Steve Friedls เคล็ดลับเทคนิค Unixwiz ผู้ใช้หลายรายได้ติดตั้ง Secure Shell (ssh) เพื่อให้สามารถเข้าถึงระบบลีนุกซ์ได้จากระยะไกล แต่อย่าตระหนักว่าโดยการตรวจสอบรหัสผ่านพวกเขายังคงเปิดการโจมตีด้วยโหดเหี้ยมจากที่ใดก็ได้บนอินเทอร์เน็ต มีเวิร์มที่กำลังทำงานอยู่บนอินเทอร์เน็ตซึ่งทำงานได้อย่างมีประสิทธิภาพในการหาชุดค่าผสมที่ใช้งานร่วมกันที่อ่อนแอและจะไม่หยุดทำงานโดยใช้ Secure Shell เคล็ดลับเทคนิคนี้จะอธิบายวิธีใช้ PuTTY SSH ฟรีเพื่อเชื่อมต่อกับระบบ Linux ที่ใช้เซิร์ฟเวอร์ OpenSSH ขณะที่ใช้การเข้ารหัสลับคีย์สาธารณะและการสนับสนุนตัวแทน SSH ข้อมูลนี้นำไปใช้กับการติดตั้ง OpenSSH ในระบบยูนิกซ์ใด ๆ เช่น Solaris, BSD, OpenServer แต่เราต้องการกำหนดเป้าหมายนี้ไว้ในแพลตฟอร์ม Linux เมื่อมีการเรียกใช้ข้อมูลเฉพาะ การติดตั้งและ configlogin แบบง่ายๆการให้สิทธิ์สำหรับการเข้าถึงแบบไม่ต้องใช้รหัสผ่านแบบเต็มรูปแบบการเข้าถึงโดยใช้เอเจนต์จะต้องใช้ขั้นตอนมากมายดังนั้นจึงควรทำตามขั้นตอนนี้โดยการให้สิทธิ์การเข้าใช้ระบบรหัสผ่านปกติเป็นครั้งแรก ซึ่งจะช่วยให้สามารถทดสอบการติดตั้งครั้งแรกและความสามารถในการเข้าสู่ระบบก่อนที่จะเปิดใช้งานคุณลักษณะขั้นสูงเพิ่มเติม ดาวน์โหลดและติดตั้งโปรแกรมต่างจากโปรแกรม Windows ส่วนใหญ่ชุดโปรแกรม PuTTY ไม่จำเป็นต้องติดตั้ง: ไฟล์.EXE แต่ละไฟล์จะถูกทิ้งลงในไดเร็กทอรีที่เรียกใช้งานโดยตรง เราชื่นชมเศรษฐกิจและรูปแบบที่ผู้เขียน PuTTYs แสดงให้เห็น ไฟล์สามารถถูกทิ้งลงในไดเร็กทอรีใด ๆ ที่อยู่ในเส้นทางคำสั่งของผู้ใช้และปกติเราใช้ C: BIN (ดูรายการถัดไปสำหรับวิธีการกำหนดค่านี้) คุณควรดาวน์โหลดไฟล์ห้าไฟล์จากเว็บไซต์ PuTTY PuTTY. exe mdash ไคลเอ็นต์เชลล์ที่ปลอดภัย PuTTYgen. exe mdash SSH พอร์ทัลคีย์สาธารณะ Pagent. exe mdash SSH คีย์หลัก PSCP. exe mdash การรักษาความปลอดภัยการคัดลอกจากบรรทัดคำสั่ง PSFTP. exe mdash การรักษาความปลอดภัยการคัดลอกด้วยอินเทอร์เฟซ FTP เช่น Insure ไดเรกทอรีการติดตั้งอยู่ในคำสั่ง path แม้ว่าจะเป็นไปได้ที่จะเรียกใช้ PuTTY ด้วยเส้นทางแบบเต็มหรือทางลัดในทางปฏิบัติจะเป็นประโยชน์เมื่อมีพร้อมใช้งานที่ CMD prompt เพื่อเข้าถึงหรือคัดลอกไฟล์จากทุกที่ในระบบไฟล์ คลิกขวาที่ My Computer บนเดสก์ท็อปและเลือก Properties คลิกแท็บขั้นสูงที่ด้านบนจากนั้นคลิกปุ่มตัวแปรสภาพแวดล้อม กล่องโต้ตอบจะปรากฏขึ้นที่ด้านขวา มีตัวแปร PATH เสมอในส่วนตัวแปรระบบและบางครั้งในส่วนตัวแปรผู้ใช้ด้วยเช่นกัน เฉพาะผู้ดูแลระบบเท่านั้นที่สามารถเข้าถึงตัวแปรระบบดังนั้นแก้ไขหรือเพิ่มเส้นทางตามที่ต้องการ โดยปกติแล้วเราจะวางไดเร็กทอรีใหม่ที่จุดเริ่มต้นของเส้นทางและแยกออกจากส่วนที่เหลือด้วยเครื่องหมายอัฒภาค คลิกตกลงเพื่อบันทึกการเปลี่ยนแปลงทั้งหมด สร้างทางลัดบนเดสก์ท็อป PuTTY มักใช้อย่างหนักโดยพนักงานไอทีดังนั้นจึงเป็นประโยชน์ที่จะมีทางลัดบนเดสก์ท็อปเพื่อให้สามารถเข้าถึงได้ง่าย หากต้องการเพิ่มให้คลิกขวาที่เดสก์ท็อปและคลิกทางลัดใหม่ เรียกดูหรือพิมพ์ชื่อเส้นทางของไฟล์ปฏิบัติการ PuTTY ในตัวอย่างของเรา C: binputty. exe คลิกตกลงและให้ทางลัดชื่อที่สะดวก เปิดใช้ PuTTY และกำหนดค่าสำหรับระบบเป้าหมายเปิด PuTTY โดยใช้ทางลัดและจะแสดงกล่องโต้ตอบการกำหนดค่า: มีตัวเลือกมากมายที่นี่ กรอกข้อมูลในช่องต่างๆเพื่อให้สามารถเข้าถึงระบบได้โดยใช้รหัสผ่านจากนั้นกำหนดค่าสำหรับการเข้าถึงคีย์สาธารณะในภายหลัง ประเภท: ชื่อโฮสต์: dbserver Protocol: () การเชื่อมต่อ SSH ข้อมูลชื่อผู้ใช้เข้าสู่ระบบอัตโนมัติ: steve Connection โปรโตคอล SSH Preferred SSH Version: () 2 Only เมื่อป้อนการตั้งค่าแบบง่ายๆเหล่านี้จะสามารถบันทึกไว้เพื่อให้สามารถเข้าถึงได้ง่ายในครั้งต่อไป คลิกเซสชันทางด้านซ้ายจากนั้นป้อนชื่อในเซสชันที่บันทึกไว้ชื่อนี้จะเกี่ยวข้องกับเครื่องที่คุณกำลังเชื่อมต่อ คลิกบันทึกเพื่อเก็บการตั้งค่าเหล่านี้ในรีจิสทรี: เลือกชื่อเซิร์ฟเวอร์ฐานข้อมูลแล้ว เข้าสู่ระบบด้วยการตั้งค่าที่บันทึกไว้จากขั้นตอนก่อนหน้าแต่งงานแล้วจะใช้เพื่อเชื่อมต่อกับระบบเป้าหมาย เปิดใช้ PuTTY (หากยังไม่เปิด) และในเซสชันให้คลิกที่ชื่อของเซสชันที่บันทึกไว้แล้วคลิกโหลด คลิกเปิดเพื่อเปิดการเชื่อมต่อ เมื่อได้รับพร้อมท์ให้ป้อนรหัสผ่านสำหรับบัญชีของคุณในระบบระยะไกลและหากถูกต้องคุณจะได้รับเชลล์ ตอนนี้คุณอาจเริ่มทำงานในระบบ อย่างไรก็ตาม - ทุกครั้งที่ PuTTY เชื่อมต่อกับเซิร์ฟเวอร์จะแลกเปลี่ยนข้อมูลประจำตัวในรูปแบบของคีย์โฮสต์ ถ้าคีย์โฮสต์ไม่เป็นที่รู้จักหรือไม่ตรงกับสิ่งที่เราเคยเห็นมาก่อนหน้านี้จะเตือนผู้ใช้ สำหรับโฮสต์ที่ไม่รู้จักการดำเนินการนี้ส่วนใหญ่เป็นแบบ pro forma แต่สำหรับระบบที่เคยรู้จักกันมาก่อนหน้านี้อาจแนะนำว่าโฮสต์ไม่เหมือนกับที่เชื่อมต่อกัน คีย์โฮสต์ที่มีการเปลี่ยนแปลงโดยไม่มีการเตือนอาจเกิดขึ้นได้เมื่อระบบปฏิบัติการเป้าหมายถูกติดตั้งใหม่โดยไม่ต้องคืนค่าคีย์โฮสต์จากการสำรองข้อมูลหรืออาจเป็นอะไรที่ร้ายกาจมากขึ้นเช่นโฮสต์ที่หลอกลวงเป็นของปลอม หนึ่งควรถามถึงคีย์โฮสต์ที่ไม่คาดคิดเปลี่ยนและใช้หลายเซสชันเมื่อผู้ใช้จำเป็นต้องเชื่อมต่อกับระบบเพียงหนึ่งโปรแกรมเท่านั้นที่เป็นไปได้ในการตั้งค่าพารามิเตอร์เหล่านี้ไว้ในเซสชันดีฟอลต์ แต่จะเข้ากันได้กับระบบต่างๆกันมากขึ้น ด้วยการตั้งค่าเล็กน้อยเราสามารถสร้างและเชื่อมต่อกับระบบเหล่านี้ได้ด้วยคลิกเดียว สร้างและบันทึกช่วงตามที่เราได้ทำในส่วนก่อนหน้าสร้างและบันทึกเซสชันที่มีชื่อจำนวนมากตามต้องการและจดชื่อเซสชัน