papkangizdagi fayllarni o'chirishingiz mumkin. Biroq, jarayon davomida boshqa usul (masalan, ildiz konsoli) orqali kirish imkoniga ega bo'lsangiz, tizimga kirmasdan tahrirlashingiz mumkin.

2. SSH kalitini o'chirib tashlaganimdan keyin qayta ulanish uchun nima qilishim kerak?

Agar siz eski kalitni o'chirib tashlagan bo'lsangiz, bu kalit bilan endi ulanish mumkin bo'lmaydi. yangi SSH xavfsizlik konfiguratsiyasi Agar rejalashtirayotgan bo'lsangiz ssh-keygen va buyrug'i bilan yangi kalitlarni yaratishingiz kerak avtorlangan_kalitlar Faylga ochiq kalitni qo'shishingiz kerak.

3. Men bir xil kalitni bir nechta serverlarda ishlataman, uni hammasidan olib tashlashim kerakmi?

Agar siz kalitni butunlay o'chirib qo'ymoqchi bo'lsangiz, ha, barcha serverlarda avtorlangan_kalitlar Bundan tashqari, yozuvlarni o'chirishingiz kerak. Aks holda, turli serverlarga kirish hali ham mumkin.