Zabezpečené připojení SSH / SCP z Raspberry Pi na cloudový server pro zálohování a aktualizace: 3 kroky

2024 Autor: John Day | [email protected]. Naposledy změněno: 2024-01-30 08:22

Účelem tohoto pokynu je ukázat vám, jak se automaticky a bezpečně připojit z vašeho Raspberry Pi ke vzdálenému cloudovému serveru (a naopak) za účelem provádění záloh a aktualizací atd. K tomu používáte páry klíčů SSH, které zbavte se nutnosti pamatovat si hesla a poskytněte vám bezpečnější připojení.

(CAVEAT - Nepokoušejte se o to, pokud nejste kompetentní v konfiguraci oprávnění Linuxu, jinak vaše systémy budou zranitelnější vůči útokům hackerů.)

Požadavky

1. Raspberry Pi s rozhraním příkazového řádku (CLI), jak byste viděli na Putty.

2. Přístup ke vzdálenému cloudovému serveru hostovanému řekněme OVH nebo DigitalOcean s CLI.

3. Notebook nebo počítač se systémem Windows s nainstalovanými aplikacemi Putty a PuttyGen.

Předpoklady

1. Máte nějaké znalosti příkazů Linuxu

2. Ke svému vzdálenému serveru se můžete dostat pomocí běžných manuálních procesů, např. FTP.

3. Na počítači se systémem Windows budete mít předinstalovaný PuttyGen

Kroky

Shrnuto - viz obrázek 1

a) Na počítači se systémem Windows vytvořte soukromý soubor PPK pomocí programu PuttyGen

b) Na počítači se systémem Windows vytvořte veřejný soubor PPK pomocí PuttyGen (to se provede automaticky v kroku a)

b) V počítači se systémem Windows zkopírujte veřejný klíč z počítače se systémem Windows na vzdálený cloudový server

d) Na počítači se systémem Windows převeďte soukromý soubor PPK na klíč OpenSSH pomocí PuttyGen

e) Zkopírujte klíč OpenSSH z počítače se systémem Windows na Raspberry Pi

f) Otestujte přístup a přenos souborů z Raspberry Pi na váš vzdálený server

Krok 1: A) Vytvořte soukromý soubor PPK, B) Vytvořte veřejný klíč a C) Zkopírujte jej na vzdálený server

Chcete -li vytvořit soukromý soubor PPK, otevřete v počítači se systémem Windows PuttyGen. Do PuttyGen se dostanete kliknutím pravým tlačítkem na ikonu tmelu na hlavním panelu Windows. V nabídce PuttyGen vyberte klíč a poté vygenerujte pár klíčů, vyberte možnost Klíč SSH2 -RSA. Při vytváření soukromého klíče budete vyzváni k nastavení přístupového hesla, a pokud heslo nastavíte, budete o to požádáni během budoucích operací. Soukromý klíč uložte bezpečně někam do počítače se systémem Windows. Veřejný klíč pak uvidíte v podokně okna, jak ukazuje obrázek 2.

Dále přeneseme veřejný klíč na vzdálený cloudový server. Otevřete relaci Putty na vzdálený cloudový server pomocí Putty. Řekněme, že jste se přihlásili jako remoteuser1, pak na CLI vzdáleného cloudového serveru proveďte následující

cd /home /remoteuser1 (pokud tam již není) mkdir.ssh

nano.ssh/authorized_keys (Uvidíte prázdnou obrazovku - vložte veřejný klíč zobrazený na obrázku 2, poté tento soubor uložte a zavřete)

chmod 0700.ssh

chmod 0600 /home/remoteuser1/.ssh/authorized_keys

Krok 2: D) Převeďte soukromý soubor PPK na klíč OpenSSH a E) Zkopírujte jej na Raspberry Pi

Chcete -li převést soukromý klíč na OpenSSH, otevřete PuttyGen a poté otevřete soukromý klíč, který jste vytvořili dříve - v nabídce přejděte na možnost Konverze a poté vyberte Exportovat klíč OpenSSH - zajistěte, aby soubor, který vytvoříte, měl typ souboru.key. Uložte jej někam bezpečně a poté se spusťte relaci tmelu a přihlaste se do svého Raspberry Pi. Zkopírujte soubor klíče do domovského adresáře na Raspberry Pi uživatelského účtu, který jste použili k přihlášení na Raspberry Pi. Řekněme, že se klíč nazývá pitobot.key, a poté postupujte takto:

cd /home /pi

sudo mv pitobot.key/home/pi/

sudo chmod 600 pitobot.key

Nyní jste připraveni vyzkoušet, zda je vaše instalace úspěšná - Opět se to provádí z Pi. Pamatujte si, že remoteuser1 je účet na vzdáleném cloudovém serveru, do jehož domovského adresáře jste uložili veřejný klíč, a ipaddress je ipaddress vzdáleného cloudového serveru.

Nejprve se z Raspberry Pi přihlaste ke vzdálenému cloudovému serveru pomocí Putty. Na Raspberry PI CLI zadejte následující příkazy. (Pokud jste při vytváření soukromého klíče nastavili přístupové heslo, budete o něj nyní požádáni.)

sudo ssh -i /home/pi/pitobot.key remoteuser1@ipaddress

Tím se přihlásíte do CLI vzdáleného cloudového serveru v domovském adresáři remoteuser1. Zadáním 'exit; vrátíte se do CLI vašeho Raspberry Pi.

Dále zkuste přenést soubory ze vzdáleného cloudového serveru na Raspberry Pi. Použijte následující příkazy: (Opět platí, že pokud jste při vytváření soukromého klíče nastavili přístupové heslo, budete o něj nyní požádáni.)

sudo scp -i /home/pi/pitobot.key remoteuser1@ipaddress: //var/www/html/*.*/home/pi/

Tím se přenesou všechny soubory ze složky/var/www/html/na vzdáleném serveru do složky/home/pi/na vašem Raspberry Pi. (Dvojtečka je velmi důležitá) Pořadí příkazů a přenos souborů z Pi na vzdálený server můžete samozřejmě změnit.

Krok 3: Bezpečnostní aspekty

Zatímco přístup dvojice klíčů SSH zlepšuje zabezpečení, zvažte následující:

1. Pokud jsou povoleny páry klíčů SSH, měli byste zvážit odebrání možnosti přihlášení uživatelů přímo na vzdálený server (Ke svým serverům můžete přistupovat také pomocí dvojic klíčů Putty ve Windows pomocí stejného páru klíčů a můžete také zvážit deaktivaci přihlaste se také na svém Pi). Buďte opatrní, pokud se to rozhodnete udělat a nepřistupujete k velkému třesku. Chcete -li to provést, musíte v konfiguračním souboru ssh zakázat několik konfigurací. Buďte velmi opatrní. Příkazy jsou

nano/etc/ssh/sshd_config

A v souboru proveďte následující změny

PasswordAuthentication no

Použijte PAM č

Uložte, ukončete a poté restartujte SSH pomocí systemctl restart ssh (Toto je pro Debian. V různých distribucích Linuxu se to může lišit)

2) Udržujte všechny své klíče v bezpečí, jinak riskujete únik dat nebo nebudete mít přístup ke svým serverům. Doporučuji je uchovávat v zabezpečeném trezoru, jako je bitwarden.com, a omezit přístup k nim prostřednictvím zásad řízení přístupu.

3) Použití přístupové fráze zlepšuje zabezpečení, ale může ztěžovat automatizaci úloh cron atd. Rozhodnutí používat tuto a další funkce by mělo být určeno posouzením rizik, například pokud zpracováváte osobní údaje, pak potřebujete větší / přiměřené kontroly.