ชื่อเหล่านี้สามารถอ้างอิงได้ในบรรทัดคำสั่งที่มีพารามิเตอร์โหลดและสามารถฝังลงในทางลัดได้ คลิกขวาที่ทางลัดและเลือก Properties จากนั้นใส่พารามิเตอร์ load พร้อมกับชื่อเซสชัน (ในเครื่องหมายคำพูดถ้าจำเป็น) คลิกตกลงเพื่อบันทึกคุณสมบัติทางลัด นอกจากนี้ควรเปลี่ยนชื่อทางลัดเพื่อให้สอดคล้องกับชื่อเซิร์ฟเวอร์ที่เชื่อมต่อ: คลิกขวาที่ทางลัดและเลือกเปลี่ยนชื่อ เมื่อทางลัดของเซสชันได้รับการกำหนดค่าอย่างสมบูรณ์แล้วให้ดับเบิลคลิกที่ไอคอนเพื่อเปิดการเชื่อมต่อ สร้างทางลัดที่ตั้งไว้ล่วงหน้าได้มากเท่าที่ต้องการ สร้างและติดตั้งคีย์พอยด์พับลิชชิ่งพลังที่แท้จริงของ Secure Shell จะเข้ามาเล่นเมื่อใช้คีย์สาธารณะprivate ไม่เหมือนการตรวจสอบสิทธิ์รหัสผ่านการเข้าถึงคีย์สาธารณะจะกระทำโดยการสร้างการสร้างเพียงครั้งเดียวของคู่ของตัวเลขไบนารีที่ยาวมาก ๆ ซึ่งเกี่ยวข้องกับทางคณิตศาสตร์ ขั้นตอนการกำหนดค่าเริ่มต้นมีส่วนเกี่ยวข้องในระดับปานกลาง แต่ต้องทำเพียงครั้งเดียวเท่านั้น: สร้างครั้งเดียวคีย์สามารถติดตั้งได้ง่ายในระบบระยะไกลมากเท่าที่ต้องการ เรียกใช้ PuTTYgen คู่คีย์สาธารณะที่จำเป็นต้องมี mdash ไฟล์ขนาดเล็กที่มีตัวเลขไบนารีขนาดใหญ่มาก mdash และ PuTTYgen ทำสิ่งนี้ ใช้งานได้เพียงครั้งเดียวเพื่อสร้างคีย์ส่วนตัวซึ่งจะติดตั้งได้ทุกที่ คลิกเริ่ม. จากนั้นเรียกใช้ จากนั้นใส่ puttygen ในกล่องคำสั่ง ซึ่งจะแสดงกล่องโต้ตอบหลักที่แสดงทางด้านขวา เลือกพารามิเตอร์สำคัญตามที่แสดงจากนั้นคลิกสร้าง เนื่องจากคีย์ DSA ถูกกำหนดไว้ที่ 1024 บิตและคีย์ RSA สามารถทำให้ใหญ่ขึ้นได้เราขอแนะนำให้ใช้คีย์ RSA 2048 บิต โปรดทราบว่าค่าดีฟอลต์คือ 1024 บิตคุณต้องแทนที่ด้วยตนเองเพื่อเลือก 2048 หมายเหตุ: อย่าสร้างคีย์ SSH เวอร์ชัน 1 ชนิดใด ๆ : ไม่ปลอดภัย คุณจะได้รับแจ้งให้สร้าง randomness โดยการเลื่อนเมาส์ไปรอบ ๆ ซึ่งจะช่วยให้ระบบมีเอนโทรปีเพิ่มขึ้นซึ่งจะช่วยในการสร้างคีย์ที่ดีขึ้น ใช้เวลาเพียงไม่กี่วินาทีในการสร้างพวงกุญแจได้เต็มประสิทธิภาพ การป้องกันและบันทึกคีย์ขณะนี้พวงกุญแจได้รับการสร้างขึ้นแล้ว แต่มีเฉพาะในหน่วยความจำ PuTTYgens เท่านั้นโดยจะต้องบันทึกลงในดิสก์เพื่อให้สามารถใช้งานได้ แม้ว่าคีย์สาธารณะจะไม่มีข้อมูลที่ละเอียดอ่อนและจะได้รับการติดตั้งบนระบบระยะไกล แต่คีย์ส่วนตัวจะต้องได้รับการปกป้องอย่างเข้มแข็ง: ทุกคนที่รู้คีย์ส่วนตัวจะทำงานได้เต็มรูปแบบในระบบระยะไกลทั้งหมด คีย์ส่วนตัวได้รับการป้องกันโดยทั่วไปด้วยวลีรหัสผ่านและวลีนี้จะถูกป้อนสองครั้งในฟิลด์ที่ระบุไว้ ความคิดเห็นนี้ไม่บังคับ แต่โดยปกติแล้วเป็นที่อยู่อีเมลของเจ้าของคีย์ อาจเป็นชื่อเจ้าของก็ได้ อย่าลืมข้อความรหัสผ่านว่าคีย์พร้องไม่มีประโยชน์ถ้าไม่มี คีย์ที่สร้างขึ้นจะต้องได้รับการจัดเก็บไว้ในสามส่วนคือบันทึกคีย์สาธารณะและบันทึกคีย์ส่วนตัวทั้งสองพร้อมต์สำหรับชื่อไฟล์และควรบันทึกคีย์ส่วนตัว (ที่มีส่วนขยาย. PPK) ไว้ในที่ปลอดภัย คีย์สาธารณะอยู่ในรูปแบบมาตรฐานและสามารถนำมาใช้โดยตรงหรือโดยอ้อมโดยซอฟต์แวร์อื่น ๆ และดูเหมือนว่านี้: คีย์ส่วนตัวอยู่ในรูปแบบ PuTTY เฉพาะซึ่งลาดเทใช้โดยซอฟต์แวร์อื่น ๆ มันเคยชินเคยมองที่โดยตรงโดยผู้ประกอบการ ติดตั้งคีย์สาธารณะบนระบบ Linux ด้วย puttygen ยังคงเปิดอยู่ให้ไฮไลต์คีย์สาธารณะทั้งหมดเพื่อวางลงในพื้นที่ไฟล์ authorizedkeys OpenSSH และพิมพ์ control-C เพื่อคัดลอกไปยังคลิปบอร์ดระบบภายใน นี่เป็นข้อมูลเดียวกับที่พบในไฟล์กุญแจสาธารณะที่บันทึกไว้ แต่ในรูปแบบที่สามารถใช้งานได้โดยตรงบนระบบ Linux เข้าสู่ระบบคอมพิวเตอร์ Linux โดยใช้รหัสผ่านบัญชีสร้างไดเร็กทอรี. ssh หากจำเป็นจากนั้นแก้ไขไฟล์. sshauthorizedkeys นี่จะเป็นไฟล์ข้อความและคลิปบอร์ดควรจะถูกวางลงในนั้น คีย์สาธารณะจะเป็นเพียงบรรทัดเดียวและง่ายต่อการวางข้อมูลในลักษณะที่ตัดทอนอักขระตัวแรก ๆ ทำให้คีย์ไม่สามารถใช้งานได้ดังนั้นโปรดตรวจสอบว่าคีย์เริ่มต้น ssh-rsa หรือ ssh-dsa บันทึกไฟล์ มั่นใจได้ว่าทั้งสองไดเร็กทอรี. ssh และไฟล์ภายในเครื่องสามารถอ่านได้โดยผู้ใช้ปัจจุบันเท่านั้น (นี่คือคำแนะนำด้านความปลอดภัย) และสามารถทำได้โดยใช้คำสั่ง chmod พร้อมกับพารามิเตอร์ที่ใช้กับไดเร็กทอรีทั้งหมด: ออกจากระบบ หมายเหตุ - ไฟล์ authorizedkeys ต้องเป็นของผู้ใช้และไม่สามารถอ่านได้โดยใครก็ได้ - เซิร์ฟเวอร์ OpenSSH จะปฏิเสธการเข้าสู่ระบบหากไม่ใช่กรณีนี้ สามารถตรวจสอบได้ด้วยคำสั่ง ls: ไฟล์ต้องเป็นโหมด - rw ------- แนบคีย์ส่วนตัวเข้ากับเซสชัน SSH ขณะที่สร้างคีย์พรัพท์ publicprivate แล้วจะสามารถเชื่อมโยงกับเซสชั่น SSH ได้ ขั้นแรกให้ทำสิ่งนี้ใน PuTTY ด้วยการเปิดตัวโปรแกรมและโหลดเซสชันที่น่าสนใจ ไปที่ Connection SSH Auth ในบานหน้าต่าง Category ทางด้านซ้ายแล้วใส่ข้อมูลคีย์ส่วนตัวสำหรับฟิลด์การรับรองความถูกต้องโดยเรียกดูไฟล์. pk ที่บันทึกไว้ก่อนหน้านี้ หมายเหตุ - สำหรับลูกค้า Secure Shell อื่น ๆ เราเห็นความสามารถในการแนบคีย์ส่วนตัวกับเซสชันทั้งหมด (เป็นส่วนหนึ่งของการกำหนดค่าทั่วโลก) แต่ด้วย PuTTY ดูเหมือนว่าจะต้องมีการกำหนดค่าสำหรับแต่ละเซสชัน ไม่แน่ใจว่าทำไม กลับไปที่ระดับหมวดเซสชันและบันทึกเซสชันปัจจุบัน ณ จุดนี้ PuTTY (บน Windows) และ OpenSSH (บน Linux) มีการกำหนดค่าสำหรับการเข้าถึงแบบปลอดภัยและคีย์สาธารณะ เชื่อมต่อผ่านทางคีย์สาธารณะขณะนี้ขั้นตอนการกำหนดค่าเสร็จสมบูรณ์พร้อมที่จะเข้าสู่ระบบโดยใช้กลไกคีย์สาธารณะและหลีกเลี่ยงขั้นตอนรหัสผ่านอย่างสมบูรณ์ เปิดใช้งาน PuTTY อย่างปลอดภัยด้วยตัวเลือกในการโหลดเซสชันที่บันทึกไว้ด้วยคีย์ส่วนตัว: แทนที่จะถามรหัสผ่านบัญชี (ซึ่งจะแตกต่างกันไปในทุกระบบระยะไกล) แทนที่จะขอรหัสผ่านซึ่งจะปกป้องคีย์ส่วนตัวในตัว เมื่อคีย์ส่วนตัวพอดีกับคีย์สาธารณะบนเซิร์ฟเวอร์ OpenSSH ให้เข้าถึงสิทธิ์และเปลือกที่นำเสนอต่อผู้ใช้ สิ่งสำคัญที่ควรทราบคือแม้ว่าผู้ใช้จะต้องพิมพ์คำลับเมื่อเข้าสู่ระบบข้อความรหัสผ่านจะเชื่อมโยงกับคีย์ส่วนตัวเฉพาะ ไม่ใช่บัญชีระยะไกล แม้ว่าคีย์สาธารณะของผู้ใช้จะถูกติดตั้งบนเซิร์ฟเวอร์ระยะไกลที่แตกต่างกัน 1,000 เครื่องก็ตามข้อความรหัสผ่านคีย์ส่วนตัวเดียวกันจะถูกเรียกใช้สำหรับทุกเซิร์ฟเวอร์ สิ่งนี้ช่วยลดความยุ่งยากในการจดจำข้อมูลการเข้าถึงและกระตุ้นให้เกิดการเลือกคนที่เข้มแข็งและปลอดภัย การปิดใช้งานการรับรองความถูกต้องของรหัสผ่านบน OpenSSH เมื่อผู้ใช้กุญแจสาธารณะและคีย์ส่วนตัวได้รับการยืนยันว่าถูกต้องแล้วจะเป็นไปได้ที่จะปิดการตรวจสอบสิทธิ์รหัสผ่านบนเซิร์ฟเวอร์ Linux ทั้งหมด การทำเช่นนี้จะขัดขวางความพยายามในการคาดเดารหัสผ่านทั้งหมดที่เป็นไปได้และทำให้เครื่องมีการป้องกันอย่างรวดเร็ว อย่างไรก็ตามสำหรับเครื่องที่ไม่เกี่ยวกับร่างกายภายในตัวเครื่องก็ควรที่จะเลื่อนการปิดใช้งานการตรวจสอบสิทธิ์รหัสผ่านจนกว่าจะเห็นได้อย่างชัดเจนว่าการเข้าถึงแป้นพิมพ์ทำงานได้อย่างเหมาะสมโดยเฉพาะอย่างยิ่งหากมีผู้ใช้หลายรายเข้าร่วมด้วย เมื่อการตรวจสอบรหัสผ่านถูกปิดใช้งานแล้วแม้รหัสผ่าน root จะไม่อนุญาตให้เข้าสู่ระบบอีก ผู้ที่สนใจการเข้าถึงคีย์สาธารณะควรได้รับการทดสอบอย่างระมัดระวัง การกำหนดค่าของ SSH Daemon มีอยู่ในไฟล์ sshdconfig ซึ่งมักจะเก็บไว้ในไดเร็กทอรี etcssh นี่เป็นไฟล์ข้อความที่ค่อนข้างอ่านได้ง่ายต้องมองหาสองรายการเพื่อแก้ไข อันดับแรกคือตั้ง PasswordAuthentication เป็นค่า no ซึ่งอาจมีการตั้งค่าเป็นใช่ หรือเราอาจต้องการปิดใช้งานการตั้งค่านี้โดยปริยาย แต่ประการแรกเราต้องการปิดใช้งานโปรโตคอล SSH เวอร์ชัน 1 ซึ่งเก่าแล้วมีจุดอ่อนด้านความปลอดภัยหลายจุดและไม่ควรได้รับอนุญาตจากโลกภายนอก . แก้ไขไฟล์การกำหนดค่าและตรวจสอบให้แน่ใจว่ารายการคำหลักสองรายการได้รับการตั้งค่าอย่างถูกต้องออกจากรายการเก่าถ้าจำเป็น เมื่อแฟ้มการกำหนดค่าได้รับการบันทึกไว้แล้ว daemon Secure Shell ต้องเริ่มต้นใหม่บนแพลตฟอร์มส่วนใหญ่ซึ่งสามารถทำได้โดยใช้กลไกการให้บริการ: ฆ่า daemon การฟังและรีสตาร์ท แต่ไม่ได้ยุติเซสชันของผู้ใช้แต่ละรายที่มีอยู่ ผู้ที่รู้สึกว่านี่อาจเป็นขั้นตอนที่มีความเสี่ยงได้รับเชิญให้รีบูตเครื่องใหม่ เมื่อมาถึงจุดนี้ OpenSSH จะไม่รับรหัสผ่านใด ๆ อีกต่อไปโดยจะมีการเข้าถึงเฉพาะสำหรับผู้ใช้ที่มีคีย์สาธารณะไว้ล่วงหน้าเท่านั้น การเปิดใช้งาน SSH Agent Support จนถึงจุดนี้เราให้ความปลอดภัยในการเข้าถึงระบบอย่างมาก แต่ก็ยังไม่สะดวก: เรายังต้องพิมพ์วลีรหัสผ่านที่ซับซ้อน (หวังว่า) ในแต่ละครั้ง นี้จะได้รับน่าเบื่อเมื่อจำนวนมากของระบบมีส่วนร่วม โชคดีที่ชุด SSH มีกลไกที่ยอดเยี่ยมสำหรับการปลดล็อกคีย์ส่วนตัวหนึ่งครั้งและอนุญาตให้มีการเชื่อมต่อ ssh แต่ละตัวเข้ากับ piggyback โดยไม่ต้องสอบถามวลีรหัสผ่านทุกครั้ง เปิดตัวเอเจนต์ไปที่และเปิดใช้งานโปรแกรม pageant. exe จากตำแหน่งเดียวกับไฟล์อื่น ๆ ที่เกี่ยวข้องกับ PuTTY และจะใส่ลงในถาดระบบ (ด้านล่างขวามือใกล้ ๆ นาฬิกา) ดับเบิลคลิกที่ไอคอนในถาดและจะเปิดกล่องโต้ตอบด้วยรายการที่ว่างเปล่าของคีย์ คลิก Add Key และไปที่ไฟล์. pk ซึ่งมีคีย์ส่วนตัวของคุณ เมื่อได้รับพร้อมท์ให้ใส่รหัสผ่านให้ป้อนและคลิกตกลง คลิกปิดเพื่อยกเลิกตัวแทน ตอนนี้เปิดเซสชัน SSH ที่กำหนดค่าไว้แล้วไปยังโฮสต์ระยะไกลที่มีการรักษาความปลอดภัยของ pubkey ซึ่งจะสอบถามตัวแทนสำหรับคีย์ส่วนตัวแลกเปลี่ยนกับรีโมตและให้สิทธิ์การเข้าถึงโดยไม่ต้องมีการแทรกแซงของผู้ใช้รายอื่น หมายเหตุ - ผู้อ่านที่รอบคอบอาจสงสัยว่าตัวแทนจะจัดเก็บข้อมูลอย่างไรและโปรแกรมที่ไม่น่าเชื่อถือสามารถรับรหัสลับนี้ลับๆได้หรือไม่ ไม่แน่ใจว่ามันทำงานอย่างไร แต่เราไม่เคยได้ยินเรื่องความปลอดภัยจริงๆที่หน้านี้ ปรับปรุงเอกสารนี้หากเราเรียนรู้อะไรบางอย่าง Preload the private key สิ่งแรกที่ผู้ใช้ PuTTY ใช้กันเมื่อลงชื่อเข้าใช้ระบบสำหรับวันนี้คือการเปิดใช้งานตัวแทนและเพิ่มคีย์ส่วนตัว นี่เป็นเพียงไม่กี่ขั้นตอน แต่เราสามารถเพิ่มประสิทธิภาพได้เพียงเล็กน้อยเท่านั้น ถ้าเราเปิดตัวเอเจนต์ด้วยไฟล์คีย์ส่วนตัวเป็นพารามิเตอร์จะโหลดคีย์โดยอัตโนมัติ ไปที่ pageant. exe แล้วคลิกขวาเพื่อคัดลอกไอคอนนี้ วางนี้เป็นทางลัดบนเดสก์ท็อปจากนั้นคลิกขวาและเลือกคุณสมบัติ ป้อนพา ธ เต็มของแฟ้มคีย์ส่วนตัว. ppp เป็นพารามิเตอร์จากนั้นให้บันทึกการเปลี่ยนแปลง การดับเบิลคลิกที่ไอคอนนี้จะโหลดไฟล์ keyfile และเรียกร้องข้อความรหัสผ่าน เมื่อป้อนแล้วนี่เป็นครั้งสุดท้ายที่จำเป็นตราบเท่าที่ตัวแทนจำหน่ายไป มีน้อยมากที่จะไม่ชอบเกี่ยวกับการสนับสนุนตัวแทน SSH Agent Forwarding แต่เราไม่ได้ใช้ประโยชน์จาก SSH agent support เป็นชัยชนะที่ชัดเจนในการหลีกเลี่ยงการพิมพ์ข้อความรหัสผ่านทุกครั้งที่มีการเปิดใช้การเชื่อมต่อใหม่ แต่ SSH ยังมีการส่งต่อตัวแทนซึ่งสามารถส่งผ่านข้อมูลรับรองลงไปในการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลได้ ข้อมูลรับรองนี้จะสามารถส่งผ่านไปยังเซิร์ฟเวอร์อื่นที่มีการติดตั้งคีย์สาธารณะของผู้ใช้ลบรหัสผ่านหรือข้อความรหัสลับสำหรับระยะเวลาทั้งหมดของการนำทางเครือข่าย ผู้ใช้เปิดการเชื่อมต่อไปยังเซิร์ฟเวอร์ A: PuTTY บนเครื่องท้องถิ่นได้รับคีย์ส่วนตัวจากตัวแทนและส่งไปยังเซิร์ฟเวอร์ระยะไกล เซิร์ฟเวอร์ระยะไกลประมวลผลข้อมูลสำคัญของภาครัฐและเอกชนและให้สิทธิ์การเข้าถึง ผู้ใช้จะได้รับเปลือกในระบบภายใน ผู้ใช้พยายามเชื่อมต่อกับ SystemB ด้วย ssh - A systemb (-A ช่วยให้สามารถส่งต่อตัวแทน) และเชื่อมต่อกับเซิร์ฟเวอร์ SSH ที่นั่น ระบบ B ถามระบบ A สำหรับข้อมูลคีย์ส่วนตัวของผู้ใช้และเซิร์ฟเวอร์ SSH ในระบบ A จะส่งต่อไปยังเวิร์กสเตชันดั้งเดิมที่มีการสอบถามตัวแทน ตัวแทนท้องถิ่นจะส่งข้อมูลกลับไปยังการเชื่อมต่อโดยจะส่งต่อจาก SystemA ไปยัง SystemB SystemB ได้รับข้อมูลรับรองนี้และการเข้าถึงจะได้รับโดยการเปรียบเทียบกับคีย์สาธารณะที่เก็บไว้ในเครื่องนั้นสำหรับผู้ใช้รายนั้น การดำเนินการนี้เกิดขึ้นโดยอัตโนมัติและรวดเร็ว: จะใช้เวลาไม่เกิน 1-2 วินาทีในการแลกเปลี่ยนทั้งหมดและการส่งต่อนี้สามารถเชื่อมต่อผ่าน SSH ได้นานมาก เพื่อให้สามารถเข้าถึงระบบรักษาความปลอดภัยระยะไกลได้อย่างปลอดภัยและโปร่งใส หมายเหตุ - ทั้งหมดนี้กำหนดให้ผู้ใช้มีบัญชีในแต่ละเครื่องที่ต้องการและผู้ใช้คีย์สาธารณะได้รับการติดตั้งอย่างถูกต้องในแต่ละเครื่อง การส่งต่อ SSH ไม่ได้ให้การเข้าถึงใด ๆ ซึ่งจะไม่ได้รับการขาดการส่งต่อมันเพียงแค่เพิ่มกลไกที่สะดวกมากขึ้นเพื่ออะไรที่มีอยู่แล้ว เปิดใช้งานการส่งต่อใน PuTTY การเปิดใช้งานการส่งต่อตัวแทนจะทำในกรอบโต้ตอบการตั้งค่า PuTTY เหมือนกับส่วนที่เหลือทั้งหมดและจำเป็นต้องตรวจสอบเพียงกล่องเดียวเท่านั้น ตัวเลือกนี้จำเป็นต้องใช้การประกวดในระบบท้องถิ่นโดยไม่มีตัวแทนใด ๆ หากมีการเชื่อมต่อที่ป้องกันด้วยคีย์โดยไม่มีตัวแทนอยู่ PuTTY จะแจ้งให้ป้อนรหัสผ่านโดยอัตโนมัติตามที่มีอยู่ตลอดเวลา (และจะทำในแต่ละการเชื่อมต่อ) เปิดใช้งานการส่งต่อในเซิร์ฟเวอร์ในตัวอย่างข้างต้นเราเห็นว่าผู้ใช้พิมพ์โฮสต์ ssh - A แต่ทั่วไปเพื่อให้ใช้ตัวแทนส่งต่อการตั้งค่าเริ่มต้นเพื่อลบความต้องการที่จะพิมพ์ - A การกำหนดค่าเซิร์ฟเวอร์ OpenSSH พบได้ใน sshdconfig ขณะที่การกำหนดค่าไคลเอ็นต์อยู่ใน sshconfig (โดยปกติจะอยู่ในไดเร็กทอรี etcssh) ไฟล์สามารถแก้ไขได้และตั้งค่า ForwardAgent เป็น yes: การตั้งค่านี้ไม่ส่งผลต่อเซิร์ฟเวอร์ดังนั้นจึงไม่จำเป็นต้องรีบูตหรือการดำเนินการพิเศษเพื่อให้มีผล: การเชื่อมต่อขาออกถัดไปจะเปิดใช้งานการส่งต่อโดยอัตโนมัติ การเปลี่ยนแปลงนี้จำเป็นต้องทำเพียงครั้งเดียว (และค่าดีฟอลต์ในบางระบบ) การคัดลอกไฟล์อย่างปลอดภัยด้วยการกำหนดค่า PuTTY การเข้าถึงคีย์สาธารณะและการสนับสนุนเอเจนต์ (พร้อมการส่งต่อ) ได้เตรียมพร้อมที่จะก้าวข้ามขอบเขตการเข้าถึงเทอร์มินัลเชลล์และย้ายไฟล์ไปรอบ ๆ Secure Shell มีวิธีการต่างๆในการคัดลอกไฟล์จากเครื่องหนึ่งไปยังเครื่องอื่นโดยทำงานร่วมกับคีย์และเอเจนต์เดียวกัน PSCP อนุญาตให้มีการคัดลอกไฟล์บรรทัดคำสั่งไปยังและจากเซิร์ฟเวอร์ SSH ระยะไกลและ PSFTP มีอินเตอร์เฟสเหมือน FTP สำหรับการถ่ายโอนไฟล์ที่สะดวก คุยกันทั้งสองอย่าง PSFTP - ไคลเอ็นต์ FTP ที่เหมือนกันโปรแกรม PSFTP สามารถเริ่มต้นจากบรรทัดคำสั่งหรือจากทางลัดบนเดสก์ท็อปและในทั้งสองกรณียอมรับชื่อโฮสต์หรือชื่อเซสชั่นที่บันทึกไว้ เมื่อเปิดตัวจะเชื่อมต่อกับเซิร์ฟเวอร์เป้าหมาย (ใช้ประโยชน์จากคีย์สาธารณะและตัวแทนในท้องถิ่นถ้ามี) และแสดงข้อความ psftpgt: ผู้ใช้ FTP บรรทัดคำสั่งปกติจะพบว่ามีความคุ้นเคยแม้ว่าจะไม่ถึง ใช้งานง่ายเป็นลูกค้า GUI ยอดนิยม คำสั่งช่วยเหลืออาจให้คำแนะนำ PSCP - Secure Copy ผู้ใช้ที่บรรทัดคำสั่งอาจต้องการคัดลอกไฟล์โดยตรงและทำเช่นนี้กับ pscp คำสั่ง Secure Copy เช่นเดียวกับการคัดลอกไฟล์ปกติในระบบไฟล์ท้องถิ่น pscp จะใช้ชื่อเครื่องและไดเร็กทอรีเป็นแหล่งหรือปลายทาง pscp สามารถถ่ายโอนไฟล์ได้ทีละไฟล์หรือทั้งชุดในอินสแตนซ์เดียว: น่าแปลกที่ชื่อเซสชันที่บันทึกไว้ไม่จำเป็นต้องระบุเฉพาะชื่อโฮสต์และชื่อผู้ใช้ปัจจุบัน (ซึ่งมักจะถูกถ่ายโดยอัตโนมัติจากสภาพแวดล้อมปรากฏว่า psftp และ pscp ทั้งคู่ปรึกษาเซสชั่นที่บันทึกไว้ให้ค้นหาการจับคู่ที่เหมาะสมจากนั้นใช้ข้อมูลการเข้าถึงที่เชื่อมโยงซึ่งจะทำให้ประสบการณ์ในการถ่ายโอนไฟล์เป็นไปอย่างราบรื่นความกังวลเกี่ยวกับความปลอดภัยและคะแนนสะสมเคล็ดลับด้านเทคนิคนี้มีจุดมุ่งหมายเพื่อให้เส้นทางที่รวดเร็วในการตั้งค่า ขึ้นสภาพแวดล้อมการรักษาความปลอดภัยเชลล์จากเวิร์กสเตชันไปยังเซิร์ฟเวอร์ แต่มันได้ข้ามมากกว่าจุดปลีกย่อยมากจุดใช้ทั้งหมดของการใช้ Secure Shell คือความปลอดภัยและแต่งงานเป็น remiss ถ้าเราไม่ได้สัมผัสบางส่วนของจุดเหล่านี้ที่นี่ดีทำในวงกว้าง ชี้ไปที่ต้องดูแลเมื่อทำงานกับระบบที่ไม่น่าเชื่อถือ: เมื่อใช้คุณลักษณะขั้นสูงเช่นการส่งต่อตัวแทนหรือคีย์ส่วนตัวหนึ่งเป็นที่ความเมตตาของผู้ดำเนินการที่ไม่เป็นมิตร Kernel-based keyloggers และ binssh bi - naries เป็นเพียงไม่กี่ของความเสี่ยงที่เห็นได้ชัดมากเมื่อปฏิบัติการในสภาพแวดล้อมแบบนั้น ที่นี่ดีสัมผัสในไม่กี่จุดไม่ชัดเจนและทราบว่าในสภาพแวดล้อมที่เชื่อถือได้และควบคุมปัญหาเหล่านี้ก็ไม่เกิดขึ้น ปกป้องคีย์ส่วนตัวของคุณแม้ว่าคีย์สาธารณะเป็นเพียงความห่วงใยเล็กน้อยเท่านั้น แต่คีย์ส่วนตัวต้องได้รับการปกป้องอย่างแข็งแรง ทุกคนที่สามารถเข้าถึงคีย์ส่วนตัวที่ถอดรหัสลับ (ไม่ว่าจะโดยการเรียนรู้วลีรหัสผ่านหรือใช้กำลังเดรัจฉาน) จะทำงานเต็มรูปแบบของทุกเครือข่ายที่มีการติดตั้งคีย์สาธารณะ เราขอแนะนำอย่างยิ่งให้ จำกัด จำนวนสถานที่ที่เก็บคีย์ส่วนตัวไว้อย่างมาก เราเข้าใจว่าแอพพลิเคชันมีอยู่ซึ่งสามารถใช้แฟ้มคีย์ส่วนตัวและพยายามบีบอัดคีย์แม้ว่าเราจะยังไม่ทำงานในหนึ่ง เมื่อตัวแทนที่สำคัญ SSH มีอยู่ไม่ว่าจะเป็นบนเครื่องท้องถิ่นที่เริ่มต้นการเชื่อมต่อขาออกหรือบนเครื่องระดับกลางซึ่งกำลังส่งต่อพวกเขาซึ่งเป็นไปได้ทางเทคนิคสำหรับผู้บุกรุกในเครื่องเหล่านั้นเพื่อเข้าถึงช่องทางที่ปลอดภัย . ใน OpenSSH ไคลเอ็นต์ ssh สื่อสารกับตัวแทนผ่านซ็อกเก็ตโดเมน UNIX ภายใต้ไดเร็กทอรี tmp (ไฟล์ตัวแทนคือ tmpssh-DeB10132agent.10132) และมีข้อ จำกัด สำหรับผู้ใช้ท้องถิ่น แต่ superuser ยังมีการเข้าถึงซ็อกเก็ตและค่อนข้างตรงไปตรงมาเพื่อจี้ตัวแทนเพื่อเชื่อมต่อกับเครื่องเป้าหมายเดียวกัน บทความที่เกี่ยวข้องนี้เป็นส่วนหนึ่งของชุด BackupYourSystem ข้อมูลเบื้องต้นสามารถพบได้ที่นั่น บทนำจากหน้า man: Rsync เป็นเครื่องมือคัดลอกไฟล์ที่รวดเร็วและหลากหลาย สามารถคัดลอกภายในเครื่องจากโฮสต์อื่นผ่านทางรีโมตเชลล์หรือจากรีโมต rsync daemon มีตัวเลือกมากมายในการควบคุมลักษณะการทำงานของทุกอย่างและอนุญาตให้มีการกำหนดเลเยอร์ของไฟล์ที่จะคัดลอกได้อย่างยืดหยุ่น มีชื่อเสียงสำหรับอัลกอริธึมการถ่ายโอนข้อมูลเดลต้าซึ่งช่วยลดปริมาณข้อมูลที่ส่งผ่านเครือข่ายโดยการส่งเฉพาะความแตกต่างระหว่างไฟล์ต้นฉบับและไฟล์ที่มีอยู่ในปลายทาง Rsync ใช้กันอย่างแพร่หลายสำหรับการสำรองข้อมูลและมิเรอร์ร์และเป็นคำสั่งการคัดลอกที่ดีขึ้นสำหรับการใช้งานในชีวิตประจำวัน กล่าวอีกนัยหนึ่ง rsync เป็นเครื่องมือสำหรับการคัดลอกและสำรองข้อมูลได้อย่างมีประสิทธิภาพจากที่เดียว (แหล่งที่มา) ไปยังที่อื่น (ปลายทาง) มีประสิทธิภาพเนื่องจากจะโอนเฉพาะไฟล์ที่ต่างกันระหว่างไดเร็กทอรีต้นทางและปลายทาง Rsync เป็นยูทิลิตีบรรทัดคำสั่ง ผู้ใช้ที่พยายามใช้ควรคุ้นเคยกับบรรทัดคำสั่ง (ดูการใช้ Terminal) หากต้องการอินเทอร์เฟซแบบกราฟิกโปรดดูที่ส่วน Grsync ของหน้านี้ การติดตั้ง Rsync ถูกติดตั้งใน Ubuntu โดยค่าเริ่มต้น โปรดตรวจสอบว่ามีการติดตั้งแพคเกจต่อไปนี้ก่อนเริ่มต้น (ดูการติดตั้งแพคเกจ): rsync, xinetd, ssh การสำรองข้อมูลแบบธรรมดาวิธีที่ง่ายที่สุดในการสำรองข้อมูลผ่านเครือข่ายคือการใช้ rsync ผ่านทาง SSH (ใช้ตัวเลือก e - ssh) หรือคุณสามารถใช้ภูต rsync ได้ (ดู Rsync Daemon ที่ต้องการการกำหนดค่ามากขึ้นการสำรองข้อมูลภายในเครื่องจะต้องใช้ rsync และ readwrite เพื่อเข้าถึงโฟลเดอร์ที่ซิงโครไนซ์เท่านั้นด้านล่างนี้คุณจะพบตัวอย่างคำสั่งที่สามารถใช้ในการสำรองข้อมูลได้ไม่ว่ากรณีใด ควรระบุว่าการซิงค์เครือข่ายสามารถทำได้ภายในเครื่องตราบเท่าที่โฟลเดอร์แชร์ (พูดโดย Samba) แล้วติดตั้งไปยังเครื่องด้วย folder1 ขั้นตอนนี้ได้รับรอบการใช้ ssh แต่มีความปลอดภัยน้อยกว่าและควรใช้เท่านั้น ในเครือข่ายส่วนตัวที่ปลอดภัยเหมือนที่บ้าน Backup over Network คำอธิบายเกี่ยวกับตัวเลือกข้างต้นกับคำสั่ง: --dry-run บอกให้ rsync ไม่ทำอะไรเลยเพียงแค่เขียนบันทึกว่าจะทำอะไรกับหน้าจอ คุณจะต้องลบตัวเลือกนี้และเรียกใช้คำสั่งอีกครั้งเพื่อทำการสำรองข้อมูลจริง - ลบลบไฟล์ที่ไม่มีอยู่ในระบบที่ได้รับการสำรองข้อมูล (ไม่บังคับ) - a preserves วันที่และ t imes และสิทธิ์ของไฟล์ (เช่น - rlptgoD) ด้วยตัวเลือกนี้ rsync จะ: ลง recursively ลงในไดเร็กทอรีทั้งหมด (-r) คัดลอก symlinks เป็น symlinks (-l), รักษาสิทธิ์ของแฟ้ม (-p), รักษาเวลาในการปรับเปลี่ยน (-t), รักษาความเป็นเจ้าของไฟล์ (-o) และ - z บีบอัดข้อมูล - vv เพิ่มความเป็น verbosity ของกระบวนการรายงาน - e ระบุ shell ระยะไกลเพื่อใช้ folder1 และ folder2 ในตัวอย่างข้างต้น folder1 และ 2 เป็นตัวยึดสำหรับไดเรกทอรีที่จะซิงโครไนซ์ Folder1 เป็นโฟลเดอร์เดิมและ 2 คือโฟลเดอร์ใหม่หรือโฟลเดอร์ที่มีอยู่เพื่อให้ซิงค์กับโฟลเดอร์แรก แทนที่ด้วยโฟลเดอร์ที่คุณต้องการ A ได้รับการเพิ่มหลังจาก folder1 เพื่อให้เฉพาะเนื้อหาแทนที่จะเป็นโฟลเดอร์ทั้งหมดจะถูกย้ายไปอยู่ในโฟลเดอร์ที่สอง สรุปทั้งหมดของตัวเลือกทั้งหมดที่มีคำสั่ง rsync สามารถดูได้จากหน้า man ภายใต้ Options Summary หน้า man สำหรับ rsync สามารถพบได้ใน linux. die Grsync เป็นส่วนหน้า GUI สำหรับโปรแกรมอรรถประโยชน์ rsync อินเทอร์เฟซที่เรียบง่ายของ GUI จะทำให้มีหลายตัวเลือกพื้นฐานที่พร้อมใช้งานด้วย rsync จะเป็นประโยชน์สำหรับผู้ที่ไม่ต้องการใช้บรรทัดคำสั่ง การติดตั้งโปรแกรม grsync ไม่ได้ติดตั้งโดยค่าเริ่มต้นในอูบุนตูหรือ distrubtion อื่น ๆ แต่ก็สามารถใช้ได้จากที่เก็บหลัก ในการรับ grsync ให้แน่ใจว่า Universe ส่วนของที่เก็บข้อมูล Ubuntu ถูกเปิดใช้งานในแหล่งซอฟต์แวร์ของคุณ จากนั้นติดตั้งซอฟต์แวร์นี้ใน Ubuntu ติดตั้งแพคเกจต่อไปนี้ grsync การตั้งค่าเริ่มต้น grsync ไปที่เมนูต่อไปนี้: Applications --gt System Tools --gt grsync เมื่อเริ่มต้น youll จะนำเสนอกับหน้าต่างหลักที่มีการกำหนดค่าทั้งหมดจะเกิดขึ้น ในหน้าต่างนี้เป็นทางเลือกทั้งหมดที่ผู้ใช้ส่วนใหญ่จะต้องใช้ เพื่ออธิบายตัวเลือกต่างๆจะปรากฏในรายการและกล่าวถึงผลกระทบที่กล่าวมา เซสชัน - ฟังก์ชันนี้เหมือนกับโพรไฟล์ในส่วนอื่น ๆ แต่ละเซสชันจะจัดเก็บไดเร็กทอรีแหล่งที่มาและปลายทางที่ต่างกันรวมถึงตัวเลือกการกำหนดค่าที่เกี่ยวข้องกับคู่โฟลเดอร์ ซึ่งจะช่วยให้สามารถซิงค์ชุดโฟลเดอร์ต่างๆตามตัวเลือกต่างๆได้ การจัดการของเซสชันนั้นง่ายเพียงกดปุ่มเพิ่มเพื่อเพิ่มรูปใหม่ หากต้องการลบให้เลือกเซสชันที่คุณไม่ต้องการจากเมนูแบบเลื่อนลงและกด Delete แหล่งที่มาและปลายทาง - ทั้งสองกล่องนี้จะแสดงรายการทั้งสองโฟลเดอร์ (ที่เรียกว่าไดเรกทอรี) ที่จะถูกซิงโครไนซ์ ด้านบนเป็นที่มาและด้านล่างปลายทาง ดังนั้นเมื่อคุณดำเนินการซิงโครไนซ์ไฟล์จากแหล่งที่มาจะถูกคัดลอกไปยังปลายทางตามตัวเลือกที่ผู้ใช้เลือก ในการระบุไดเร็กทอรีให้เรียกดูจาก GUI หรือพิมพ์ตามกฎเส้นทางมาตรฐาน สวิตช์ - เครื่องหมายโหลดสากลที่อยู่ทางขวาของปุ่มเรียกดูเป็นปุ่มที่มีประโยชน์ ทันทีที่เปลี่ยนแหล่งที่มากับปลายทาง การนำเข้าและส่งออก - หลังจากกำหนดเซสชันแล้วผู้ใช้อาจต้องการสำรองข้อมูลเหล่านี้เพื่อจัดเก็บ เพียงแค่ไปที่เมนูเซสชั่นที่ด้านบนและเลือก Import หรือ Export อดีตจะเรียกคืนเซสชันจากการสำรองข้อมูลก่อนหน้านี้ทำหลังจะทำให้การสำรองข้อมูลของเซสชั่นปัจจุบัน หมายเหตุ: ฟังก์ชันการสำรองข้อมูลนี้ทำงานบนพื้นฐานของเซสชันต่อหนึ่งเซสชัน ซึ่งหมายความว่าแต่ละเซสชันที่คุณต้องการสำรองข้อมูลต้องเลือกจากเมนูแบบเลื่อนลงและสำรองข้อมูลไว้ ถ้าคุณมี 3 เซสชันที่แตกต่างกันให้เลือกแต่ละรายการและส่งออก เหมือนกันเมื่อนำเข้าเซสชัน ตัวเลือกพื้นฐาน - ผู้ใช้ส่วนใหญ่จะพบตัวเลือกทั้งหมดที่พวกเขาจะต้องใช้ที่นี่ สี่ตัวแรกจะรักษาคุณสมบัติของไฟล์ที่ถ่ายโอน คนอื่นจะแก้ไขวิธีการคัดลอกไฟล์ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งต่างๆโดยเฉพาะให้วางเคอร์เซอร์คงที่เหนือตัวเลือกและจะแสดงคำอธิบายเล็ก ๆ การตรวจสอบตัวเลือกนี้เป็นสิ่งที่เลือกไว้ในระหว่างเซสชัน ตัวเลือกขั้นสูง - แท็บนี้มีตัวเลือกมากกว่าจำนวนมากมีประโยชน์และเป็นตัวอธิบาย สำหรับผู้ที่ไม่เข้าใจคำแนะนำเครื่องมือจะปรากฏขึ้นเมื่อเมาส์ยังคงอยู่เหนือตัวเลือกที่นานพอสมควร ตัวเลือกเพิ่มเติม - ช่องรายการนี้จะช่วยให้สามารถป้อนข้อมูลตัวเลือกเพิ่มเติมที่ไม่ได้แสดงใน GUI แต่รู้จักกับผู้ใช้ การใช้งานแนะนำเฉพาะสำหรับผู้ใช้ที่มีประสบการณ์การป้อนตัวเลือกที่มีรูปแบบไม่ถูกต้องอาจมีผลที่คาดไม่ถึง การจำลองและการดำเนินการปุ่มสองปุ่มสุดท้ายบนหน้าต่างคือการจำลองและดำเนินการ ปุ่มสำหรับการจำลองจะเป็นประโยชน์เมื่อไม่แน่ใจว่าจะเกิดอะไรขึ้นกับตัวเลือกที่เลือก หน้าจอโต้ตอบการถ่ายโอนข้อมูลปกติจะปรากฏขึ้นและในบานหน้าต่างหลักรายการของไฟล์ที่จะถูกคัดลอกอยู่ในรายการ จากนั้นผู้ใช้สามารถตรวจสอบว่าเป็นไปตามที่ต้องการหรือทำการเปลี่ยนแปลงหรือไม่ เมื่อเซสชันเริ่มต้นด้วยปุ่ม Execute กรอบโต้ตอบจะปรากฏขึ้นอีกครั้ง แต่คราวนี้จะประมวลผลโฟลเดอร์ตามลำดับ ตรวจสอบก่อนผลักดันดำเนินการว่าคุณพอใจกับการจำลอง การสำรองข้อมูลระยะไกลสำรองข้อมูลผ่านเครือข่ายเป็นไปได้โดยเฉพาะผู้ใช้ควรติดตั้งส่วนแบ่งเครือข่ายที่จะสำรองข้อมูลไว้ก่อนที่จะเปิดตัวโปรแกรม ส่วนแบ่งดังกล่าวจะปรากฏใน Browse GUI และสามารถเพิ่มได้ง่าย ไม่มีส่วนที่แยกต่างหากสำหรับเครือข่ายถ้าต้องการคุณลักษณะขั้นสูงมากขึ้นผู้ใช้ควรดูทางเลือกซึ่งมีอยู่มากมาย ทางเลือกมีหลายทางเลือกในขั้นตอนต่างๆของการพัฒนา สำหรับรายการที่ไม่สมบูรณ์โปรดดูที่นี่ Rsync Daemon ภูต rsync เป็นทางเลือกสำหรับ SSH สำหรับการสำรองข้อมูลระยะไกล แม้ว่าจะยากที่จะกำหนดค่า แต่ก็ให้ประโยชน์บางอย่าง ตัวอย่างเช่นการใช้ SSH เพื่อทำการสำรองข้อมูลระยะไกลของระบบทั้งหมดกำหนดให้ SSH daemon อนุญาตการเข้าสู่ระบบของ root ซึ่งถือเป็นความเสี่ยงด้านความปลอดภัย การใช้ภูต rsync ช่วยให้สามารถล็อกอินผ่านทาง SSH เพื่อปิดใช้งานได้ การกำหนดค่าของ rsync Daemon 1. แก้ไขไฟล์ etcdefaultrsync เพื่อเริ่มต้น rsync เป็น daemon โดยใช้ xinetd รายการที่ระบุไว้ด้านล่างนี้ควรเปลี่ยนจาก false เป็น inetd 2. ติดตั้ง xinetd เนื่องจากไม่ได้ติดตั้งไว้โดยค่าเริ่มต้น 3. สร้างไฟล์ etcxinetd. drsync เพื่อเปิด rsync ผ่าน xinetd ควรมีบรรทัดต่อไปนี้ของข้อความ 4. สร้างการตั้งค่าไฟล์ etcrsyncd. conf สำหรับ rsync ในโหมด daemon ไฟล์ควรมีดังต่อไปนี้ ในไฟล์ผู้ใช้ควรถูกแทนที่ด้วยชื่อของผู้ใช้ในเครื่องระยะไกลที่กำลังเข้าสู่ระบบ 5. สร้างรหัสผ่านสำหรับผู้ใช้ User should be the same as above, with password the one used to log into the remote machine as the indicated user. 6. This step sets the file permissions for rsyncd. secrets. 7. StartRestart xinetd Run the following command to check if everything is ok. The output listed is just a sample, should be what is on your shared remote machine. Hostname can be replaced by the IP address of the machine. Backup With Rsync and Ssh (scroll to bottom if you want a much less informative synopsis of what will be covered) When I first began tinkering with this idea, the whole SSH thing kind of confused me, mostly because I didnt think SSH would be easy for an end user to utilize. While SSH is very complex in design, theyve made it super easy for the end user to set up an authentication key set. Essentially, SSH is a 1 to 1 authenticated connection that can be obtained without a password. Once this is in place, you can utilize rsync to run automatically. Before we begin, please ensure you have openssh-server installed on your file server in question. Next, we need to set up a key pair. You will receive a public key and private key. You will be asked some questions, such as whether or not you want a password to the key pair, etc. I chose no and basically left everything else default. I went with no password because SSH keys are pretty -- secure, and plus I wanted this to be automated. I was not sure how I could automate this process while still having a password on it. The public key needs to get copied to the authorizedkeys file on the server. Thanks to a handy command, this is painless. Replace jason192.168.1.150 with what your setup would be. Itll ask you for your password. Put in your password to the user account youre authenticating against on the file server. Once done, you should be able to run: If it did not ask for a password and your prompt changed, youre good to go. If it asked you for a password, something is likely off. Please note, if you mess around with the SSH keys (by deleting them, adding new ones, etc.) itll require a reboot (some people have told me log out log in works fine too) to reset. I dont know enough about that to explain whats happening besides taking the educated guess that the SSH key is getting locked to your session. Unless you plan to tinker around like I did, where I would delete the SSH keys and re-generate them over and over for learning purposes, you wont run into this issue. But if you do, I wanted to throw this out there. So, SSH is set up and youre good to go. Now what Its rsyncs turn. You have opened the door with SSH, now you need to put it in gear with rsync. Rsync is a remote synchronization tool. For my uses, its pretty much awesome. I suggest you folks read the rsync man page for more information. Just a side note, anybody reading this who uses Linux, please keep man pages in mind. Theyre quicker than Google. Honestly. You can read them up by going to terminal and typing man rsync. Of course, you can substitute rsync for any other command to read more about it as well, aka man cp etc. The man page will go over the functionality of a bunch of flags. Theres a few I personally use and Ill cover them in my own words below. - a Archive mode. This keeps the time, permissions, owner, group, and other various settings the same as the source. I like using - a because it ensures that my data on the file server match my data on the desktop, even down to who owns what and the time stamps. - z Compression mode. I havent really used this until recently. Im not sure if I notice a difference because rsync is pretty fast to begin with, but I tack it in there, mostly because, why not --exclude Exclude mode. This is if you want to exclude a specific directory, trash, videos, etc. For example, lets say you want to exclude ALL hidden filesfolder. you would do --exclude. Notice after the equals sign there is a period and That ensures youre doing the wild card, meaning EVERYTHING, but only after the period. Since hidden filesfolders are began with a period, you can see how it would include. folder1.folder2.folder3, etc. Note - Personally, I would definitely recommend excluding. gvfs. gvfs is the gnome virtual file system. It essentially acts as a mount point for network resources. Lets say your file server is accessible through. gvfs. If you rsync everything and dont exclude. gvfs, youre in essence duplicating the data on your file server that already exists, because itll exist in its primary folder, as well as through. gvfs thanks to your file server. homejasonDocuments homejasonMusic homejasonPictures homejason. gvfsDocuments homejason. gvfsMusic homejason. gvfsPictures By excluding. gvfs, you avoid this all together. If youre backing up a home directory, Id suggest doing it. Using simply --exclude. gvfs works for me, but if you need the full path, it would of course be --excludehomejason. gvfs --delete This will delete files on the destination that dont exist on the source. Lets say you have a folder that contains 100 GB of data and its simply named data. If you rename it to data2, your server would contain a copy of data and data2 a grand total of 200 GB. If you want the data on your server to be identical, use --delete. If you want to have some sort of older file redundancy (I know some people prefer this), dont use --delete. --progress If you run rsync manually, youll be able to see the progress of whats going on instead of just a flashing cursor. I only use this flag if I want to run the command manually and see what its doing. I dont bother using this when its showtime and I want it automated in the background. Other than that, its just about setting up the source and destination. Lets start with the destination, since after all, were tinkering with SSH here so its a tad bit different. For the destination, youll need the user, server, and folder path. As I said, my name is Jason, and my file server is 192.168.1.150. My folder path on my server in particular is mediaNASjason. In my case, NAS is a network drive I shared out, so its pretty specific to my situation. Yours is likely to differ. Tailor the destination to your own situation. If your backup drive is mediastorage and you have a folder on storage named frank, then use mediastoragefrank, etc. In my case: is my destination. Now, about the sources. Theyre simple enough, as its the same as above except it doesnt include userserver. If you want your entire home directory to be synchronized, you can do so with just: If you want your entire home directory synchronized but with the exclusion of. gvfs and the --delete flag, use: Getting the jist of it now Note, you can have multiple sources as well, which makes it handy if you only want to back up a few specific folders to your file server. In my case, I had limited file server space, so I only wanted to back up the most important data to my file server, which to me is Documents and Pictures. Example: You can then set up a Cron job for this to run at specific times. I never run rsync as root, so when I set it up in Cron I set it to launch as jason and just tagged the above rsync command in. Ive since moved away from the Cron route. I shut down my computer at night, but my file server stays up all the time, I added an entry in Startup Applications to do the backup for me, which is handy because it runs at system startup. I named it NAS Backup and put the above command in the command field. Everything works like a charm with zero input needed from me. imagessmiliesguitar. gif Quick tip, if youd like to check out a decent rsync GUI, fire up grsync. Its easy to use and will help you structure out the rsync command if youre not entirely sure just yet. Just note, there is no --exclude flag in the GUI, so youll have to add it manually under Additional Options, but thats pretty -- easy to do. Grsync also doesnt use - a, but instead it breaks up - a to - t - o - p - g etc. Read the rsync man page under the - a section to see why this makes littleno difference. Once you have it formulated the way you want, you can also do a test run, which is one of the features of grsync to make sure it works properly prior to giving it the green light. Assuming all is well and youre done, you can schedule this grsync job with, you guessed it, either Startup Applications or Cron. Keep in mind, the syntax for it is grsync - e jobname. So if you named the job backup, youd run grsync - e backup. This would be the same for Cron or Startup Applications. I tested it running it in Startup Applications. It comes up with a GUI window when I log in showing me the status of the data transfer. If I go the route with Startup Applications and just throwing the full rsync command in, it does it completely in the background. Depending on how much of a visual status you want may dictate which route you go. At any rate, serious kudos to the SSH, Rsync, and Grsync team, as theyve brewed up some very impressive technologies here. The above was meant to be super informative. I hope some users can set up a backup system that works for them. Keep in mind, you never know when Mr. HardDrive is going to tank on you, so plan ahead. Below is a rough summary of what youre doing for the users who dont want to read through a mountain of text. Note: Change the below settings to match your setup, unless your name happens to be Jason and your file server happens to be 192.168.1.150. Client Startup Applications - Select New - Name it backup or whatever you please, and add desired rsync line in the command box, such as:CentOS SSH Installation And Configuration Darr247 December 18, 2011, 5:38 am There are a couplefew things I don8217t get8230 e. g. for Make sure port 22 is opened: netstat - tulpn grep :22 What are we supposed to see if port 22 is opened Add the line - A RH-Firewall-1-INPUT - m state 8211state NEW - m tcp - p tcp 8211dport 22 - j ACCEPT add it where. In the :INPUT ACCEPT section in the :OUTPUT ACCEPT section after :COMMIT No matter which line I put it on, when I restart the iptables service I get a red FAILED message for that line. And then you change the SSH port to 1235 but don8217t revisit iptables What am I missing here Boymix81 February 28, 2012, 9:20 pm - A RH-Firewall-1-INPUT - s 192.168.1.024 - m state 8211state NEW - p tcp 8211dport 22 - j ACCEPT - A INPUT - s 192.168.1.024 - m state 8211state NEW - p tcp 8211dport 22 - j ACCEPT
No comments:
Post a Comment